Geschäfte mit Datensammlung in Social Media abgegriffener Fotos

Das US-Unternehmen Clearview AI, das weltweit Milliarden von Gesichtsaufnahmen aus Social Media abgreift und, mit Zusatzinformationen ergänzt, Behörden und Unternehmen zugänglich macht, bekommt mehr Gegenwind. In Kanada haben jetzt gleich mehrere Datenschutzbehörden dieses Vorgehen als illegal eingestuft und die Einstellung dieses Dienstes gefordert. Auch der Hamburger Datenschutzbeauftragte hat eine Anordnung erlassen.

Vor gut einem Jahr sorgten Berichte über die Praktiken des Unternehmens Clearview AI für einiges Aufsehen: Das Startup hatte

  • Milliarden von Gesichtsfotos aus öffentlich zugänglichen Quellen, insbesondere aus Sozialen Netzwerken wie Facebook, Instagram und ähnlichen Diensten gesammelt
  • und die damit erstellte Datenbank zur Basis eines automatisierten Gesichtserkennungssystems gemacht.
  • Die betroffenen Personen wurden über die Erfassung und Nutzung ihrer Daten dabei nicht informiert.

Clearview sammelt im großen Stil Nutzerporträts als Datenbank für Behörden und Unternehmen

Clearview AI stellte dieses System dann Behörden und Strafverfolgern in den USA aber auch Privatfirmen zur Verfügung, die darüber Personen identifizieren konnten. Weit über 2.000 Kunden konnte das Startup bislang verzeichnen, die Liste reicht von der

  • amerikanischen Bundespolizei FBI
  • und lokalen Polizeibehörden
  • über Universitäten und Schulen
  • bis zu Supermarktketten wie Walmart,

aber auch in einigen europäischen Ländern sollen Behörden die Dienste von Clearview AI zumindest getestet haben.

Datenschutzbehörden haben das Anlegen der Datenbank als illegale Aktivität eingestuft

Nach einem ersten Sturm der Entrüstung scheinen in einigen Ländern nun Datenschutzbehörden mit Nachdruck gegen das Unternehmen vorgehen zu wollen. So haben jetzt etwa mehrere kanadische Datenschutzbehörden die Praxis von Clearview als illegal eingestuft. In einer Stellungnahme  bezeichnete der kanadische Privacy Commissioner, dessen Titel etwa dem hiesigen Bundesdatenschutzbeauftragten entspricht, die Aktivitäten explizit als Massenüberwachung sowie als eine Beleidigung der Datenschutzrechte der Betroffenen und stufte sie als „völlig inakzeptabel“ ein.

Zusammen mit den Datenschutzbehörden aus den kanadischen Provinzen Alberta, Quebec und British-Columbia stellte die Bundesbehörde einen Abschlussbericht der Untersuchungen im Fall Clearview vor. In drei Fällen attestieren sie dem Unternehmen dabei eklatante Verstöße gegen das kanadische Bundesrecht

Clearview werden eklatante Verstöße gegen das Datenschutzrecht vorgeworfen

Der Bericht kommt nach der Untersuchung des Clearview-Geschäftsmodells zu folgenden Verstößen gegen das kanadische Datenschutzrecht:

  • Sammeln und Verarbeiten von personenbezogenen Daten, ohne dass dazu die Zustimmung der betroffenen Personen eingeholt wurde.
  • Sammlung und Verarbeitung sowie Weitergabe der Daten an Dritte für unzulässige Zwecke.
  • Versäumnis, die Erstellung einer Datenbank mit biometrischen Merkmalen sowie die dabei anfallenden Messergebnisse den kanadischen Behörden mitzuteilen.

In der Provinz Quebec gilt zusätzlich noch die Verpflichtung, eine spezielle Zustimmung für die Erhebung biometrischer Daten einzuholen, wogegen Clearview nach Ansicht der dortigen Datenschutzbehörde ebenfalls verstoßen hat.

Selbst bei Zustimmung der Betroffenen wären die Aktivitäten wegen datenschutzwidrigkeit unzulässig

Die Datenschutzbehörden vertreten zudem die Auffassung, dass selbst bei einer Zustimmung der Betroffenen das Unternehmen sein Geschäftsmodell nicht weiter fortführen dürfe, weil der Zweck der Datenverarbeitung unzulässig sei. Bereits das unterschiedslose Sammeln von Bildern auf öffentlichen Webseiten sei nicht zu vertreten. Ebenso stellen die Behörden die Genauigkeit und Effizienz einer automatisierten Gesichtserkennung im Allgemeinen und der bei Clearview verwendeten Methode im Besonderen in Frage. Erschwerend komme hinzu, dass falsche Ergebnisse bei derartigen Überprüfungen für die Betroffenen erhebliche Konsequenzen haben können. Schließlich bestünde das Risiko, dass die Datenbank gehackt werden könne und so Dritte auf diese Daten zugreifen könnten.

Als Konsequenz aus ihren Untersuchungen fordern die Datenschutzbehörden das Unternehmen auf, seinen Dienst in Kanada einzustellen, die Sammlung und Verarbeitung von Fotos und biometrischer Daten von Personen aus Kanada zu beenden und bereits erhobene Daten zu löschen. Sollte sich Clearview weigern, diesen Forderungen nachzukommen, drohen die Datenschutzbehörden mit weiteren rechtlichen Schritten.

