Datenschutz: Clearview droht Millionenstrafe in Großbritannien
Die britische Datenschutzbehörde ICO hat am Montag eine vorläufige Strafe von umgerechnet 20 Millionen Euro gegen Clearview AI verhängt. Das US-amerikanische Unternehmen sammelt Fotos von Menschen im Internet und soll inzwischen eine Gesichtserkennungsdatenbank mit mehreren Milliarden Einträgen zusammengestellt haben. Clearview kann gegen die Entscheidung noch Einspruch einlegen.
In ihrer Mitteilung wirft die Datenschutzbehörde dem Unternehmen “schwerwiegende” Datenschutzverstöße vor: Die Datenbank von Clearview AI enthalte “wahrscheinlich Daten einer beträchtlichen Anzahl von Personen” aus Großbritannien. Diese seien “möglicherweise ohne deren Wissen” gesammelt worden. Die Behörde fordert Clearview dazu auf, die Verarbeitung personenbezogener Daten von Menschen aus Großbritannien zu stoppen und bereits gesammelte Daten zu löschen.
Clearview habe keinen rechtmäßigen Grund gehabt, die Daten zu sammeln. Zudem verwendet Clearview die Bilder für eine biometrische Gesichtserkennung. Biometrische Daten sind besonders sensibel, da sie sich nicht verändern lassen. Personen können ein Leben lang über sie identifiziert werden. Das britische Datenschutzrecht schützt diese Daten daher besonders – Clearview habe diese höheren Standards jedoch nicht eingehalten.
Widerspruch nur mit Foto und Ausweis
Zwar ist es theoretisch möglich, der Verarbeitung der eigenen Daten durch Clearview AI zu widersprechen – doch die Behörde bemängelt, das Verfahren könne “abschrecken”. Denn Personen müssen dafür ein Foto von sich an das Unternehmen senden. Bei Auskunftsersuchen über die gespeicherten Daten verlangt es auch eine Ausweiskopie. Die Organisation Privacy International warnt, dass Firmen wie Clearview so Daten erhalten können, in dessen Besitz sie noch nicht sind.
Die britische Datenschutzbeauftragte, Elizabeth Denham, sagte: “Ich habe große Bedenken, dass personenbezogene Daten in einer Weise verarbeitet wurden, die niemand im Vereinigten Königreich erwartet hätte.” Anbieter müssten sicherstellen, dass der Rechtsschutz von Bürgerinnen und Bürgern eingehalten wird.
Clearview war im Jahr 2020 durch eine Recherche der New York Times in den Fokus der Öffentlichkeit geraten: Das Unternehmen sammelt automatisiert öffentlich zugängliche Bilder in den sozialen Medien und auf Internetseiten und hat damit eine umfassende Datenbank zur Gesichtserkennung entwickelt. Nach eigenen Angaben befinden sich darin inzwischen mehr als 10 Milliarden Bilder. Die eigene Software verkauft das Unternehmen an Strafverfolgungsbehörden. Allerdings hatte die New York Times damals berichtet, auch private Unternehmen setzten sie ein.
Kunden können von einem Desktop-Computer und über eine Smartphone-App Fotos hochladen und bekommen dann alle verfügbaren Daten zu einer Person angezeigt. Dazu zählen auch der Name und andere Informationen, die zusammen mit dem gefundenen Foto veröffentlicht wurden.
Britische Behörden haben Clearview getestet
Nach Angaben des ICO haben auch britische Strafverfolgungsbehörden zwischenzeitlich kostenlose Testversionen der Gesichtserkennungssoftware verwendet. Die Tests seien jedoch nicht fortgesetzt worden und Clearview AI biete seine Dienste nicht mehr in Großbritannien an.
Denham kritisierte: “Die von uns gesammelten und analysierten Beweise deuten jedoch darauf hin, dass Clearview AI weiterhin erhebliche Mengen von Daten britischer Bürger ohne deren Wissen verarbeitet.”
Clearview AI hat nun die Möglichkeit, sich zu den Vorwürfen zu äußern. Die britische Datenschutzbehörde will den Fall dann erneut prüfen und bis Mitte 2022 eine endgültige Entscheidung fällen. Das Unternehmen bezeichnete die Aussagen der Behörde als “sachlich und rechtlich falsch” und will Einspruch einlegen.
Privacy International begrüßte die vorläufige Entscheidung: Sie stärke das Recht auf Privatsphäre und sende eine klare Botschaft an Unternehmen wie Clearview. Privacy International hatte im Mai Beschwerden gegen Clearview bei den zuständigen Behörden in Großbritannien, Griechenland, Frankreich, Italien und Österreich eingereicht.
Australische Behörde ordnet Datenlöschung an
Erst Anfang November hatte die australische Datenschutzbehörde festgestellt, dass Clearview AI die Privatsphäre verletzt hat. Die Behörde hatte daher angeordnet, dass das Unternehmen bereits gesammelte Bilder von Australierinnen und Australiern löschen muss und keine weiteren Daten von ihnen sammeln darf. Die australischen und britischen Behörden hatten im Juli 2020 eine gemeinsame Untersuchung zum Umgang mit personenbezogenen Daten durch Clearview eingeleitet.
Bereits Anfang des Jahres hatte die nationale kanadische Datenschutzbehörde kritisiert, Clearview betreibe illegale Massenüberwachung. Sie sah zudem Risiken durch Fehlerkennungen und einen möglichen Zugriff von Unbefugten auf die Datenbank. Auch in Kanada hatten Strafverfolgungsbehörden die Software eingesetzt. Nach Angaben der kanadischen Behörde bietet Clearview sein Produkt seit Mitte 2020 dort nicht mehr an.
In Deutschland hatte der ehemalige Hamburgische Datenschutzbeauftragte Johannes Caspar im März 2020 ein Prüfverfahren gegen Clearview AI eingeleitet. Grundlage dafür war die Beschwerde eines Betroffenen, der bei Clearview Auskunft über seine Daten gefordert hatte. Im August 2020 hatte Caspar angeordnet, dass Clearview das biometrische Profil des Betroffenen löschen muss.
Nach den Recherchen der New York Times hatten unter anderem Facebook, Google, Twitter und LinkedIn verlangt, dass Clearview keine Daten von ihren Plattformen abgreift. Clearview hatte argumentiert, da die Daten öffentlich seien, habe man das Recht, sie zu nutzen. Auf ihrer Internetseite gibt die Firma weiterhin an, Daten aus sozialen Medien zu verwenden. (js)