Clearview muss in Frankreich Millionenstrafe zahlen
Die französische Datenschutzbehörde “Commission Nationale de l’Informatique et des Libertés” (CNIL) hat am Donnerstag eine Strafe in Höhe von 20 Millionen Euro gegen Clearview AI verhängt. Das US-amerikanische Unternehmen sammelt im Internet Fotos von Menschen und verwendet diese für seine biometrische Gesichtserkennungsdatenbank. Nach Ansicht der Behörde hat es damit gegen die europäische Datenschutzgrundverordnung (DSGVO) verstoßen.
Wie die CNIL mitteilte, hat Clearview biometrische Daten ohne Rechtsgrundlage verarbeitet – die Gesichtserkennungssoftware sei daher rechtswidrig. Denn das Unternehmen hole von den betroffenen Nutzerinnen und Nutzern kein Einverständnis für die Datenverarbeitung ein und habe auch kein berechtigtes Interesse, um die gesammelten Bilder zu verarbeiten. Die Behörde weist darauf hin, dass biometrische Daten besonders sensibel sind; denn Personen können mit ihnen eindeutig identifiziert werden.
Nutzerinnen und Nutzer würden außerdem nicht erwarten, dass ihre im Internet veröffentlichten Fotos für eine Gesichtserkennung verwendet werden, die an staatliche Stellen verkauft und zu Strafverfolgungszwecken eingesetzt wird.
Risiken für die Grundrechte
Aufgrund der “schwerwiegenden Risiken für die Grundrechte von Betroffenen” hat die CNIL auch angeordnet, “die Erhebung und Verwendung von Daten von Personen auf französischem Hoheitsgebiet” einzustellen. Bereits gesammelte Daten müssen gelöscht werden. Diese Vorgaben muss Clearview innerhalb von zwei Monaten umsetzen.
Die französischen Datenschützer bemängeln außerdem, dass es für Betroffene schwierig sei, ihre Rechte durchzusetzen und beispielsweise Auskunft über die von ihnen gespeicherten Daten zu verlangen. So beschränke Clearview das Auskunftsrecht ohne Begründung auf zwei Anfragen pro Jahr – und reagiere erst nach wiederholten Anfragen. Auf Anträge zur Datenlöschung reagiere Clearview zum Teil gar nicht.
Die CNIL moniert außerdem die mangelnde Kooperation von Clearview – obwohl das Unternehmen dazu verpflichtet sei, mit der Behörde zusammenzuarbeiten. Die CNIL hatte der Firma bereits Ende vergangenen Jahres untersagt, Daten von Personen in Frankreich zu sammeln und mit einer Geldstrafe gedroht. Auf diese Aufforderung habe Clearview aber nicht reagiert. Ein zugesandtes Anhörungsformular sei nur unvollständig ausgefüllt worden.
Nun muss Clearview eine Geldstrafe von 20 Millionen Euro zahlen – nach Angaben der Behörde die in diesem Fall mögliche Höchststrafe. Sollte Clearview die angeordnete Datenlöschung nicht innerhalb von zwei Monaten umsetzen, droht pro Tag ein weiteres Bußgeld in Höhe von 100.000 Euro.
Anlass für die Untersuchung der CNIL waren seit dem Jahr 2020 eingegangene Beschwerden von Einzelpersonen. Ein Jahr später hatte sich auch die britische Bürgerrechtsorganisation Privacy International an die Behörde gewandt.
Weitere DSGVO-Strafen
Clearview war im Jahr 2020 durch eine Recherche der New York Times in den Fokus der Öffentlichkeit geraten: Das Unternehmen sammelt automatisiert öffentlich zugängliche Bilder im Internet und hat so eine umfassende Datenbank zur Gesichtserkennung aufgebaut. Nach eigenen Angaben befinden sich darin inzwischen mehr als 30 Milliarden Bilder. Die Software verkauft das Unternehmen nach eigener Aussage nur an Strafverfolgungsbehörden.
Die nun in Frankreich verhängte Geldstrafe ist nicht das erste Bußgeld, das Clearview in Europa zahlen muss: Privacy International hatte im Mai 2021 gemeinsam mit den Organisationen Homo Digitalis, Hermes Center for Transparency and Digital Human Rights sowie Noyb Beschwerden bei den Datenschutzbehörden in Frankreich, Griechenland, Großbritannien, Italien und Österreich eingereicht.
Bereits im März hatte die italienische Datenschutzbehörde eine Strafe in Höhe von 20 Millionen Euro gegen das Unternehmen verhängt. In Großbritannien muss Clearview umgerechnet etwa 8,9 Millionen Euro zahlen – die britische ICO hatte ursprünglich auch ein Bußgeld von 20 Millionen Euro angekündigt, dieses aber letztlich reduziert. Im Juli hatte außerdem Griechenland auf ein Bußgeld in Höhe von 20 Millionen Euro entschieden. Die österreichische Entscheidung steht noch aus.
Anlässlich des Beschlusses der französischen Behörde teilte Privacy International mit: “Nach und nach erklären Länder auf der ganzen Welt diese Überwachungspraktiken für illegal. Diese Entscheidungen senden eine klare Botschaft an Unternehmen wie Clearview AI – hört auf, mit unserer Privatsphäre und unseren Freiheiten zu spielen.”
In Deutschland hatte der damalige Hamburgische Datenschutzbeauftragte Johannes Caspar im März 2020 ein Prüfverfahren gegen Clearview eingeleitet. Grundlage dafür war die Beschwerde eines Betroffenen, der bei Clearview Auskunft über seine Daten gefordert hatte. Im August 2020 hatte Caspar festgestellt, dass für die Verarbeitung biometrischer Daten durch Clearview keine Rechtsgrundlage vorliege – und angeordnet, dass Clearview das biometrische Profil des Betroffenen löschen muss.
Klagen in den USA
Auch außerhalb Europas steht Clearview zunehmend unter Druck: So hatten kanadische Datenschutzbehörden Ende vergangenen Jahres verfügt, das Unternehmen müsse alle Daten löschen, die von Bewohnerinnen und Bewohnern aus drei Provinzen erhoben wurden.
Die australische Datenschutzbehörde hatte im November 2021 ebenfalls einen Verstoß von Clearview gegen die Privatsphäre festgestellt – und die Datenlöschung angeordnet.
Im Mai hatte Clearview in den USA zudem einen Vergleich mit Bürgerrechtlern geschlossen, um einen zweijährigen Rechtsstreit beizulegen. Darin hat Clearview zugestimmt, Unternehmen und anderen privaten Einrichtungen in den USA keinen Zugang zu der Gesichtserkennungsdatenbank zu gewähren. Außerdem darf Clearview im US-Bundessstaat Illinois fünf Jahre lang auch nicht mit Behörden zusammenarbeiten. In den USA sind noch weitere Klagen gegen das Unternehmen anhängig. (js)