Clearview AI: Auskunftsheranziehungsbescheid erlassen

HmbBfDI fordert transparente Antworten zum Datenschutz bei Clearview

[datensicherheit.de, 18.08.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat nach eigenen Angaben das in den USA ansässige Unternehmen Clearview AI mittels eines formalen Bescheids angewiesen, „ihm Auskunft zu einer Reihe von Fragen zur dortigen Verarbeitung personenbezogener Daten zu geben“. Clearview AI bietet demnach eine Gesichtserkennungs-App an, „die es Kunden ermöglicht, nach Hochladen eines Fotos einer Person sämtliche öffentlich verfügbaren Fotos, auf denen diese Person zu erkennen ist – z.B. aus Profilen in Sozialen Netzwerken und von sonstigen Internetseiten –, zu ermitteln, zusammenzustellen und auszuwerten“. Dazu habe das Unternehmen offenbar mehrere Milliarden von Fotos von Nutzern weltweit aus dem Internet kopiert und diese Daten zu einem gigantischen, leicht durchsuchbaren Archiv von Gesichtern ausgebaut. Die Rechtmäßigkeit dieser Verarbeitung sei in Bezug auf europäische Betroffene angesichts der fehlenden Einwilligung in die Verarbeitung gerade biometrischer Daten überaus zweifelhaft. Das Unternehmen sei verpflichtet, der Aufsichtsbehörde bis Mitte September 2020 umfassend und aussagekräftig Auskunft zu geben – für den Fall der Nichtbereitstellung der geforderten Informationen sei ein Zwangsgeld angedroht worden.

HmbBfDI

Prof. Dr. Johannes Caspar: Clearview verpflichtet, bis Mitte September 2020 umfassend und aussagekräftig Auskunft zu geben!

Beschwerde gegen Clearview beim HmbBfDI im Februar 2020 eingereicht

Ausgehend von einer Beschwerde gegen Clearview, die beim HmbBfDI im Februar 2020 eingereicht worden sei, habe dieser mit dem Unternehmen bereits mehrfach Kontakt aufgenommen – „Fragen zum Geschäftsmodell und zu den Umständen, die der Beschwerde zugrunde liegen, hat Clearview bislang lediglich ausweichend beantwortet“.
Dabei sei die rechtliche Position vertreten worden, die Datenschutzgrundverordnung (DSGVO) sei für die Verarbeitung durch Clearview insgesamt nicht anwendbar, so dass auch keine Pflicht zur Antwort in der Sache bestehe – „dieser Auffassung tritt der HmbBfDI entgegen“.

Nicht nur Betroffene, sondern auch EU-Kunden von Clearview im Blick

Der räumliche Anwendungsbereich der DSGVO sei über Art. 3 (2) b eröffnet, da die spätere Verhaltensbeobachtung nicht nur die Betroffenen, sondern auch die Kunden von Clearview betreffe. Gerade auch die App-Nutzer, die letztlich im Rahmen ihres Beschäftigungsverhältnisses für Clearview-Kunden, etwa Sicherheitsbehörden oder private Unternehmen, tätig sind, würden durch Cookie-Setzung zu unterschiedlichen Zwecken beobachtet, so z.B. zur Überprüfung ihrer Benutzeraktivitäten oder zur Verbesserung der Benutzererfahrung.
Beschäftigte, die sich dabei in der Europäischen Union befinden, genießen laut HmbBfDI „ebenfalls den Schutz der DSGVO und sind somit Betroffene nach Maßgabe dieser Vorschrift“.

Zwangsgeld gegen Clearview angedroht

Das Unternehmen sei nun verpflichtet, der Aufsichtsbehörde bis Mitte September 2020 umfassend und aussagekräftig Auskunft zu geben. Für den Fall der Nichtbereitstellung der geforderten Informationen sei ein Zwangsgeld in Höhe von je 10.000 Euro für jeden Einzelfall der insgesamt siebzehn Fragekomplexe angedroht worden.
„Geschäftsmodelle, die darin bestehen, massenhaft und anlasslos Bilder im Netz zu sammeln und die Gesichter von Personen durch biometrische Analyse identifizierbar zu machen, gefährden die Privatsphäre im globalen Maßstab“, warnt der HmbBfDI, Prof. Dr. Johannes Caspar. Zum Schutz Betroffener unter der EU-Grundrechtecharta müssten sie anhand der DSGVO kontrolliert, reguliert und nötigenfalls gestoppt werden.

Prof. Caspar geht davon aus, dass Clearview die Fragen beantworten oder Rechtsmittel einlegen wird

In Europa dürfe es keinen Raum für „düstere digitale Dystopien“ geben, in denen der Einsatz von Gesichtserkennungssoftware und biometrische Datenbanken staatlichen, aber auch privaten Stellen eine neue, kaum mehr kontrollierbare Form der Herrschaft über Menschen verschaffte. Die Datenschutzaufsichtsbehörden hätten den Auftrag, hierüber zu wachen. Das gelte auch gegenüber Unternehmen, „die entsprechende Geschäftszwecke von außerhalb der EU verfolgen und damit die Privatsphäre und die informationelle Selbstbestimmung von Menschen in der EU in Frage stellen“.
Professor Caspar betont abschließend: „Um eine datenschutzrechtliche Kontrolle zu ermöglichen, gehe ich davon aus, dass Clearview die dem Unternehmen gestellten Fragen beantworten oder zumindest gegen den Heranziehungsbescheid Rechtsmittel einlegen wird, um so eine rechtliche Entscheidung zu ermöglichen.“

Weitere Informationen zum Thema:

datensicherheit.de, 28.05.2020
Polizei Hamburg: Datenbank zum Gesichtsabgleich gelöscht / Anlässlich der Ermittlungen zu „G20“-Ausschreitungen mit Hilfe von Gesichtserkennung erstellte biometrische Datenbank war heftig umstritten