Clearview AI weigert sich offenbar, mit dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) zu kooperieren. Bei der Aufsichtsbehörde war im Februar eine Beschwerde gegen das US-Start-up eingegangen. In deren Folge hatte sie Kontakt zu Clearview aufgenommen. Jetzt wirft der Datenschutzbeauftragte Johannes Caspar dem Unternehmen vor, seine Fragen nur ausweichend beantwortet zu haben.
Er droht, ein Zwangsgeld von bis zu 170.000 Euro zu verhängen. Caspar erklärte in einer Mitteilung zudem, die Aufsichtsbehörden müssten „düstere digitale Dystopien“ verhindern, die durch den Einsatz von Gesichtserkennungssoftware entstehen könnten.
Die Betreiber:innen der Suchmaschine Clearview sollen mehr als drei Milliarden Fotos im Netz gesammelt und biometrisch ausgewertet haben, wie die New York Times Anfang des Jahres enthüllte. Heruntergeladen hatte das Unternehmen die Aufnahmen demnach unter anderem bei Facebook, Instagram und Twitter. Die Software richtet sich an Sicherheitsbehörden und soll diesen helfen, Menschen anhand von Fotos zu identifizieren.
Biometrische Daten gelten als besonders schützenswert. Mehrere Plattformen gingen juristisch gegen Clearview vor, Datenschützer:innen sahen in dem Fall einen Skandal bis dato unbekannten Ausmaßes. Im Juni warnte der Europäische Datenschutzausschuss ausdrücklich vor dem Einsatz der Software, an deren Rechtmäßigkeit er zweifelt.
Antworten ohne Substanz
Die Person, deren Beschwerde über Clearview in Hamburg einging, hatte bei dem Unternehmen eine Auskunft eingeholt, die „positive Ergebnisse“ zu einem hochgeladenen Ausweisbild geliefert habe, wie die Behörde netzpolitik.org mitteilt. „Damit war dem Petenten klar, dass auch Bilder von ihm, die teils einem Gruppenfoto entnommen wurden, von Clearview ohne seine Kenntnis oder Einwilligung verarbeitet wurden“, so ein Sprecher des HmbBfDI.
Zunächst im März und dann noch einmal im Mai habe die Aufsicht dem Unternehmen Fragenkataloge zu 17 Punkten geschickt. „Es wurde zwar jeweils geantwortet, jedoch in der Sache ohne jede Substanz.“ Für jeden der Punkte droht die Behörde deshalb ein Zwangsgeld von 10.000 Euro an.
Auch wir haben Clearview um Antworten gebeten. Unter anderem wollten wir wissen, ob es zutreffe, dass das Unternehmen der Aufsicht lediglich ausweichend geantwortet habe. Doch diese und weitere konkrete Fragen ignorierte Clearview. Stattdessen schickt uns eine Sprecherin eine allgemein gehaltene Erklärung.
Hat Clearview gegen europäisches Datenschutzrecht verstoßen?
Die US-Firma argumentiert, sie habe keine Nutzer:innen in Deutschland. Anträge, welche die Verarbeitung von Daten von EU-Bürger:innen betreffen, bearbeite Clearview nur auf freiwilliger Basis, so eine Sprecherin gegenüber netzpolitik.org. Ein wesentlicher Teil des Konflikts mit dem Datenschutzbeauftragten dreht sich um die Frage, ob die europäische Datenschutzgrundverordnung (DSGVO) für Clearview überhaupt greift.
Durch das Marktortprinzip soll die DSGVO auch bei Unternehmen außerhalb der EU angewendet werden können, sofern diese hier tätig sind. Die Hürden, damit diese Voraussetzung erfüllt ist, sind niedrig. Eigentlich müsste bereits das Tracking von Clearview-Nutzer:innen ausreichen, wie es die Firma der Hamburger Behörde zufolge betreibt.
Im konkreten Fall gibt es jedoch offenbar ein Problem: die Kundschaft. „Da sich der Dienst nicht direkt an betroffene Personen in der Union richtet, sondern an institutionelle Nutzer wie Sicherheitsbehörden et cetera, ist das Marktortprinzip nicht direkt anwendbar“, teilt die Datenschutzaufsicht uns mit.
