Italien: Millionenstrafe für Clearview
Die italienische Datenschutzbehörde hat eine Strafe in Höhe von 20 Millionen Euro gegen Clearview AI verhängt. Das US-amerikanische Unternehmen sammelt Fotos von Menschen im Internet und soll inzwischen eine Gesichtserkennungsdatenbank mit mehreren Milliarden Einträgen zusammengestellt haben. Diese Daten habe das Unternehmen ohne Rechtsgrundlage verarbeitet, teilte die italienische Behörde am Mittwoch mit.
Die Behörde hat Clearview angewiesen, die Daten von Personen in Italien zu löschen. Solche Daten darf das Unternehmen auch nicht weiter erheben oder verarbeiten.
Die Datenschützer hatten ihre Untersuchung aufgrund von Beschwerden eingeleitet. Dabei sei festgestellt worden, dass Clearview Bilder von italienischen Staatsangehörigen und anderen in Italien ansässigen Personen gesammelt hat. Diese Daten nutzt Clearview auch für eine biometrische Gesichtserkennung – biometrische Daten stuft die Datenschutzgrundverordnung (DSGVO) als besonders schützenswert ein. Die Behörde monierte, das Unternehmen habe diese Daten ohne Rechtsgrundlage verarbeitet.
Nach Ansicht der Behörde hat Clearview darüber hinaus gegen mehrere Grundsätze der DSGVO verstoßen: Beispielsweise gegen den Grundsatz der Transparenz, da Betroffene nicht angemessen informiert werden. Auch gegen das Zweckbindungsgebot verstoße das Unternehmen. Denn es verarbeite die Daten zu einem anderen Zweck, als von den Nutzerinnen und Nutzern vorgesehen. Clearview habe daher auch gegen das Recht auf Privatsphäre verstoßen.
Die Behörde ordnete an, dass die Firma einen Vertreter in der EU benennen muss. Dadurch soll es für Betroffene einfacher werden, ihre Rechte wahrzunehmen.
Datenbank umfasst Milliarden Fotos
Clearview war im Jahr 2020 durch eine Recherche der New York Times in den Fokus der Öffentlichkeit geraten: Das Unternehmen sammelt automatisiert öffentlich zugängliche Bilder in den sozialen Medien und auf Internetseiten und hat so eine umfassende Datenbank zur Gesichtserkennung aufgebaut. Darin sollen sich inzwischen mehr als 10 Milliarden Bilder befinden. Die Software verkauft das Unternehmen nach eigener Aussage nur an Strafverfolgungsbehörden. Allerdings hatte die New York Times damals berichtet, auch private Unternehmen setzten sie ein.
Kunden können Fotos in das System hochladen und nach Übereinstimmungen in der Datenbank suchen – sie bekommen dann alle verfügbaren Daten zu einer Person angezeigt. Wie die italienische Datenschutzbehörde in ihrer Mitteilung beschreibt, zählen dazu beispielsweise in den Fotos eingebettete Standortdaten oder Informationen, die zusammen mit dem gefundenen Foto veröffentlicht wurden.
Untersuchungen in Großbritannien und Frankreich
Zuvor waren bereits weitere europäische Datenschützer gegen das Unternehmen vorgegangen: Im November hatte die britische Datenschutzbehörde eine vorläufige Strafe von umgerechnet ebenfalls 20 Millionen Euro verhängt. Bis Mitte 2022 soll in Großbritannien eine endgültige Entscheidung fallen. Und im Dezember hatte die französische Datenschutzbehörde das Unternehmen angewiesen, alle gespeicherten Daten von Einwohnern Frankreichs zu löschen.
In anderen Ländern steht das Unternehmen ebenfalls unter Druck. So hatten kanadische Datenschutzbehörden Ende vergangenen Jahres ebenfalls verfügt, das Unternehmen müsse alle Daten löschen, die von Bewohnerinnen und Bewohnern aus drei Provinzen erhoben wurden.
Bereits Anfang November hatte die australische Datenschutzbehörde einen Verstoß von Clearview gegen die Privatsphäre festgestellt – und die Datenlöschung angeordnet.
Und in den USA hatten vier Abgeordnete der Demokraten Anfang Februar das Justiz- und das Verteidigungsministerium sowie das Ministerium für Innere Sicherheit und das Innenministerium aufgefordert, den Einsatz der Gesichtserkennungssoftware zu stoppen. Sie mahnten, die Technologie könne das Ende der Anonymität in der Öffentlichkeit bedeuten.
In den USA sind zudem mehrere Klagen gegen das Unternehmen anhängig.
In Deutschland hatte der damalige Hamburgische Datenschutzbeauftragte Johannes Caspar im März 2020 ein Prüfverfahren gegen Clearview AI eingeleitet. Grundlage dafür war die Beschwerde eines Betroffenen, der bei Clearview Auskunft über seine Daten gefordert hatte. Im August 2020 hatte Caspar angeordnet, dass Clearview das biometrische Profil des Betroffenen löschen muss.
Ein Sprecher des Bundesdatenschutzbeauftragten teilte Posteo im Januar auf Anfrage mit, “aufgrund der föderalen Organisation des Datenschutzes in Deutschland für den nicht-öffentlichen Bereich” seien hierzulande “grundsätzlich die jeweiligen Landesbeauftragten für den Datenschutz zuständig” – und verwies auf die Untersuchung in Hamburg.
Clearview will noch mehr Daten sammeln
Clearview plant indessen, das eigene Geschäft weiter auszubauen. Die Washington Post hatte im Februar über eine an Investoren gerichtete Unternehmenspräsentation berichtet: Demnach will Clearview die Anzahl der gesammelten Gesichtsbilder innerhalb eines Jahres auf 100 Milliarden erhöhen. Das Unternehmen behauptet, damit ließe sich “fast jeder Mensch auf der Welt” identifizieren.
Nach den Recherchen der New York Times vor zwei Jahren hatten unter anderem Facebook, Google, Twitter und LinkedIn verlangt, dass Clearview keine Daten von ihren Plattformen abgreift. Clearview hatte argumentiert, da die Daten öffentlich seien, habe man das Recht, sie zu nutzen. Auf ihrer Internetseite gibt die Firma weiterhin an, Daten aus sozialen Medien zu verwenden. (js)