Kanadisches Gericht bestätigt Datenschutzverstöße durch Clearview
Das umstrittene Unternehmen Clearview AI darf keine Bilder von Bewohnerinnen und Bewohnern der kanadischen Provinz British Columbia sammeln. Das hat der dortige Supreme Court geurteilt und damit eine Entscheidung der Datenschutzbehörde aus dem Jahr 2021 bestätigt.
Clearview hat massenhaft Fotos von Menschen im Internet gesammelt, um diese für Gesichtserkennung zu verwenden. Unternehmensangaben zufolge soll die Datenbank inzwischen mehr als 50 Milliarden Einträge umfassen.
Das Unternehmen sammelt diese Bilder, ohne die Zustimmung der Betroffenen einzuholen. Die Datenschutzbehörde der kanadischen Provinz British Columbia hatte deshalb im Dezember 2021 festgestellt, dass das Unternehmen gegen den “Personal Information Protection Act” verstoßen hat. Clearview wurde angewiesen, alle Daten zu löschen, die es von Bewohnerinnen und Bewohnern der Provinz gesammelt hat – und auch keine weiteren Daten zu sammeln.
Gericht bestätigt Anordnung
Clearview war gerichtlich gegen diese Anordnung vorgegangen. Doch das Oberste Gericht von British Columbia hat die Entscheidung der Datenschutzbehörde nun bestätigt, wie die kanadische Jura-Nachrichtenseite Lexpert in der vergangenen Woche berichtete.
Demnach hatte das US-amerikanische Unternehmen unter anderem argumentiert, der “Personal Information Protection Act” sei in diesem Fall nicht anwendbar, weil Clearview keine kanadische Firma ist. Das Gericht wies dieses Argument jedoch zurück und bestätigte die Zuständigkeit der Datenschutzbehörde.
Eigenen Angaben zufolge verkauft Clearview den Zugang zu seiner Datenbank nur an staatliche Stellen. In Kanada hatten Strafverfolgungsbehörden die Dienste zeitweise ebenfalls genutzt – allerdings bietet Clearview sein Produkt seit dem Sommer 2020 nicht mehr in dem Land an. Das Unternehmen hat aber angekündigt, zu einem späteren Zeitpunkt auf den kanadischen Markt zurückkehren zu wollen.
Das Gericht stellte dazu nun fest, dass dieser freiwillige Rückzug aus Kanada das Unternehmen nicht von der behördlichen Aufsicht befreie. Andernfalls könnten Unternehmen einen solchen Schritt während laufender behördlicher Untersuchungen wählen, um sich Maßnahmen zu entziehen. Außerdem habe Clearview weiterhin Daten von Personen in Kanada gesammelt.
Zudem hatte das Unternehmen behauptet, es benötige keine Zustimmung der Betroffenen, weil die gesammelten Daten “öffentlich zugänglich” seien. Doch auch in diesem Punkt stimmte das Gericht der Datenschutzaufsicht zu, die festgestellt hatte, dass beispielsweise in den sozialen Netzwerken veröffentlichte Informationen nicht als “öffentlich zugänglich” im Sinne des “Personal Information Protection Act” gelten.
Warnung vor Datenleck
Außerdem stellte das Gericht fest, dass Clearview sich nicht auf eine Rechtsgrundlage zum Sammeln von Milliarden Bildern für eine kommerzielle Gesichtserkennung berufen könne. Diese Praktik berge vielmehr Risiken – beispielsweise eines Datendiebstahls, bei dem die sensiblen biometrischen Daten von Milliarden Menschen in die falschen Hände gelangen könnten.
Bereits im Jahr 2021 hatte Clearview zudem behauptet, es könne nicht feststellen, ob Bilder beispielsweise in Kanada aufgenommen oder ob darauf Einwohner Kanadas zu sehen sind – und diese daher nicht löschen. Doch die Datenschutzbehörde hatte schon damals auf ein Gerichtsverfahren im US-Bundesstaat Illinois verwiesen: Dort hatte das Unternehmen erklärt, alle Bilder aus seiner Suche auszuschließen, deren Metadaten einen Aufnahmestandort in Illinois verraten – und solche Bilder auch nicht mehr zu sammeln. Dieselben Vorkehrungen müsse das Unternehmen nun auch für Bewohnerinnen und Bewohner von British Columbia treffen, so das Gericht.
Illegale Massenüberwachung
Der Anordnung des Datenschutzbeauftragten von British Columbia war das Ergebnis einer gemeinsamen Untersuchung mit Datenschützern aus weiteren Provinzen sowie dem damaligen obersten kanadischen Datenschützer, Daniel Therrien. Dieser hatte bereits Anfang 2021 kritisiert: “Was Clearview macht, ist Massenüberwachung, und es ist illegal.”
Die Datenschützer hatten zunächst Empfehlungen ausgesprochen. Weil Clearview sich aber geweigert hatte, diese umzusetzen, folgte eine verbindliche Anweisung.
Auch in der EU sind Datenschützer bereits mehrfach gegen das Unternehmen vorgegangen: Zuletzt hatte die niederländische Datenschutzbehörde DPA hat eine Strafe in Höhe von 30,5 Millionen Euro verhängt, weil Clearview mehrfach gegen die Datenschutzgrundverordnugn (DSGVO) verstoßen habe.
Unter anderem die Datenschutzbehörden in Italien, Griechenland und Frankreich haben in den vergangenen Jahren ebenfalls Geldbußen gegen das Unternehmen verhängt.
In Deutschland hatte der damalige Hamburgische Datenschutzbeauftragte Johannes Caspar im März 2020 ein Prüfverfahren gegen Clearview AI eingeleitet. Grundlage dafür war die Beschwerde eines Betroffenen, der bei Clearview Auskunft über seine Daten gefordert hatte. Im August 2020 hatte Caspar angeordnet, dass Clearview das biometrische Profil des Betroffenen löschen muss.
Clearview macht weiter
Die niederländische Datenschutzbehörde hatte im September allerdings auch kritisiert, trotz vorheriger Geldbußen in anderen Ländern scheine Clearview keine Änderungen vorzunehmen. So hatte die australische Datenschutzaufsicht im August etwa bekannt gegeben, sie werde nicht weiter versuchen, ihre 2021 ergangene Anordnung gegen das Unternehmen durchzusetzen. Damals hatte die Behörde ebenfalls eine Datenlöschung verlangt. Es gebe aber keine Anzeichen, dass Clearview dem nachgekommen sei.
Die niederländische Behörde wollte daher prüfen, ob die Geschäftsführer persönlich für die Datenschutzverstöße haftbar gemacht werden können. (js)