Niederländische Datenschützer verhängen Millionenstrafe gegen Clearview
Die niederländische Datenschutzbehörde DPA hat eine Strafe in Höhe von 30,5 Millionen Euro gegen Clearview AI verhängt. Sie wirft dem US-Unternehmen vor, eine illegale Gesichtserkennungsdatenbank mit Milliarden Fotos aufgebaut zu haben. Nun prüfen die Datenschützer auch, ob die Geschäftsführer persönlich belangt werden können. Das teilte die Behörde am Dienstag mit.
Clearview hat massenhaft Fotos von Menschen im Internet gesammelt, um diese für Gesichtserkennung zu verwenden. Die Datenbank soll inzwischen mehr als 50 Milliarden Einträge umfassen. Ohne notwendige Rechtsgrundlage habe Clearview auch Daten von Niederländerinnen und Niederländern verarbeitet, so die DPA.
Clearview zufolge wird der Zugang zu der Software nur an Strafverfolgungs- und Sicherheitsbehörden verkauft. Einer breiteren Öffentlichkeit war das US-Unternehmen im Jahr 2020 durch Recherchen der New York Times bekannt geworden.
Die niederländische Aufsichtsbehörde wirft dem Unternehmen nun “schwere Verstöße” gegen die Europäische Datenschutzgrundverordnung (DSGVO) vor – und hat deshalb eine Geldbuße in Höhe von 30,5 Millionen Euro verhängt.
Illegale Datenbank
Nach Ansicht der Behörde hätte Clearview die Datenbank nie aufbauen dürfen. Vor allem die besonders sensiblen biometrischen Daten dürfe das Unternehmen nicht sammeln. Zwar gebe es Ausnahmefälle, in denen die Verarbeitung biometrischer Daten zulässig ist, auf die sich das Unternehmen aber nicht berufen könne.
Außerdem monieren die Datenschützer mangelnde Transparenz, weil Clearview betroffene Personen nur unzureichend darüber informiere, dass ihre Fotos und biometrischen Daten verwendet werden. Auf Anfrage müsse Clearview laut DSGVO mitteilen, welche Daten der jeweiligen Person gespeichert sind. Solchen Auskunftsanträgen komme die Firma aber nicht nach.
Die Behörde hat Clearview angewiesen, die Datenschutzverstöße zu beenden. Sollte das Unternehmen dem nicht nachkommen, müsse es mit einer zusätzlichen Strafe von bis zu 5,1 Millionen Euro rechnen.
Der Vorsitzende der Datenschutzbehörde, Aleid Wolfsen, erklärte, Gesichtserkennungstechnologie greife in hohem Maße in die Privatsphäre ein. Diese könne “man nicht einfach auf jeden Menschen in der Welt loslassen”. Jede Person, von der sich im Internet ein Foto finde, könne auch in der Datenbank erfasst und überwacht werden.
Nutzung nicht erlaubt
Wolfsen ist der Ansicht, Gesichtserkennung könne zwar einen Beitrag zur Verbrechensaufklärung leisten, zuständige Behörden dürften eine solche Software aber nur in absoluten Ausnahmefällen verwenden. Die Polizei müsse eine solche Datenbank unter Aufsicht von Datenschützern selbst verwalten, anstatt auf die Dienstleistungen eines kommerziellen Anbieters zurückzugreifen.
Der Vorsitzende sprach auch eine Warnung an niederländische Einrichtungen aus: Clearview verstoße gegen das Gesetz, weshalb auch die Nutzung der Dienste illegal sei. Bei Zuwiderhandlung müsse mit hohen Geldstrafen gerechnet werden.
Die niederländische Datenschutzbehörde hatte ihre Untersuchung im vergangenen Jahr eingeleitet, nachdem sie mehrere Beschwerden gegen Clearview erhalten hatte. Die Entscheidung wurde Clearview bereits im Mai mitgeteilt. Weil die Firma keinen Einspruch eingelegt habe, könne sie nun nicht mehr gegen die Geldbuße vorgehen.
In einer an US-Medien versendeten Stellungnahme erklärte der Leiter von Clearviews Rechtsabteilung, das Unternehmen habe weder eine Niederlassung noch Kunden in den Niederlanden oder der EU und falle nicht unter die Bestimmungen der DSGVO. Die Entscheidung der niederländischen Behörde hält das Unternehmen für rechtswidrig und “nicht vollstreckbar”.
Frühere Datenschutzstrafen
In der EU sind bereits mehrere Datenschutzbehörden gegen das Unternehmen vorgegangen: So hatte beispielsweise die italienische Aufsichtsbehörde im Jahr 2022 eine Strafe in Höhe von 20 Millionen Euro verhängt. In Frankreich haben Datenschützer Geldbußen in Höhe von insgesamt 25,2 Millionen Euro gefordert.
In Großbritannien war das Unternehmen erfolgreich gegen eine Datenschutzstrafe vorgegangen. Ein britisches Gericht hatte Ende 2023 entschieden, dass die dortige Aufsichtsbehörde nicht zuständig sei. Die Datenschutzbehörde hatte daraufhin angekündigt, in Berufung gehen zu wollen.
Ende August hatte außerdem die australische Datenschutzbehörde bekannt gegeben, sie werde nicht weiter versuchen, ihre 2021 ergangene Anordnung gegen das Unternehmen durchzusetzen. Damals hatte die Behörde Clearview angewiesen, Bilder von Australierinnen und Australiern innerhalb von 90 Tagen zu löschen. Bisher gebe es keine Anzeichen, dass Clearview dem nachgekommen sei.
Geschäftsführer haftbar?
Auch die niederländische Datenschutzbehörde teilte mit, trotz vorheriger Geldbußen in anderen Ländern scheine Clearview keine Änderungen vorzunehmen. Deshalb suche die Behörde nun nach Wegen, um sicherzustellen, dass die Datenschutzverstöße beendet werden. Unter anderem soll deshalb geprüft werden, ob die Geschäftsführer persönlich haftbar gemacht werden können.
Wolfsen erklärte dazu, das Unternehmen könne nicht weiter die Rechte von Europäern in “dieser gravierenden Art und Weise und in diesem Ausmaß” verletzen und “damit davonkommen”. Deshalb prüfe die Behörde nun, ob die Geschäftsführer mit einer Geldstrafe belegt werden können, weil sie die Datenschutzverstöße veranlasst hätten. Verantwortliche könnten bereits haften, wenn sie von DSGVO-Verstößen wissen und es trotz entsprechender Befugnis unterlassen, diese zu unterbinden.
In den USA hat Clearview im Juli einen Vergleich in einem Verfahren in Illinois geschlossen. Auch in diesem Fall war dem Unternehmen vorgeworfen worden, die Rechte von Betroffenen durch die umfangreiche Datensammlung zu verletzen. Im Rahmen des Vergleichs hat der Anbieter ein Vergehen jedoch nicht eingeräumt. (js)