Der Dienst des umstrittene US-Gesichtserkennungs-Start-ups ClearView AI wurde zwar nicht von deutschen Behörden genutzt. Aber er hatte auch deutsche Bürger in seiner Datenbank. Daher schaltete sich nun der Hamburger Datenschutzbeauftragte ein.
Von Michael Förtsch
Erst im Januar war das Treiben des Start-ups ClearView AI durch einen Bericht der New York Times öffentlich geworden. Das US-Unternehmen hatte zu diesem Zeitpunkt bereits drei Jahre im Verborgenen gearbeitet. Es bietet einen einfach zu nutzenden KI-Gesichtserkennungsdienst an, der, wie durch einen Leak öffentlich wurde, sowohl von Behörden in der ganzen Welt als auch zahlreichen Privatunternehmen und Privatpersonen genutzt wird. Mit einem Foto oder einem Video lassen sich Menschen identifizieren – selbst, wenn ihr Bild nicht in der Datenbank von Strafverfolgungsbehörden gespeichert ist und sie nicht zugestimmt haben, dass ihr Gesicht für einen solchen Dienst genutzt wird.
Möglich wurde der Dienst des US-Start-ups durch eine eigens geschaffene Datenbank, für die ClearView AI rund drei Milliarden Fotos samt dazugehörigen Personendaten von Plattformen wie Facebook, YouTube, Twitter, Linked In oder Venmo gesammelt hat. Diese Internet-Dienste werden natürlich nicht nur von Amerikanern genutzt, sondern von Menschen weltweit. Daher hatte Kanada bereits eine Untersuchung gegen ClearView AI eingeleitet, wo die App durch lokale Polizeibehörden zum Einsatz gekommen ist. Nun erhält das vom Entwickler Hoan Ton-That gestartete Unternehmen auch ein Schreiben von Hamburgs Datenschutzbeauftragten Johannes Caspar. Denn es dürfte gegen die europäische Datenschutz-Grundverordnung – kurz DSGVO – verstoßen haben.
Die DSGVO untersagt die Verarbeitung „ biometrischer Daten zur eindeutigen Identifizierung“ von EU-Bürgern ohne deren explizite Zustimmung oder beim Vorliegen besonderer Ausnahmefälle . Im Falle von Matthias Marx aus Hamburg soll ClearView AI sich nicht an die europäischen Vorgaben gehalten haben, berichtet Der Spiegel . Der Hamburger hatte das Start-up nach ersten Berichten über ClearView AI angeschrieben und Auskunft darüber gefordert, ob und welche Bilder und Daten von ihm dort auf Rechnern gespeichert sind. Die bekam er auch: Er ist in der Datenbank von ClearView AI mit zwei Referenzbildern zu finden.
Datenschutz verlangt Antworten und Kundenliste
Anschließend reichte Matthias Marx nach Auskunft von ClearViewAI eine Beschwerde bei Hamburgs Datenschutzbeauftragtem Johannes Caspar ein. Und zwar auf Basis der
DSGVO – trotz der Tatsache, dass ClearView AI keine Niederlassungen oder Vertretungen in Europa unterhält. Denn laut Medienberichten wurde der Dienst immerhin auch von europäischen Unternehmen und Behörden genutzt. Darunter die internationale Polizeiorganisation Interpol mit Sitz in Lyon, Frankreich. Aber auch „Strafverfolgungsbehörden, Regierungsbehörden und Polizeikräften“ in Österreich, Belgien, Finnland, Frankreich, Italien, den Niederlanden, Portugal und Schweden, wie unter anderem BuzzFeed News berichtete.
Auch wenn es nicht ClearView AI selbst war, so besteht bei den europäischen Kunden der Firma die Option, dass sie mit der Nutzung des Dienstes gegen die Bestimmungen der DSGVO verstoßen haben. Dazu hat ClearView AI nach kritischen Berichten auch aus Europa sogenannte Privacy Request Forms für EU-Bürger eingerichtet, in der diese, wie Marx, Auskunft erfragen können, ob Daten über sie in der Datenbank von ClearView AI gespeichert sind. Mit diesen Argumenten und Fakten hatte Marx die Datenschutzbehörden überzeugen können.
Der Hamburger Datenschutzbeauftragte hat nun jedenfalls ein Prüfverfahren gegen ClearView AI eingeleitet, „eine Reihe von Fragen zur Beantwortung aufgegeben“ und eine offizielle Kundenliste angefordert. Damit soll festgestellt werden, ob das Geschäft von ClearView AI tatsächlich in den Regulationsbereich der DSGVO und damit auch der deutschen Datenschützer fällt. Bis Mitte April hat das US-Gesichtserkennungs-Start-up nun Zeit für eine Antwort.
Teaser-Bild: Getty Images