Gesichtserkennung: Clearview soll Fotos italienischer Nutzer löschen

Die italienische Datenschutzbehörde untersagt dem US-Startup Clearview AI die Nutzung von Fotos und Daten italienischer Bürger zur Gesichtserkennung. Eine Untersuchung habe gezeigt, dass die vom Unternehmen gespeicherten personenbezogenen Daten, einschließlich biometrischer und Geolokalisierungsinformationen, ohne angemessene Rechtsgrundlage rechtswidrig verarbeitet wurden, teilte die Behörde am 9. März 2022 zur Begründung mit. Zugleich wurde ein Bußgeld in Höhe von 20 Millionen Euro verhängt.

Darüber hinaus habe das Unternehmen gegen mehrere Grundprinzipien der EU-Datenschutzgrundverordnung verstoßen. Dazu zähle das Prinzip der Transparenz, da es die Nutzer nicht angemessen informiert habe. Das Gebot der Zweckbindung sei nicht erfüllt, da Clearview die Daten für andere Zwecke verarbeitet habe, als sie ursprünglich vorgesehen gewesen seien. Zudem werde gegen das Prinzip der Speicherbeschränkung verstoßen, da keine Datenspeicherfrist festgelegt werde.

Ebenfalls wurde Clearview AI angewiesen, einen rechtlichen Vertreter in der EU zu benennen, damit die Betroffenen leichter ihre Rechte wahrnehmen können.

Wie Clearview die Anweisung umsetzen kann, ist allerdings unklar. Denn das Unternehmen hat zwar nach eigenen Angaben inzwischen 10 Milliarden Gesichtsfotos in seiner Datenbank gespeichert und, falls verfügbar, die dazugehörigen Geodaten. Es kann jedoch die darauf abgebildeten Personen nicht eindeutig identifizieren und einer Nationalität zuordnen.

Die genaue Identifikation dürfte in der Regel die Aufgabe der Behörden sein, die die Fundstellen der Fotos analysieren müssen. Daher ist Clearview auch nicht in der Lage, die Nutzer über die Aufnahme ihrer Fotos in die Datenbank zu informieren und deren Zustimmung einzuholen.

Bis März 2021 gab es für EU-Bürger noch die Möglichkeit, die Löschung der eigenen Fotos zu verlangen. Dazu musste ein persönliches Foto hochgeladen werden, da Clearview nach eigenen Angaben keine anderen Informationen als öffentlich zugängliche Fotos gespeichert hatte. Diese Möglichkeit gibt es derzeit im Grunde nur für die Bürger des US-Bundesstaats Kalifornien.

Bundesdatenschutzbeauftragter nicht zuständig

Andere Datenschützer in Europa sehen das Unternehmen ebenfalls kritisch. So wollte der frühere Hamburgische Datenschutzbeauftragte Johannes Caspar in einer Anordnung durchsetzen, dass Clearview die gespeicherten biometrischen Daten des Hamburgers Matthias Marx löscht. Laut Caspar muss Clearview die Vorgaben der EU-Datenschutzverordnung (DSGVO) auch dann einhalten, wenn das Unternehmen über keine Niederlassung in der EU verfügt.

Ein Sprecher des Bundesdatenschutzbeauftragten Ulrich Kelber teilte auf Anfrage von Golem.de mit: "Da Clearview keinen Sitz innerhalb der EU hat, sind immer die Datenschutzaufsichtsbehörden am Wohnort der Beschwerdeführenden zuständig. Aufgrund der föderalen Organisation des Datenschutzes in Deutschland hat der BfDI daher bei Clearview keine Zuständigkeit. Uns ist aktuell auch nur von den Kolleginnen und Kollegen aus Hamburg bekannt, dass diese bereits Maßnahmen bei Clearview ergriffen haben."

Für den Hamburgischen Datenschutzbeauftragten hat sich das Thema derzeit aber offenbar erledigt. "Nachdem wir unseren konkreten Fall im letzten Jahr insofern abgeschlossen haben, als dass Clearview die biometrischen Daten des Beschwerdeführers aus Hamburg nicht mehr verwenden wird, gibt es derzeit keine weiteren Neuigkeiten", teilte eine Sprecherin mit.