Im Februar 2020 war beim hamburgischen Datenschutzbeauftragen Beschwerde gegen Clearview AI erhoben worden. Das Unternehmen betreibt eine Gesichtserkennungs-App. Auf daraufhin gestellte Fragen zum Geschäftsmodell hatte Clearview AI nach Ansicht der Behörde nur unzureichend geantwortet. Mit formalem Auskunftsheranziehungsbescheid will der Datenschutzbeauftragte die Kooperation des Unternehmens nun erzwingen. Beantwortet das Unternehmen die im Bescheid gestellten Fragen nicht umfassend und aussagekräftig bis Mitte September, droht dem Unternehmen ein Zwangsgeld von bis zu EUR 170’000.
Geschäftsmodell von Clearview AI
Die Gesichtserkennungs-App von Clearview AI basiert auf einem Archiv von im Internet öffentlich verfügbaren Fotos. Clearview AI kopierte offenbar mehr als drei Milliarden Fotos, z.B. aus sozialen Netzwerken wie Facebook, Instagram und Twitter. Darunter sollen sich auf Fotos von Menschen aus der Europäischen Union befinden. Im Anschluss wertete das Start-up diese auf biometrische Daten hin aus. Die Software soll Sicherheitsbehörden helfen, unbekannte Menschen anhand von Fotos zu identifizieren. Lädt ein Kunde von Clearview ein Foto einer Person in die App hoch, gleicht Clearview AI dieses mit den Fotos in ihrer Datenbank ab.
DSGVO-Anforderungen dürfte Geschäftsmodell vor Herausforderungen stellen
Clearview AI hatte auf die bisherigen Fragen des hamburgischen Datenschutzbeauftragten vor allem deshalb nicht geantwortet, weil die europäische Datenschutzgrundverordnung (DSGVO) nach ihrer Ansicht gar keine Anwendung findet. Hier ist der Hamburgische Datenschutzbeauftragte anderer Ansicht. Clearview AI habe auch Kunden, deren Arbeitnehmer sich in der EU befänden und deren Verhalten als Nutzer der App jedenfalls durch Cookie-Setzung beobachtet werde. Gemäss Art. 3 Abs. 2 Bst. b DSGVO sei der Anwendungsbereich der DSGVO eröffnet und Clearview AI zur Auskunft verpflichtet.
Hintergrund des Bescheids scheint aber weniger das Nutzertracking zu sein. Vielmehr zeigt sich der hamburgische Datenschutzbeauftragte durch das «massenhaft[e] und anlasslose[e]» Sammeln von Bildern im Netz beunruhigt, welche die «Personen durch biometrische Analyse identifizierbar» mache und die «Privatsphäre im globalen Massstab» gefährde. Tatsächlich dürfte das Geschäftsmodell von Clearview AI vor grossen Herausforderungen stehen, wenn die Anforderungen der DSGVO bei der biometrischen Analyse der Fotos eingehalten werden müssen. Die Erfassung und weitere Verwendung von biometrischen Daten ist nach der DSGVO nur unter strengen Voraussetzungen erlaubt (Art. 9 Abs. 2 DSGVO). Von den betroffenen Personen aus der EU müsste wohl gemäss Art. 9 Abs. 2 Bst. a DSGVO eine ausdrückliche Einwilligung zur Datenverarbeitung eingeholt werden. Bei Milliarden von Fotos wäre dies ein anspruchsvolles Unterfangen.
Keine rechtmässige Nutzung der App durch EU-Strafverfolgungsbehörden
EU-Strafverfolgungsbehörden dürften auf die App bislang nicht zurückgreifen. Nach Ansicht des Europäischen Datenschutzausschusses fehlt es für den Einsatz der biometrischen Gesichtserkennung durch europäische Strafverfolgungsbehörden an einer rechtlichen Grundlage. Gleichzeitig kündigte der Europäische Datenschutzausschuss an, Richtlinien erarbeiten zu wollen, die die Nutzung von automatisierter Gesichtserkennung durch europäische Strafverfolgungsbehörden regeln.
Schulterschluss von Aufsichtsbehörden
Auch ausserhalb der EU hat Clearview AI das Interesse von Datenschutzbehörden geweckt. Die britische und australische Datenschutzbehörden starteten im Juli 2020 eine gemeinsame Untersuchung gegen Clearview AI. Beide wollen auch mit anderen Datenschutzbehörden zusammenarbeiten. Der Fall Clearview AI zeigt deutlich, dass Datenschutzbehörden immer mehr über den nationalen Tellerrand blicken und nicht nur Prüfgegenstände von anderen Behörden aufgreifen, sondern auch zunehmend kooperieren. Es dürfte spannend bleiben, ob sich Clearview AI von der Zwangsgeldandrohung und dem Schulterschluss der Behörden beeindruckt zeigt.