Clearview in Frankreich und Kanada unter Druck
Die französische Datenschutzbehörde “Commission Nationale de l’Informatique et des Libertés” (CNIL) geht gegen das US-amerikanische Unternehmen Clearview AI vor: Es soll alle gespeicherten Daten von Einwohnern Frankreichs löschen. Das teilte die Behörde vergangene Woche mit. Das umstrittene US-Unternehmen sammelt weltweit Fotos von Menschen im Internet – und soll inzwischen eine Gesichtserkennungsdatenbank mit mehreren Milliarden Einträgen aufgebaut haben.
Die CNIL erklärte, Clearview habe gegen die Datenschutzgrundverordnung (DSGVO) verstoßen: Die Firma habe biometrische Daten verarbeitet, ohne dass es dafür eine Rechtsgrundlage gebe. Nutzerinnen und Nutzer würden nicht erwarten, dass ihre im Internet veröffentlichten Fotos für eine Gesichtserkennung verwendet werden, die an staatliche Stellen verkauft wird. Eine Einwilligung für die Datenverarbeitung hole Clearview ebenfalls nicht ein. Die Behörde weist darauf hin, dass biometrische Daten besonders sensibel sind; denn Personen können mit ihnen eindeutig identifiziert werden.
Außerdem fehle eine Möglichkeit für Betroffene, ihre Rechte durchzusetzen und beispielsweise Auskunft über die von ihnen gespeicherten Daten zu verlangen. Die Behörde kritisiert etwa, Clearview reagiere erst nach wiederholten Anfragen von Betroffenen.
Geldstrafe droht
In einem auf Ende November datierten Beschluss fordert die Behörde Clearview dazu auf, “die Sammlung und Nutzung von Daten von Personen einzustellen, die sich auf französischem Hoheitsgebiet befinden”. Die Firma müsse es Betroffenen zudem erleichtern, ihre Rechte auszuüben und Löschanträgen stattgeben. Clearview muss diese Vorgaben innerhalb von zwei Monaten umsetzen. Andernfalls droht dem Unternehmen eine Geldstrafe.
Anlass für die Untersuchung der CNIL waren mehrere Beschwerden von Einzelpersonen. Auch die Organisation Privacy International hatte sich an die Behörde gewandt. Während des Verfahrens habe man mit anderen europäischen Datenschützern zusammengearbeitet.
Clearview war im Jahr 2020 durch eine Recherche der New York Times in den Fokus der Öffentlichkeit geraten: Das Unternehmen sammelt automatisiert öffentlich zugängliche Bilder in den sozialen Medien und auf Internetseiten und hat so eine umfassende Datenbank zur Gesichtserkennung aufgebaut. Nach eigenen Angaben befinden sich darin inzwischen mehr als 10 Milliarden Bilder. Die Software verkauft das Unternehmen nach eigener Aussage nur an Strafverfolgungsbehörden. Allerdings hatte die New York Times damals berichtet, auch private Unternehmen setzten sie ein.
Kunden können von einem Desktop-Computer und über eine Smartphone-App Fotos hochladen und bekommen dann alle verfügbaren Daten zu einer Person angezeigt. Dazu zählen auch der Name und andere Informationen, die zusammen mit dem gefundenen Foto veröffentlicht wurden.
Clearview soll auch in Kanada Daten löschen
Auch die Datenschutzbehörden der kanadischen Provinzen Alberta, British Columbia und Québec haben in der vergangenen Woche verbindliche Bescheide gegen Clearview erlassen: Das Unternehmen solle alle Daten löschen, die es von Bewohnerinnen und Bewohnern der drei Provinzen erhoben hat – und keine weiteren sammeln. Sollte das Unternehmen dem nicht nachkommen, drohen auch in Kanada Strafen.
Bereits Anfang des Jahres hatte die nationale kanadische Datenschutzbehörde kritisiert, Clearview betreibe illegale Massenüberwachung.
Wie aus den Anordnungen der Datenschützer hervorgeht, hatte Clearview zuvor erklärt, es könne die Daten von Kanadiern nicht löschen, weil aus den Bildern nicht hervorginge, ob sie in Kanada aufgenommen wurden oder ob darauf kanadische Bürger zu sehen sind. Allerdings verweisen die kanadischen Datenschützer auf ein laufendes Verfahren aus dem US-Bundesstaat Illinois: Dort hatte das Unternehmen erklärt, alle Bilder aus seiner Suche auszuschließen, deren Metadaten einen Aufnahmestandort in Illinois verraten – und solche Bilder auch nicht mehr zu sammeln. Außerdem greife es keine Daten von Servern ab, die sich in dem US-Bundesstaat befinden. Benutzerkonten von Stellen in Illinois hat das Unternehmen eigenen Angaben zufolge abgeschaltet.
Clearview will zurück nach Kanada
Auch in Kanada hatten Strafverfolgungsbehörden die Software eingesetzt. Nach Angaben der kanadischen Behörden bietet Clearview sein Produkt dort jedoch seit dem Sommer 2020 nicht mehr an. Zunächst sollte es eine Pause von zwei Jahren geben, inzwischen hat Clearview angeboten, diese um weitere 18 Monate zu verlängern. Allerdings plane die Firma, “mit einigen Änderungen” wieder in Kanada aktiv zu werden, heißt es in dem Bescheid des Datenschutzbeauftragten von British Columbia. Das Unternehmen habe allerdings keine Einzelheiten dazu genannt. Klar sei jedoch, dass der Kern des Problems bestehen bleibt: Clearview verarbeite personenbezogene Daten für einen unzulässigen Zweck, und ohne dass die Betroffenen zugestimmt haben.
Die Bürgerrechtsorganisation Canadian Civil Liberties Association begrüßte das Vorgehen der Datenschützer, fügte aber hinzu: “Wir sind zutiefst besorgt darüber, dass die Unstimmigkeiten in den Datenschutzgesetzen dazu führen, dass Millionen Menschen in anderen kanadischen Gerichtsbarkeiten durch diese Anordnungen nicht geschützt werden.” Gesichtserkennung erleichtere die Massenüberwachung und sei eine Bedrohung für die Menschenrechte. Die Organisation fordert ein Moratorium für den Einsatz der Technologie in Kanada.
Im November hatte die britische Datenschutzbehörde ICO eine vorläufige Strafe von 20 Millionen Euro gegen Clearview AI verhängt. Die Behörde forderte das Unternehmen dazu auf, die Verarbeitung personenbezogener Daten von Menschen aus Großbritannien zu stoppen und bereits gesammelte Daten zu löschen. Bis Mitte 2022 soll in Großbritannien eine endgültige Entscheidung fallen.
In Deutschland hatte der damalige Hamburgische Datenschutzbeauftragte Johannes Caspar im März 2020 ein Prüfverfahren gegen Clearview AI eingeleitet. Grundlage dafür war die Beschwerde eines Betroffenen, der bei Clearview Auskunft über seine Daten gefordert hatte. Im August 2020 hatte Caspar angeordnet, dass Clearview das biometrische Profil des Betroffenen löschen muss.
Nach den Recherchen der New York Times hatten unter anderem Facebook, Google, Twitter und LinkedIn von Clearview verlangt, keine Daten von ihren Plattformen abzugreifen. Clearview hatte argumentiert, da die Daten öffentlich seien, habe man das Recht, sie zu nutzen. Allerdings verbieten die Nutzungsbedingungen von Plattformen wie Facebook in der Regel, dort massenhaft Daten per sogenanntem “Scraping” abzugreifen. Auf ihrer Internetseite gibt die Firma weiterhin an, Daten aus sozialen Medien zu verwenden. (js)