Clear­view AI droht Zwangs­geld bei wei­te­rer Wei­ge­rung zur Koope­ra­ti­on

Im Febru­ar 2020 war beim ham­bur­gi­schen Daten­schutz­be­auf­tra­gen Beschwer­de gegen Clear­view AI erho­ben wor­den. Das Unter­neh­men betreibt eine Gesichts­er­ken­nungs-App. Auf dar­auf­hin gestell­te Fra­gen zum Geschäfts­mo­dell hat­te Clear­view AI nach Ansicht der Behör­de nur unzu­rei­chend geant­wor­tet. Mit for­ma­lem Aus­kunfts­her­an­zie­hungs­be­scheid will der Daten­schutz­be­auf­trag­te die Koope­ra­ti­on des Unter­neh­mens nun erzwin­gen. Beant­wor­tet das Unter­neh­men die im Bescheid gestell­ten Fra­gen nicht umfas­send und aus­sa­ge­kräf­tig bis Mit­te Sep­tem­ber, droht dem Unter­neh­men ein Zwangs­geld von bis zu EUR 170’000.

Geschäfts­mo­dell von Clear­view AI

Die Gesichts­er­ken­nungs-App von Clear­view AI basiert auf einem Archiv von im Inter­net öffent­lich ver­füg­ba­ren Fotos. Clear­view AI kopier­te offen­bar mehr als drei Mil­li­ar­den Fotos, z.B. aus sozia­len Netz­wer­ken wie Face­book, Insta­gram und Twit­ter. Dar­un­ter sol­len sich auf Fotos von Men­schen aus der Euro­päi­schen Uni­on befin­den. Im Anschluss wer­te­te das Start-up die­se auf bio­me­tri­sche Daten hin aus. Die Soft­ware soll Sicher­heits­be­hör­den hel­fen, unbe­kann­te Men­schen anhand von Fotos zu iden­ti­fi­zie­ren. Lädt ein Kun­de von Clear­view ein Foto einer Per­son in die App hoch, gleicht Clear­view AI die­ses mit den Fotos in ihrer Daten­bank ab.

DSGVO-Anfor­de­run­gen dürf­te Geschäfts­mo­dell vor Her­aus­for­de­run­gen stel­len

Clear­view AI hat­te auf die bis­he­ri­gen Fra­gen des ham­bur­gi­schen Daten­schutz­be­auf­trag­ten vor allem des­halb nicht geant­wor­tet, weil die euro­päi­sche Daten­schutz­grund­ver­ord­nung (DSGVO) nach ihrer Ansicht gar kei­ne Anwen­dung fin­det. Hier ist der Ham­bur­gi­sche Daten­schutz­be­auf­trag­te ande­rer Ansicht. Clear­view AI habe auch Kun­den, deren Arbeit­neh­mer sich in der EU befän­den und deren Ver­hal­ten als Nut­zer der App jeden­falls durch Coo­kie-Set­zung beob­ach­tet wer­de. Gemäss Art. 3 Abs. 2 Bst. b DSGVO sei der Anwen­dungs­be­reich der DSGVO eröff­net und Clear­view AI zur Aus­kunft ver­pflich­tet.

Hin­ter­grund des Bescheids scheint aber weni­ger das Nut­zer­tracking zu sein. Viel­mehr zeigt sich der ham­bur­gi­sche Daten­schutz­be­auf­trag­te durch das «massenhaft[e] und anlasslose[e]» Sam­meln von Bil­dern im Netz beun­ru­higt, wel­che die «Per­so­nen durch bio­me­tri­sche Ana­ly­se iden­ti­fi­zier­bar» mache und die «Pri­vat­sphä­re im glo­ba­len Mass­stab» gefähr­de. Tat­säch­lich dürf­te das Geschäfts­mo­dell von Clear­view AI vor gro­ssen Her­aus­for­de­run­gen ste­hen, wenn die Anfor­de­run­gen der DSGVO bei der bio­me­tri­schen Ana­ly­se der Fotos ein­ge­hal­ten wer­den müs­sen. Die Erfas­sung und wei­te­re Ver­wen­dung von bio­me­tri­schen Daten ist nach der DSGVO nur unter stren­gen Vor­aus­set­zun­gen erlaubt (Art. 9 Abs. 2 DSGVO). Von den betrof­fe­nen Per­so­nen aus der EU müss­te wohl gemäss Art. 9 Abs. 2 Bst. a DSGVO eine aus­drück­li­che Ein­wil­li­gung zur Daten­ver­ar­bei­tung ein­ge­holt wer­den. Bei Mil­li­ar­den von Fotos wäre dies ein anspruchs­vol­les Unter­fan­gen.

Kei­ne recht­mä­ssi­ge Nut­zung der App durch EU-Straf­ver­fol­gungs­be­hör­den

EU-Straf­ver­fol­gungs­be­hör­den dürf­ten auf die App bis­lang nicht zurück­grei­fen. Nach Ansicht des Euro­päi­schen Daten­schutz­aus­schus­ses fehlt es für den Ein­satz der bio­me­tri­schen Gesichts­er­ken­nung durch euro­päi­sche Straf­ver­fol­gungs­be­hör­den an einer recht­li­chen Grund­la­ge. Gleich­zei­tig kün­dig­te der Euro­päi­sche Daten­schutz­aus­schuss an, Richt­li­ni­en erar­bei­ten zu wol­len, die die Nut­zung von auto­ma­ti­sier­ter Gesichts­er­ken­nung durch euro­päi­sche Straf­ver­fol­gungs­be­hör­den regeln.

Schul­ter­schluss von Auf­sichts­be­hör­den

Auch ausser­halb der EU hat Clear­view AI das Inter­es­se von Daten­schutz­be­hör­den geweckt. Die bri­ti­sche und austra­li­sche Daten­schutz­be­hör­den star­te­ten im Juli 2020 eine gemein­sa­me Unter­su­chung gegen Clear­view AI. Bei­de wol­len auch mit ande­ren Daten­schutz­be­hör­den zusam­men­ar­bei­ten. Der Fall Clear­view AI zeigt deut­lich, dass Daten­schutz­be­hör­den immer mehr über den natio­na­len Tel­ler­rand blicken und nicht nur Prüf­ge­gen­stän­de von ande­ren Behör­den auf­grei­fen, son­dern auch zuneh­mend koope­rie­ren. Es dürf­te span­nend blei­ben, ob sich Clear­view AI von der Zwangs­geld­an­dro­hung und dem Schul­ter­schluss der Behör­den beein­druckt zeigt.