Auch deutsche Datenschutzbehörden gehen gegen Clearview vor

Auch bei den hiesigen Datenschutzbehörden sieht man das Vorgehen von Clearview mehr als skeptisch. Der Hamburgische Datenschutzbeauftragte Johannes Caspar sieht in der Praxis eine Verletzung der Rechte von EU-Bürgern und hat daher jetzt eine Anordnung gegen das in New York ansässige Unternehmen erlassen. Mit dieser Anordnung vom 27. Januar 2021 soll erreicht werden, dass Clearview die biometrischen Daten des Hamburgers Matthias M. löscht, der sich mit einer Beschwerde gegen Clearview an den Datenschutzbeauftragten der Hansestadt gewendet hatte. Begründet wird die Forderung nach Löschen der als Hash-Wert gespeicherten biometrischen Daten mit einem Verstoß gegen die DSGVO. So ignoriere Clearview etwa den besonderen Schutzbedarf für biometrische Daten, deren Verarbeitung die Betroffenen ausdrücklich zustimmen müssten. Problematisch beim Fall Clearview ist allerdings, dass die DSGVO nur für solche Unternehmen Bedeutung hat, die zumindest auch eine Niederlassung in der EU haben, was bei dem US-Startup nicht der Fall ist.

Die gesammelten Fotos werden mit Zusatzinformationen versehen

Allerdings stuft der Datenschutzbeauftragte in seiner Anordnung die Sammlung und Archivierung von Fotos als eine Form der Verhaltensbeobachtung ein, da Clearview Fotos des Klägers aus einem längeren Zeitraum gesammelt haben und diese Fotos auch mit Zusatzinformationen versehen waren. In solchen Fällen kann der Schutz von EU-Bürgern nach der DSGVO auch gegenüber Unternehmen angewendet werden, die wie Clearview ihren Sitz ausschließlich im Ausland haben, zumal es für die Betroffenen in diesem Fall faktisch unmöglich wäre, ihre Rechte in den USA geltend zu machen.

noyb Kritisiert Begrenztheit der Anordnung: Jeder Einzelne müsste dann gegen Clearview Beschwerde einreichen

Die Datenschutzorganisation noyb, die die Beschwerde von Matthias M. unterstützt hatte, zeigte sich mit der Anordnung nicht völlig einverstanden. Insbesondere stört es die Datenschutzaktivisten, dass die Behörde nur eine sehr begrenzte Anordnung erlassen habe, die ausschließlich auf den konkreten Einzelfall beschränkt bleibe. Letztlich müsse daher jeder EU-Bürger eine eigene Beschwerde bei den Datenschutzbehörden einreichen, wenn er nicht in der Clearview-Datenbank auftauchen wolle.

Weitere News zum Thema

Streitthema Gesichtskennung: US-Firmen bauen Riesen Datenbanken auf

Pilotprojekt zur Gesichtskennung an öffentlichen Plätzen

Hintergrund: Datenschutzbehörden und Soziale Netzwerke stehen ausnahmsweise einmal auf derselben Seite

Die bislang wohl einzigartige Sammlung von ca. 3 Milliarden Fotos der Firma Clearview AI und die Nutzung dieser Datenbank für eine biometrische Identifikation der Personen ist nicht nur bei den Datenschutzbehörden vieler Länder auf Ablehnung gestoßen, auch die Datenquellen, bei denen sich das Unternehmen bedient hatte, wehren sich gegen diesen ungefragten Zugriff auf die Daten ihrer Nutzer. So gingen etwa Twitter oder Facebook mit Abmahnungen gegen Clearview vor und wollten dem Unternehmen verbieten, weiterhin Daten zu sammeln. Auch in vielen anderen europäischen Staaten haben die dortigen Datenschutzbehörden angekündigt, gegen Clearvew zu ermitteln.

{#Title}

Noyb (None of your Business)

Der österreichische Datenschutzaktivist Max Schrems, der große Konzerne schon lange wegen seine Datenschutzmängel angreift,  hat eine Organisation auf die Beine gestellt, mit der Datenschutzrechte besser geschützt werden sollen. Der Datenschützer Max Schrems ist vor allem durch seine Klagen gegen Facebook bekannt geworden, in deren Folge die Datenschutzabkommen Safe Harbor zwischen der EU und den USA gekippt wurde. Später kippte er vor dem EuGH Privacy Shield.

Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) haben auch Verbände ein Klagerecht bekommen. Mit dem von ihm mitbegründeten Verein namens Noyb (None of your Business – Geht Dich nichts an) können Ansprüche mehrerer Personen gebündelt werden. Noyb (None of your Business) ging als Crowdfunding-Projekt an den Start, um die erweiterten Rechte und verschärften Sanktionen der Datenschutzgrundverordnung zu nutzen. Nun hat sich der Verein auch gegen "Clearview" stark gemacht.

Schlagworte zum Thema:  Datenschutz, Persönlichkeitsrecht