Drei Milliarden Fotos, auch aus der EU
Allerdings streitet noch nicht einmal Clearview selbst ab, dass in seiner Datenbank biometrische Daten von Menschen aus Europa abgespeichert sind. Um diese Daten verarbeiten zu dürfen, müsste Clearview nach Ansicht des Datenschutzbeauftragten jedoch Einwilligungen von sämtlichen Betroffenen eingeholt haben. Ein Vorhaben, das bei drei Milliarden Fotos so realisierbar wäre wie die Aufzucht von Flugsauriern.
Deshalb geht die Behörde nach eigenen Angaben weiterhin von der Anwendbarkeit der DSGVO aus. Die Begründung: Erst mit den Ergebnissen der Gesichtersuchen versetze Clearview seine Kund:innen in die Lage, Betroffene zu identifizieren, ihr Verhalten auszuwerten und dadurch aufzuspüren, so ein Sprecher. „Damit sind die Suchergebnisse also ein entscheidender Teil der Verhaltensbeobachtung, die Clearview klar in seine eigenen Schlüsselüberlegungen miteinbezieht.“
Johannes Caspar will, dass Clearview bis Mitte September nun endlich umfassend Auskunft erteilt – andernfalls droht das Zwangsgeld. Auch außerhalb von Deutschland bringen sich Datenschutzbehörden gegen das Unternehmen in Stellung. Erst kürzlich starten Großbritannien und Australien eine gemeinsame Untersuchung.
Wie können EU-Bürger feststellen, ob von ihnen Fotos in der Clearview AI Foto-Datenbank gelangt sind?
Gibt es eine Sammelklage gegen Clearview AI oder wird eine auf den Weg gebracht?
Die Höhe der angedrohten Bußgelder dürfte kaum dazu führen, dass das Unternehmen auskunftswilliger wird. Wirksamer dürften EU-Sanktionen gegen Mitglieder des Firmenvorstands sein oder ein Handelsembargo gegen die Firma selbst.
Verrückte Datenschutzwelt!? Der im Artikel beschriebene Petent wehrt sich explizit gegen seine Gesichtserfassung in der Clearview AI Datenbank, u.a. mit Verweis auf die NICHT vorhandene Einwilligung.
Und weiterhin werden millionenfach Gesichter erfasst; explizit ohne die Einwilligung der betroffenen Personen.
Aber umgekehrt: Ich bitte Clearview AI um Aufnahme meines Gesichtes (mit entsprechendem Bildmaterial) und explizit verbunden mit meiner Einwilligung. Doch paradoxerweise wird genau dies abgelehnt mit der Begründung „… For information on how we collect and use data from publicly available online sources, please click here. The photo you shared to facilitate this request will be deleted. We will maintain a record of your request. Regards, Clearview Privacy Team“
Sieht nach einer automatisierten Antwort aus.
Offensichtlich erhält C AI zu 99% Aufforderungen, das (oder die) Bild(er) im Anhang in deren Datenbank zu löschen.
Wird das wirklich gelöscht, auch zugehörige Daten, Verlinkungen, auch andere Bilder dieser Person, die den „Löschantrag“ sellt ?
Nur ein Bild zu speichern erscheint mir zu wenig.
Also liegt die Brisanz in den Daten, die zum Bild gehören:
Qelle, Datum, Ort, …. usw
Clearviews Ansatz ist die Verwendung „oeffentlicher Daten“ und darauf basierend die Fiktion, dass es keinerlei Einspruchsmoeglichkeit dagegen gibt. Irgendwelche manuellen Dinge koennten widerrufen werden, etc, pp, das braeche potentiell ihre Fiktion der ihnen moeglichen voelligen Willkuer.
Diese Fiktion ist natuerlich sehr weit hergeholt und duerfte nicht zu halten sein. Das kann ihnen aber voellig egal sein, solange sie niemand dafuer belangt. So gesehen ist es taktisch sehr geschickt, als Kundenzielgruppe US-Einrichtungen mit moeglichem Schutzeinfluss zu haben, das ist ja kein Zufall. Rauschgift fuer die CIA zu produzieren ist ja auch ein sicheres Geschaeft.