Gesichtserkennung: Clearview soll Daten von CCC-Mitglied löschen

Der Hamburgische Datenschutzbeauftragte macht Druck auf das US-Startup Clearview AI. Doch die Löschanordnung betrifft nur einen Einzelfall.

Artikel veröffentlicht am ,
Gesichtserkennung ist eine stark umstrittene Technik.
Gesichtserkennung ist eine stark umstrittene Technik. (Bild: Mehdi Chebil/Reuters)

Das US-amerikanische Startup Clearview AI verletzt mit dem Aufbau seiner Gesichtserkennungsdatenbank die Rechte von EU-Bürgern. Diese Auffassung vertritt der Hamburgische Datenschutzbeauftragte Johannes Caspar in einer Anordnung an das Unternehmen (PDF), mit der die Löschung von gespeicherten biometrischen Daten des Hamburgers Matthias Marx durchgesetzt werden soll. Laut Caspar muss Clearview die Vorgaben der EU-Datenschutzverordnung (DSGVO) auch dann einhalten, wenn das Unternehmen über keine Niederlassung in der EU verfügt.

Stellenmarkt
  1. Leiter IT (m/w/d)
    RAU | FOOD RECRUITMENT GmbH, Oyten bei Bremen
  2. Fachinformatiker / Informatiker (m/w/d)
    Dr. Hobein (Nachf.) GmbH, med. Hautpflege / EUBOS, Meckenheim bei Bonn
Detailsuche

Die bis Januar 2020 kaum bekannte Firma Clearview soll in den vergangenen Jahren heimlich eine Gesichtsdatenbank mit Milliarden von Fotos aufgebaut haben. Aus einem Leak der Kundenliste ging hervor, dass die Machine-Learning-Software bei insgesamt 2.200 Organisationen im Einsatz ist. Dazu gehören Behörden wie das FBI, aber auch US-Supermarktketten wie Walmart, Bestbuy und Macy's. Einige Kunden sollen ihren Zugang zur Datenbank privat verwendet haben, um sie Freunden, Verwandten oder Bekannten zu zeigen.

Löschung von Hashwerten gefordert

Aufgrund einer Beschwerde von Marx, der auch Mitglied im Chaos Computer Club (CCC) ist, hatte Caspar im März 2020 ein Prüfverfahren gegen Clearview eingeleitet. Der Behörde zufolge war damals noch unklar, ob bereits der normale Zugriff auf die Datenbank ein Problem darstellt oder lediglich die Nutzung der Gesichtserkennungs-App in der Öffentlichkeit. Im vergangenen August erhöhte Caspar den Druck auf das Unternehmen und wies Clearview unter Androhung eines Zwangsgeldes an, die gewünschten Auskünfte zu erteilen.

Nun heißt es in der Anordnung vom 27. Januar 2021, dass Clearview die Hashwerte löschen soll, die für Marx generiert worden seien. Zudem solle Clearview dem Datenschutzbeauftragten die Löschung bestätigen. Die Löschanordnung wird damit begründet, dass Marx der Verarbeitung seiner Daten nicht zugestimmt habe.

Verfolgung von Internetaktivitäten

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Dabei verweist Caspar auf Erwägungsgrund 24 der DSGVO, in dem es heißt: "Die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter sollte auch dann dieser Verordnung unterliegen, wenn sie dazu dient, das Verhalten dieser betroffenen Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt." Eine Verhaltensbeobachtung soll demnach daran festgemacht werden, "ob ihre Internetaktivitäten nachvollzogen werden".

Laut Caspar trifft das im Falle von Clearview zu, auch wenn das Unternehmen behaupte, die gespeicherten Nutzer nicht über einen längeren Zeitraum zu überwachen, sondern lediglich einen "Schnappschuss" von Fotos zu speichern, die im Internet verfügbar seien. Caspar verweist jedoch darauf, dass in dem Datenbankauszug, den Marx im Mai 2020 von Clearview erhalten habe, auch ältere Fotos aus dem Jahr 2012 zu finden gewesen seien. Clearview habe "eine zielgerichtete Zusammenstellung seiner Internetaktivitäten erstellt und mit entsprechenden Quellen versehen".

