Die französische Datenschutzbehörde CNIL hat gegen Clearview AI eine Strafe wegen Datenschutzverletzungen in Höhe von 20 Millionen Euro verhängt. Das Start-up sammelt ohne Zustimmung der gezeigten Personen Fotos aus dem Netz und trainiert damit das Modell für eine Gesichtersuchmaschine, die es an Ermittlungsbehörden und Unternehmen vermarktet. Das sei eine nicht-erlaubte Verarbeitung von persönlichen Daten und ein Verstoß gegen EU-Datenschutzregeln, urteilte am Donnerstag die Datenschutzaufsicht CNIL – und belegte Clearview AI mit der Maximalstrafe.
Vorangegangen war eine Anordnung der CNIL aus dem vergangenen Jahr, die Clearview einfach ignoriert hatte. Das Unternehmen sollte aufhören, biometrische Daten von Personen auf französischem Territorium zu sammeln und die Rechte der Betroffenen wahren, die eine Auskunft und Löschung ihrer Daten aus der Datenbank verlangten. Nachdem Clearview auf die Mahnung nicht reagiert hatte, entschied die Aufsicht, die mögliche Maximalstrafe zu verhängen, die in der Datenschutzgrundverordnung (DSGVO) für solche Fälle vorgesehen ist: 20 Millionen Euro. Darüber hinaus hat Clearview zwei Monate Zeit, um die Sammlung, Speicherung und den Einsatz der Fotos zu beenden. Für jeden Tag Verzug kommen weitere 100.000 Euro Strafe dazu.
Clearview wurde 2020 schlagartig weltbekannt, nachdem die New York Times mit einer Recherche die eindrucksvolle Datensammlung des Unternehmens aufdeckte. Mit der Suchmaschine kann man Personen nicht nur anhand ihres Fotos suchen, sondern auch per Namen. Diese Daten hat das Unternehmen heimlich aus Online-Quellen wie Sozialen Medien oder Nachrichten gesammelt. Die kostenpflichtige Software wird in mehreren Staaten in der Strafverfolgung verwendet. So zum Beispiel von der Polizei des US-Bundesstaates Indiana, dem US Secret Service oder der Polizei von London. Auch die internationale Polizeiorganisation Interpol hatte mit einem Testaccount mehr als 320 Suchanfragen gestellt. Aber auch Banken, Unternehmen, Universitäten und viele weitere staatliche Stellen waren auf der Kundenliste von Clearview.
Clearview kann Anordnungen technisch nicht befolgen
Die Strafe ist bereits die vierte binnen weniger Monate. Im Februar 2022 war Clearview schon von der italienischen Datenschutzaufsicht mit einer Strafe von 20 Millionen Euro belegt worden. Im Mai folgte eine Strafe des britischen Information Commissioner’s Office (ICO) und im Juli eine weitere Höchststrafe aus Griechenland. Weil Clearview AI keinen Sitz in der Europäischen Union hat, ist laut den Regeln der DSGVO jedes Land für die Datenschutzrechte seiner eigenen Bewohner:innen zuständig. Großbritannien ist nicht mehr in der EU, hat aber vorerst die Datenschutzregeln beibehalten.
Die Verfahren sind das Ergebnis einer koordinierten Aktion mehrerer Organisationen, die Beschwerde in fünf Ländern gegen Clearview AI eingereicht hatten. In Frankreich hatte die Organisation Privacy International die Verstöße bei der CNIL gemeldet. Die Juristin Lucie Audibert, die das Verfahren koordiniert hat, schreibt netzpolitik.org, sie sei mit dem Ergebnis sehr zufrieden. „Nicht weniger als die Höchststrafe von 20 Millionen Euro und die Anweisung, Daten zu löschen und nicht mehr zu verarbeiten, hätten ausgereicht, um die schwerwiegenden und weit verbreiteten Verstöße gegen die Datenschutzgrundverordnung und die Bedrohung der Grundrechte von Personen auf der ganzen Welt anzugehen.“
Sie weist außerdem auf ein technisches Problem hin, das es für Clearview effektiv unmöglich macht, den Anordnungen zu folgen ohne sein Geschäft vollständig einzustellen. Denn die Datenerfassung von Clearview sei per Definition wahllos, das Unternehmen könne unmöglich herausfinden, welches Foto von einem Einwohner eines bestimmten Landes stammt und dieses Foto nicht einsammeln oder aus seinen Beständen tilgen. „Dies zeigt deutlich, warum ihr Geschäftsmodell einfach nicht haltbar ist – der Kern ihrer Tätigkeit beruht auf der Verletzung der Datenschutzgesetze mehrerer Länder.“
Eine Strafe, die schwer durchzusetzen ist
Mehr als 60 Millionen Euro Geldstrafe wegen Datenschutzverstößen für ein einzelnes Start-up: Das klingt erst mal immens. Fachleute weisen jedoch darauf hin, dass es ausgesprochen schwierig ist, Strafen und Anordnungen für Datenschutzverstöße durchzusetzen, wenn Unternehmen ihren Sitz außerhalb der EU haben. Clearview behauptet bisher, nicht unter die EU-Datenschutzregeln zu fallen, weil es seinen Sitz in den USA hat und keine Daten von EU-Bürger:innen verarbeite. Man sammle nur Informationen ein, die im Netz frei verfügbar seien, behauptet der Gründer. Ob das Unternehmen auf die Anordnungen aus Italien oder Griechenland reagiert und die Strafen bezahlt hat, ist nicht klar. Anfragen ließen die beiden Behörden unbeantwortet.
