Gesichtserkennung: Clearview soll Daten von CCC-Mitglied löschen

Das US-amerikanische Startup Clearview AI verletzt mit dem Aufbau seiner Gesichtserkennungsdatenbank die Rechte von EU-Bürgern. Diese Auffassung vertritt der Hamburgische Datenschutzbeauftragte Johannes Caspar in einer Anordnung an das Unternehmen (PDF), mit der die Löschung von gespeicherten biometrischen Daten des Hamburgers Matthias Marx durchgesetzt werden soll. Laut Caspar muss Clearview die Vorgaben der EU-Datenschutzverordnung (DSGVO) auch dann einhalten, wenn das Unternehmen über keine Niederlassung in der EU verfügt.

Die bis Januar 2020 kaum bekannte Firma Clearview soll in den vergangenen Jahren heimlich eine Gesichtsdatenbank mit Milliarden von Fotos aufgebaut haben. Aus einem Leak der Kundenliste ging hervor, dass die Machine-Learning-Software bei insgesamt 2.200 Organisationen im Einsatz ist. Dazu gehören Behörden wie das FBI, aber auch US-Supermarktketten wie Walmart, Bestbuy und Macy's. Einige Kunden sollen ihren Zugang zur Datenbank privat verwendet haben, um sie Freunden, Verwandten oder Bekannten zu zeigen.

Löschung von Hashwerten gefordert

Aufgrund einer Beschwerde von Marx, der auch Mitglied im Chaos Computer Club (CCC) ist, hatte Caspar im März 2020 ein Prüfverfahren gegen Clearview eingeleitet. Der Behörde zufolge war damals noch unklar, ob bereits der normale Zugriff auf die Datenbank ein Problem darstellt oder lediglich die Nutzung der Gesichtserkennungs-App in der Öffentlichkeit. Im vergangenen August erhöhte Caspar den Druck auf das Unternehmen und wies Clearview unter Androhung eines Zwangsgeldes an, die gewünschten Auskünfte zu erteilen.

Nun heißt es in der Anordnung vom 27. Januar 2021, dass Clearview die Hashwerte löschen soll, die für Marx generiert worden seien. Zudem solle Clearview dem Datenschutzbeauftragten die Löschung bestätigen. Die Löschanordnung wird damit begründet, dass Marx der Verarbeitung seiner Daten nicht zugestimmt habe.

Verfolgung von Internetaktivitäten

Dabei verweist Caspar auf Erwägungsgrund 24 der DSGVO, in dem es heißt: "Die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter sollte auch dann dieser Verordnung unterliegen, wenn sie dazu dient, das Verhalten dieser betroffenen Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt." Eine Verhaltensbeobachtung soll demnach daran festgemacht werden, "ob ihre Internetaktivitäten nachvollzogen werden".

Laut Caspar trifft das im Falle von Clearview zu, auch wenn das Unternehmen behaupte, die gespeicherten Nutzer nicht über einen längeren Zeitraum zu überwachen, sondern lediglich einen "Schnappschuss" von Fotos zu speichern, die im Internet verfügbar seien. Caspar verweist jedoch darauf, dass in dem Datenbankauszug, den Marx im Mai 2020 von Clearview erhalten habe, auch ältere Fotos aus dem Jahr 2012 zu finden gewesen seien. Clearview habe "eine zielgerichtete Zusammenstellung seiner Internetaktivitäten erstellt und mit entsprechenden Quellen versehen".

Der besondere Schutz biometrischer Daten, wie er in Artikel 9 der DSGVO vorgesehen ist, wird der Anordnung zufolge nicht gewahrt. Demnach müssen Nutzer der Verarbeitung solcher Daten "ausdrücklich" zustimmen.

Jeder EU-Bürger muss sich selbst beschweren

Die österreichische Datenschutzorganisation Noyb, die die Beschwerde unterstützt hat, ist mit der Anordnung Caspars nicht ganz zufrieden. Leider habe die Behörde "eine sehr enge Anordnung erlassen, die nur den Beschwerdeführer schützt, aber nicht das Sammeln von Fotos aller Europäern verbietet", heißt es in einer Stellungnahme. Da eine solche allgemeine Anordnung fehle, müsse nun jeder Europäer seine eigene Beschwerde gegen Clearview AI einreichen, um nicht in den Suchergebnissen der biometrischen Datenbank aufzutauchen.

Die Behörde begründete den Verzicht auf eine allgemeine Anordnung damit, dass Clearview AI in seiner Datenbank keine Informationen über den Wohnort der Betroffenen speichere. "Davon ist nicht auszugehen", sagte die Behörde dem Spiegel zufolge. Es sei aber klar, "dass der Anspruch auf Löschung jedem Betroffenen zusteht, dessen Daten rechtswidrig verarbeitet werden".

Laut Noyb können Clearview AI und Marx bis 12. Februar Rechtsmittel vor Gericht gegen die Anordnung einlegen. Noyb will einen Widerspruch prüfen, um sicherzustellen, dass alle Daten und nicht nur die Hashwerte des Betroffenen gelöscht werden.

Löschanfrage ohne Ausweiskopie möglich

Clearview gesteht Betroffenen unter anderem das Recht zu, "unter bestimmten Bedingungen" eine Löschung der gespeicherten Fotos zu verlangen. Entsprechende Anfragen sind per E-Mail oder Webformular möglich. Dies gilt auch für Nutzer aus der Europäischen Union.

Allerdings muss dazu ein persönliches Foto hochgeladen werden, da Clearview nach eigenen Angaben keine anderen Informationen als öffentlich zugängliche Fotos gespeichert hat. Für eine solche Überprüfung ist neben einer E-Mail-Adresse zunächst kein weiteres Dokument zur Identifizierung erforderlich.