Der besondere Schutz biometrischer Daten, wie er in Artikel 9 der DSGVO vorgesehen ist, wird der Anordnung zufolge nicht gewahrt. Demnach müssen Nutzer der Verarbeitung solcher Daten "ausdrücklich" zustimmen.

Jeder EU-Bürger muss sich selbst beschweren

Die österreichische Datenschutzorganisation Noyb, die die Beschwerde unterstützt hat, ist mit der Anordnung Caspars nicht ganz zufrieden. Leider habe die Behörde "eine sehr enge Anordnung erlassen, die nur den Beschwerdeführer schützt, aber nicht das Sammeln von Fotos aller Europäern verbietet", heißt es in einer Stellungnahme. Da eine solche allgemeine Anordnung fehle, müsse nun jeder Europäer seine eigene Beschwerde gegen Clearview AI einreichen, um nicht in den Suchergebnissen der biometrischen Datenbank aufzutauchen.

Die Behörde begründete den Verzicht auf eine allgemeine Anordnung damit, dass Clearview AI in seiner Datenbank keine Informationen über den Wohnort der Betroffenen speichere. "Davon ist nicht auszugehen", sagte die Behörde dem Spiegel zufolge. Es sei aber klar, "dass der Anspruch auf Löschung jedem Betroffenen zusteht, dessen Daten rechtswidrig verarbeitet werden".

Laut Noyb können Clearview AI und Marx bis 12. Februar Rechtsmittel vor Gericht gegen die Anordnung einlegen. Noyb will einen Widerspruch prüfen, um sicherzustellen, dass alle Daten und nicht nur die Hashwerte des Betroffenen gelöscht werden.

Löschanfrage ohne Ausweiskopie möglich

Clearview gesteht Betroffenen unter anderem das Recht zu, "unter bestimmten Bedingungen" eine Löschung der gespeicherten Fotos zu verlangen. Entsprechende Anfragen sind per E-Mail oder Webformular möglich. Dies gilt auch für Nutzer aus der Europäischen Union.

Allerdings muss dazu ein persönliches Foto hochgeladen werden, da Clearview nach eigenen Angaben keine anderen Informationen als öffentlich zugängliche Fotos gespeichert hat. Für eine solche Überprüfung ist neben einer E-Mail-Adresse zunächst kein weiteres Dokument zur Identifizierung erforderlich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Clubhouse  
3,8 Milliarden Telefonnummern werden im Darknet verkauft

Die Telefonnummern und Kontakte aller Clubhouse-Konten werden wohl im Darknet angeboten. Nummern werden nach ihrer Wichtigkeit eingestuft.

Clubhouse: 3,8 Milliarden Telefonnummern werden im Darknet verkauft
Artikel
  1. iPhone 12: Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus
    iPhone 12
    Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus

    Ein Youtuber nimmt das Apple Magsafe-Akkupack auseinander. Im Video gibt er einen Einblick in die Technik und die Akkuladung des Produktes.

  2. Teilautonomes Fahren: Magna übernimmt Fahrerassistenz-Spezialisten Veoneer
    Teilautonomes Fahren
    Magna übernimmt Fahrerassistenz-Spezialisten Veoneer

    Für insgesamt 3,8 Milliarden US-Dollar will Magna International sein Geschäftsfeld autonome Fahrfunktionen ausbauen und übernimmt Veoneer.

  3. Elon Musk: Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad
    Elon Musk
    Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad

    Elon Musk hat klargestellt, dass es für das Model S und das Model X kein normales Lenkrad mehr geben wird. Das D-förmige Lenkrad ist Pflicht.

carcorpses 31. Jan 2021

Ich habe mich erstmal weiter informieren müssen woher sie überhaupt die Bilder bekommen...

Denni 28. Jan 2021

will auch opt-out

thrust26 28. Jan 2021

Damit meine Rechte gewährt werden muss ich der Datenkrake also meine Mail Adresse und...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% auf Amazon Warehouse • LG 55NANO867NA 573,10€ • Fractal Design Meshify C Mini 69,90€ • Amazon: PC-Spiele von EA im Angebot (u. a. FIFA 21 19,99€) • Viewsonic VG2719-2K (WQHD, 99% sRGB) 217,99€ • Alternate (u. a. Fractal Design Define S2 106,89€) • Roccat Horde Aimo 49€ [Werbung]
    •  /