Mein Gesicht für die Trainingsdaten
Fast hätte ich es übersehen, denn es steht versteckt in einer Tabelle auf Seite 6 der Datenschutzerklärung unter "berechtigte Interessen" : Persona verwendet hochgeladene Bilder von Ausweisdokumenten – also von meinem Reisepass – zum Trainieren seiner KI. Damit bringt die Firma ihrem System bei zu erkennen, wie Reisepässe in verschiedenen Ländern aussehen. Außerdem wird mein Selbstporträt genutzt, um "Verbesserungen am Dienst zu identifizieren" .
Die Rechtsgrundlage ist nicht meine Einwilligung, Rechtsgrundlage sind "berechtigte Interessen" . Das heißt, Persona hat selbst entschieden, dass es in Ordnung sei, meine Daten so zu verwenden. Laut der DSGVO müssen Unternehmen ihre "Interessen" gegen unsere Grundrechte abwägen. Ob das Einspeisen europäischer Pässe in Machine-Learning-Modelle dem Anspruch standhält, ist eine Frage, die wir stellen sollten.
Ich kam für ein Häkchen und blieb als Trainingsdaten.
Wohin gelangen meine Daten?
Sobald Persona die Daten hat, bekommen folgende Stellen eine Kopie:
Linkedin erhält
- den vollständigen Namen
- das Geburtsjahr
- die Art des amtlichen Ausweises und die ausstellende Behörde
- das Ergebnis der Überprüfung
- eine unkenntlich gemachte Version des Ausweises. Alle Angaben außer dem Namen und dem Foto sind unkenntlich gemacht
Zugriff erhalten außerdem
- die Dienstleister von Persona, also Anbieter, die in Personas Auftrag tätig sind
- Personas "globales Netzwerk von Datenpartnern" . Diese Datenbanken von Drittanbietern funktionieren in beide Richtungen
- verbundene Unternehmen und Tochtergesellschaften – Firmen, mit denen Persona "gemeinsame Datensysteme" nutzt
- jeder, der Persona kauft; bei einer Fusion, Übernahme oder Insolvenz gehen die Daten mit dem Geschäft über und
- interessanterweise auch Strafverfolgungsbehörden
Außerdem gibt es eine von Persona veröffentlichte Liste der Unterauftragsverarbeiter, die Zugriff auf die Daten haben. Ich wünschte, ich hätte nicht so genau hingeschaut!
Die 17 Unternehmen, die mit meinem Gesicht in Berührung kommen
Unterauftragsverarbeiter sind Drittunternehmen, die unsere personenbezogenen Daten in Personas Auftrag verarbeiten. Hier ist die vollständige Liste:
| Firmenname | Was die Firma mit unseren Daten macht | Firmensitz |
|---|---|---|
| Anthropic | Datenauswertung und -analyse | San Francisco, USA |
| OpenAI | Datenauswertung und -analyse | San Francisco, USA |
| Groqcloud | Datenauswertung und -analyse | San Jose, USA |
| AWS | Infrastruktur, Bildverarbeitung | Houston, USA |
| Google Cloud Platform | Infrastructure as a Service | Mountain View, USA |
| Resistant AI | Dokumentenauswertung | New York, USA |
| Fingerprint JS | Geräteauswertung | Chicago, USA |
| MongoDB | Datenbankdienst | New York, USA |
| Snowflake | Datenbankdienst | Bozeman, USA |
| Elasticsearch | Suchmaschine und Analysetool | Mountain View, USA |
| Confluent | ETL Services | Mountain View, USA |
| DBT | ETL Services | Philadelphia, USA |
| Sigma Computing | Datenanalyse | San Francisco, USA |
| Tableau | Datenanalyse | Seattle, USA |
| Stripe | Kreditkartenverarbeitung | South San Francisco, USA |
| Twilio | Kommunikations-APIs (Smartphone, SMS) | Denver, USA |
| Persona Identities Canada | Kundenservice und Entwicklung | Toronto, Kanada |
Zählen wir mal durch: 17 Unternehmen, 16 davon in den USA, eines in Kanada, null in der EU.
Ich habe also meinen europäischen Reisepass für ein berufliches Netzwerk eingescannt und meine Daten gingen ausschließlich an nordamerikanische Unternehmen. Kein einziger in der EU ansässiger Unterauftragsverarbeiter ist in der Liste zu finden.
Und wer führt die "Datenerhebung und -analyse" durch? Anthropic, OpenAI und Groqcloud. Drei KI-Unternehmen verarbeiten unsere Reisepass- und Selfiedaten. Mein von der Regierung ausgestelltes Ausweisdokument wird den Unternehmen zugeführt, die große Sprachmodelle und KI-Systeme entwickeln.
AWS übernimmt die "Bildverarbeitung" . Das bedeutet, dass mein Gesicht durch die Infrastruktur von Amazon geleitet wird. Die "Geräteauswertung" übernimmt Fingerprint JS – ein Unternehmen, dessen Name buchstäblich auf das verweist, was es tut. Es erstellt einen Fingerabdruck meines Geräts, während Persona einen Fingerabdruck meines Gesichts erstellt.
In der Datenschutzerklärung steht, dass Daten in den "Vereinigten Staaten und Deutschland" gespeichert würden. Das mit Deutschland mag technisch gesehen wahr sein, vielleicht liegen dort einige Daten. Doch jedes der Unternehmen, das unsere Daten verarbeitet, ist amerikanisch. Der Cloud Act (PDF)(öffnet im neuen Fenster) gilt nicht nur für Persona, sondern auch für alle 16 US-Subunternehmer.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.