Frankreich: Clearview soll weitere Millionenstrafe zahlen
Die französische Datenschutzbehörde “Commission Nationale de l’Informatique et des Libertés” (CNIL) hat eine weitere Strafe in Höhe von 5,2 Millionen Euro gegen Clearview AI verhängt. Das US-amerikanische Unternehmen sammelt im Internet Fotos von Menschen und verwendet diese für seine biometrische Gesichtserkennungsdatenbank. Nach Ansicht der Behörde hat Clearview damit gegen die europäische Datenschutzgrundverodnung (DSGVO) verstoßen – weshalb sie bereits im Oktober eine Millionenstrafe verhängt hatte. Auch die österreichische Datenschutzbehörde hat nun die Prüfung einer Beschwerde abgeschlossen.
Wie die CNIL am Mittwoch mitteilte, ist Clearview AI der behördlichen Anordnung aus Frankreich von Oktober 2022 bisher nicht nachgekommen. Deshalb sei nun erneut eine Geldstrafe verhängt worden.
Die CNIL hatte das Unternehmen im Oktober angewiesen, “die Erhebung und Verwendung von Daten von Personen auf französischem Hoheitsgebiet” einzustellen und bereits gesammelte Daten zu löschen. Um die Vorgaben umzusetzen, hatte die Behörde Clearview zwei Monate Zeit gegeben. Für den Fall, dass Clearview dem nicht nachkommen würde, war zudem ein weiteres Bußgeld in Höhe von 100.000 Euro pro Tag angedroht worden.
Höchstmögliche Geldstrafe
Die Datenschützer hatten im vergangenen Jahr bereits eine Strafe in Höhe von 20 Millionen Euro gegen Clearview AI verhängt – der Behörde zufolge die mögliche Höchststrafe.
Die CNIL hatte damals festgestellt, dass Clearview biometrische Daten ohne Rechtsgrundlage verarbeitet Clearview hole weder eine Einverständniserklärung bei den Betroffenen für die Datenverarbeitung ein, noch existiere ein berechtigtes Interesse. Biometrische Daten sind besonders sensibel, weil Personen ein Leben lang über sie eindeutig identifiziert werden können.
Internetnutzerinnen und -nutzer würden außerdem nicht erwarten, dass ihre veröffentlichten Fotos für eine Gesichtserkennung verwendet werden, die an staatliche Stellen verkauft und zu Strafverfolgungszwecken eingesetzt wird.
Schon damals hatte die französische Datenschutzbehörde die mangelnde Kooperation von Clearview bemängelt. Denn ursprünglich hatte die CNIL der Firma schon Ende 2021 untersagt, Daten von Personen in Frankreich zu sammeln. Clearview hatte auf diese Aufforderung jedoch nicht reagiert und ein zugesandtes Anhörungsformular nur unvollständig ausgefüllt. Nach Auffassung der CNIL ist das Unternehmen jedoch verpflichtet, mit der Behörde zusammenzuarbeiten.
Anlass für die Untersuchung der CNIL waren seit dem Jahr 2020 eingegangene Beschwerden von Einzelpersonen. Ein Jahr später hatte sich auch die britische Bürgerrechtsorganisation Privacy International an die Behörde gewandt. Diese begrüßte die erneute Strafe und erklärte: “Diese Strafe sendet eine klare Botschaft an Unternehmen wie Clearview – hört auf, mit unserer Privatsphäre und unseren Freiheiten zu spielen.”
Keine Geldbuße in Österreich
Privacy International hatte im Mai 2021 gemeinsam den Organisationen Homo Digitalis, Hermes Center for Transparency and Digital Human Rights sowie Noyb auch Beschwerden bei den Datenschutzbehörden in Griechenland, Großbritannien, Italien und Österreich eingereicht. Nur die österreichische Entscheidung stand bisher noch aus.
Wie Noyb am Mittwoch mitteilte, haben die österreichischen Datenschützer nun entschieden, dass Clearview die Daten des dortigen Beschwerdeführer nicht länger verarbeiten darf und sie löschen muss. Die Entscheidung gelte aber nur für diesen Einzelfall und hat keine Auswirkungen auf die Verarbeitung der Daten weiterer österreichischer Bürger.
Felix Mikolasch, Datenschutzanwalt bei Noyb, erklärte dazu: “Es ist schade, dass kein allgemeines Verbot ausgesprochen wurde. Der Fall des Beschwerdeführers ist wahrscheinlich für alle anderen in Österreich derselbe. Es scheint, dass die Verarbeitung durch Clearview nur dann als illegal gilt, wenn man sich bei der Datenschutzbehörde beschwert.”
Eine Geldstrafe hat die Behörde nicht verhängt, was Noyb als “überraschend” bezeichnet. Denn außer Frankreich hatte auch die italienische Datenschutzbehörde bereits eine Strafe in Höhe von 20 Millionen Euro verhängt. In Griechenland wurde ebenfalls ein Bußgeld in dieser Höhe festgelegt. In Großbritannien muss Clearview umgerechnet etwa 8,9 Millionen Euro zahlen.
Auch der damalige Hamburgische Datenschutzbeauftragte Johannes Caspar hatte im März 2020 ein Prüfverfahren gegen Clearview eingeleitet. Grundlage dafür war die Beschwerde eines Betroffenen, der bei Clearview Auskunft über seine Daten nach DSGVO angefordert hatte. Im August 2020 hatte Caspar festgestellt, dass für die Verarbeitung biometrischer Daten durch Clearview keine Rechtsgrundlage vorliege – und angeordnet, dass Clearview das biometrische Profil des Betroffenen löschen muss.
Clearview war im Jahr 2020 durch eine Recherche der New York Times in den Fokus der Öffentlichkeit geraten: Das Unternehmen sammelt automatisiert öffentlich zugängliche Bilder im Internet und hat so eine umfassende Datenbank zur Gesichtserkennung aufgebaut. Nach eigenen Angaben befinden sich darin inzwischen mehr als 30 Milliarden Bilder von Personen. (js)