Auch Lucie Audibert gesteht ein: „Die Durchsetzung von DSGVO-Strafen gegen für die Verarbeitung Verantwortliche mit Sitz außerhalb der EU ist bekanntermaßen schwierig.“ Aber es könne nicht sein, dass ein Unternehmen einfach weitermacht, währen es mit Geldstrafen und Anordnungen in Dutzenden von Ländern belegt wird.
Signalwirkung für europäische Firmen
Der Hamburger Informatiker Matthias Marx, der selbst eine Beschwerde gegen Clearview AI bei der Hamburger Datenschutzaufsicht eingereicht hat, glaubt ebenfalls nicht daran, dass Clearview die Strafen zahlen werde. Trotzdem hätten die Entscheidungen der Behörden eine Signalwirkung. Die Strafen würden zum einen europäische Firmen davon abschrecken, ähnliche Geschäftsmodelle hier aufzuziehen. Vor allem machen sie aber den Markt für Clearview AI in der EU kaputt. Dass eine Polizeibehörde in der EU nach den Urteilen noch auf die Idee käme, ein solch offenkundig illegales Produkt zu lizenzieren, sei unwahrscheinlich.
Die meisten Kund:innen von Clearview sitzen in den USA, doch auch in der EU hatten einzelne Behörden die Werkzeuge eingesetzt. Die schwedische Polizei war dafür von der eigenen Datenschutzaufsicht mit einer Strafe von umgerechnet rund 250.000 Euro belegt worden.
„europäische Firmen davon abschrecken, ähnliche Geschäftsmodelle hier aufzuziehen.“
Wer das glaubt, glaubt auch das der Zitronenfalter Zitronen faltet.
Dann wird irgendwo außerhalb EU was aufgemacht und fertig. Erst Polen und jetzt Seychellen.
Weit weg.
Die lachen sich eher tot.
„Dass eine Polizeibehörde in der EU nach den Urteilen noch auf die Idee käme, ein solch offenkundig illegales Produkt zu lizenzieren, sei unwahrscheinlich.“
Sagt niemals nie! Die sind schon auf ganz andere Ideen gekommen, z.B. nach 2 Watschen vom EuGH einfach weiter die illegale Massenüberwachung Unschuldiger – a.k.a. Vorratsdatenspeicherung – von der Politik zu „fordern“.
Ich bleibe auch dabei, dass offensichtliche illegale Geschäftsmodelle bzw. bewusste und systematische Datenschutzverstöße auch endlich irgendwo im Strafrecht ihren Platz finden müssen. Sonst kommen Manager immer wieder auf dumme Gedanken, die sich gefahrlos über Jahre vor Gerichten hinziehen, aber ihnen keinerlei persönliche Konsequenzen abverlangen.
Bei der Straftat der Nötigung hat man es auch geschafft von der ursprünglich rein körperlichen Gewalt zu einem auch-psychischen Gewaltbegriff zu kommen. Ähnliches wünsche ich mir mindestens auch für Datenschutzvergehen bei besonders geschützten persönlichen Daten wie Krankenakten etc.
Die Aussage hinsichtlich der Höchststrafe ist nur teilweise richtig. 20 Millionen Euro sind nur bis zu einem Unternehmensumsatz von 500 Millionen Euro p.a. die Höchststrafe. Bei höherem Umsatz kann aufgrund der umsatzbasierten Obergrenze der DSGVO-Bußgeldberechnung bei Unternehmen (in dem Fall 4%) auch höher gegangen werden. Ich vermute aber mal, dass Clearview sich nicht zu seinen Umsätzen eingelassen hat und die CNIL daher im Rahmen der fixen Obergrenze geblieben ist.
Wenn ich als Privatperson irgendwelche im Netz verfügbaren Daten einfach so für meine Zwecke benutze, mache ich mich in 6 von 10 Fällen Copyright- oder anderer Verletzungen schuldig, was hart verfolgt wird. Wenn Unternehmen ihre Geschäftsmodelle durchsetzen wollen, sind jegliche Daten im Internet plötzlich frei und sollen bitteschön keinerlei Rechten und Ansprüchen unterliegen. Nachdem Trump Frisuren und Modelkarriere gescheitert sind, verlegt man sich einfach auf die Ausbeutung von Persönlichkeitsrechten, schon genial was die jungen Leute aus diesem Internet so rausholen.
Wie kann ich als Privatperson Clearview auffordern, meine Daten zu löschen? Wie hat Matthias Marx das gemacht? Mit einer einfachen E-Mail wird es ja wohl nicht getan sein.