Die umstrittene Gesichtersuchmaschine Clearview AI weigert sich, Fotos von französischen Bürger:innen aus seiner Datenbank zu löschen. Jetzt hat die dortige Datenschutzaufsicht eine Millionenstrafe verhängt – bereits die dritte aus der EU. Doch das Urteil hat vor allem Signalwirkung.
Die französische Datenschutzbehörde CNIL hat gegen Clearview AI eine Strafe wegen Datenschutzverletzungen in Höhe von 20 Millionen Euro verhängt. Das Start-up sammelt ohne Zustimmung der gezeigten Personen Fotos aus dem Netz und trainiert damit das Modell für eine Gesichtersuchmaschine, die es an Ermittlungsbehörden und Unternehmen vermarktet. Das sei eine nicht-erlaubte Verarbeitung von persönlichen Daten und ein Verstoß gegen EU-Datenschutzregeln, urteilte am Donnerstag die Datenschutzaufsicht CNIL – und belegte Clearview AI mit der Maximalstrafe.
Vorangegangen war eine Anordnung der CNIL aus dem vergangenen Jahr, die Clearview einfach ignoriert hatte. Das Unternehmen sollte aufhören, biometrische Daten von Personen auf französischem Territorium zu sammeln und die Rechte der Betroffenen wahren, die eine Auskunft und Löschung ihrer Daten aus der Datenbank verlangten. Nachdem Clearview auf die Mahnung nicht reagiert hatte, entschied die Aufsicht, die mögliche Maximalstrafe zu verhängen, die in der Datenschutzgrundverordnung (DSGVO) für solche Fälle vorgesehen ist: 20 Millionen Euro. Darüber hinaus hat Clearview zwei Monate Zeit, um die Sammlung, Speicherung und den Einsatz der Fotos zu beenden. Für jeden Tag Verzug kommen weitere 100.000 Euro Strafe dazu.
Clearview wurde 2020 schlagartig weltbekannt, nachdem die New York Times mit einer Recherche die eindrucksvolle Datensammlung des Unternehmens aufdeckte. Mit der Suchmaschine kann man Personen nicht nur anhand ihres Fotos suchen, sondern auch per Namen. Diese Daten hat das Unternehmen heimlich aus Online-Quellen wie Sozialen Medien oder Nachrichten gesammelt. Die kostenpflichtige Software wird in mehreren Staaten in der Strafverfolgung verwendet. So zum Beispiel von der Polizei des US-Bundesstaates Indiana, dem US Secret Service oder der Polizei von London. Auch die internationale Polizeiorganisation Interpol hatte mit einem Testaccount mehr als 320 Suchanfragen gestellt. Aber auch Banken, Unternehmen, Universitäten und viele weitere staatliche Stellen waren auf der Kundenliste von Clearview.
Clearview kann Anordnungen technisch nicht befolgen
Die Strafe ist bereits die vierte binnen weniger Monate. Im Februar 2022 war Clearview schon von der italienischen Datenschutzaufsicht mit einer Strafe von 20 Millionen Euro belegt worden. Im Mai folgte eine Strafe des britischen Information Commissioner’s Office (ICO) und im Juli eine weitere Höchststrafe aus Griechenland. Weil Clearview AI keinen Sitz in der Europäischen Union hat, ist laut den Regeln der DSGVO jedes Land für die Datenschutzrechte seiner eigenen Bewohner:innen zuständig. Großbritannien ist nicht mehr in der EU, hat aber vorerst die Datenschutzregeln beibehalten.
Die Verfahren sind das Ergebnis einer koordinierten Aktion mehrerer Organisationen, die Beschwerde in fünf Ländern gegen Clearview AI eingereicht hatten. In Frankreich hatte die Organisation Privacy International die Verstöße bei der CNIL gemeldet. Die Juristin Lucie Audibert, die das Verfahren koordiniert hat, schreibt netzpolitik.org, sie sei mit dem Ergebnis sehr zufrieden. „Nicht weniger als die Höchststrafe von 20 Millionen Euro und die Anweisung, Daten zu löschen und nicht mehr zu verarbeiten, hätten ausgereicht, um die schwerwiegenden und weit verbreiteten Verstöße gegen die Datenschutzgrundverordnung und die Bedrohung der Grundrechte von Personen auf der ganzen Welt anzugehen.“
Sie weist außerdem auf ein technisches Problem hin, das es für Clearview effektiv unmöglich macht, den Anordnungen zu folgen ohne sein Geschäft vollständig einzustellen. Denn die Datenerfassung von Clearview sei per Definition wahllos, das Unternehmen könne unmöglich herausfinden, welches Foto von einem Einwohner eines bestimmten Landes stammt und dieses Foto nicht einsammeln oder aus seinen Beständen tilgen. „Dies zeigt deutlich, warum ihr Geschäftsmodell einfach nicht haltbar ist – der Kern ihrer Tätigkeit beruht auf der Verletzung der Datenschutzgesetze mehrerer Länder.“
Eine Strafe, die schwer durchzusetzen ist
Mehr als 60 Millionen Euro Geldstrafe wegen Datenschutzverstößen für ein einzelnes Start-up: Das klingt erst mal immens. Fachleute weisen jedoch darauf hin, dass es ausgesprochen schwierig ist, Strafen und Anordnungen für Datenschutzverstöße durchzusetzen, wenn Unternehmen ihren Sitz außerhalb der EU haben. Clearview behauptet bisher, nicht unter die EU-Datenschutzregeln zu fallen, weil es seinen Sitz in den USA hat und keine Daten von EU-Bürger:innen verarbeite. Man sammle nur Informationen ein, die im Netz frei verfügbar seien, behauptet der Gründer. Ob das Unternehmen auf die Anordnungen aus Italien oder Griechenland reagiert und die Strafen bezahlt hat, ist nicht klar. Anfragen ließen die beiden Behörden unbeantwortet.
Auch Lucie Audibert gesteht ein: „Die Durchsetzung von DSGVO-Strafen gegen für die Verarbeitung Verantwortliche mit Sitz außerhalb der EU ist bekanntermaßen schwierig.“ Aber es könne nicht sein, dass ein Unternehmen einfach weitermacht, währen es mit Geldstrafen und Anordnungen in Dutzenden von Ländern belegt wird.
Signalwirkung für europäische Firmen
Der Hamburger Informatiker Matthias Marx, der selbst eine Beschwerde gegen Clearview AI bei der Hamburger Datenschutzaufsicht eingereicht hat, glaubt ebenfalls nicht daran, dass Clearview die Strafen zahlen werde. Trotzdem hätten die Entscheidungen der Behörden eine Signalwirkung. Die Strafen würden zum einen europäische Firmen davon abschrecken, ähnliche Geschäftsmodelle hier aufzuziehen. Vor allem machen sie aber den Markt für Clearview AI in der EU kaputt. Dass eine Polizeibehörde in der EU nach den Urteilen noch auf die Idee käme, ein solch offenkundig illegales Produkt zu lizenzieren, sei unwahrscheinlich.
Die meisten Kund:innen von Clearview sitzen in den USA, doch auch in der EU hatten einzelne Behörden die Werkzeuge eingesetzt. Die schwedische Polizei war dafür von der eigenen Datenschutzaufsicht mit einer Strafe von umgerechnet rund 250.000 Euro belegt worden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires