Schwere Zeiten für das US-amerikanische Unternehmen Clearview AI. Nachdem die italienische Datenschutzbehörde das Unternehmen im Februar dieses Jahres mit einem Bußgeld in Höhe von 20 Mio. Euro belegt hatte, folgte vor wenigen Wochen eine Geldbuße des britischen Datenschutzbeauftragten (Information Commissioner’s Office – ICO), die immerhin mit umgerechnet etwa 9 Mio. Euro zu Buche schlug.
In den USA hat derweil jüngst ein Gericht entschieden, dass Clearview AI seine Gesichtserkennungssoftware nicht mehr an Unternehmen und private Akteure verkaufen darf, sodass ein Teil des operativen Geschäfts eingestellt werden muss.
Clearview AI hat eine Gesichtserkennungssoftware entwickelt, die auf einer künstlichen Intelligenz basiert und biometrische Profile erstellt. Grundlage hierfür ist die Datenbank des Unternehmens, die nach eigenen Angaben mehr als 10 Milliarden Bilder von Gesichtern enthält. Diese stammen ausschließlich aus öffentlichen Quellen wie Nachrichten, Social Media oder ähnlichem. Die Software wird insbesondere von Strafverfolgungsbehörden eingesetzt, sie soll aber derzeit auch in der Ukraine dazu genutzt werden, Tote und Gefangene zu identifizieren.
Datenschutzrechtliche Verstöße
Obgleich die gespeicherten Bilder nach Angaben des Unternehmens sämtlich frei im Netz verfügbar sind, ist eine Verwendung dieser Sammlungen insbesondere aus datenschutzrechtlicher Perspektive außerordentlich problematisch. Die Liste der Datenschutzverstöße, die die Aufsichtsbehörden den Unternehmen vorwerfen, ist entsprechend lang. Zur Erstellung der Profile verarbeitet die Software biometrische Daten, die nach der Datenschutz-Grundverordnung einem besonderen Schutz unterliegen und insbesondere nur dann verarbeitet werden dürfen, wenn derjenige, dessen Daten verarbeitet werden, in die Verarbeitung eingewilligt hat oder eine datenschutzrechtliche Vorschrift die Verarbeitung erlaubt. Eine solche Erlaubnis lag Clearview AI für die Verarbeitung der personenbezogenen Daten nicht vor, sodass es sich insofern um rechtswidrige Datenverarbeitungen handelt, die zu Verstößen gegen Art. 5, 6 und 9 DSGVO führen. Sowohl der ICO als auch der italienische Datenschutzbeauftragte haben außerdem Verstöße des Unternehmens gegen Informationspflichten gegenüber betroffenen Personen, gegen das Recht auf Löschung, gegen das Verbot des Profiling und gegen die Verpflichtung, eine Datenschutz-Folgenabschätzung durchzuführen, festgestellt.
Die Tatsache, dass das Unternehmen seinen Sitz in Illinois in den USA hat, steht der Anwendbarkeit der Europäischen Datenschutz-Grundverordnung nicht entgegen, denn die durchgeführte Verarbeitung personenbezogener Daten steht gem. Art. 3 Abs. 2 lit. b) DSGVO im Zusammenhang mit der Beobachtung des Verhaltens betroffener Personen in der Europäischen Union, sodass der räumliche Anwendungsbereich eröffnet ist. Mangels einer Niederlassung von Clearview AI in der EU fehlt es an der Zuständigkeit einer federführenden Aufsichtsbehörde. Stattdessen sind die Aufsichtsbehörden der Länder zuständig, in denen sich die jeweiligen betroffenen Personen befinden. Diese sind bereits in zahlreichen Fällen tätig geworden. Neben den für das Unternehmen besonders drastischen Geldbußen sind europaweit Verfahren bei den jeweils zuständigen Aufsichtsbehörden anhängig. So beispielsweise bei der französichen Datenschutzaufsicht (Commission Naionale de L’Informatique et des Libertés – CNIL) und bei dem Hamburgischen Datenschutzbeauftragten.
Eigene Initiative gefordert
Der ehemalige Hamburger Datenschutzbeauftragte Johannes Caspar spricht im Zusammenhang mit dem Einsatz von Gesichtserkennungssoftware und biometrischen Datenbanken von „düstere(n) digitale(n) Dystopien“, die sowohl staatlichen als auch privaten Stellen „eine kaum mehr kontrollierbare Form der Herrschaft über Menschen verschafft“. Er hat aber gleichwohl im Hinblick auf die Beschwerde einer betroffenen Person lediglich eine sehr enge Anordnung erlassen. Diese schützt zwar den Beschwerdeführer, verbietet aber nicht das Sammeln von Fotos aller Europäerinnen und Europäer und hat mithin keinen allgemeingültigen Charakter.
Insofern ist eigeninitiatives Handeln gefordert. Grundsätzlich kann jede und jeder gegenüber Clearview AI einen Auskunftsanspruch geltend machen, um zu erfahren, ob das Unternehmen eigene personenbezogene Daten verarbeitet. Sofern dies der Fall ist, kann die Löschung der erhobenen Daten verlangt werden. Clearview AI stellt für diese Anfragen eigens eine E-Mail-Adresse auf seiner Website zur Verfügung. Sofern sich herausstellt, dass Clearview AI eigene Fotos in seiner Datenbank speichert, sollte zudem Beschwerde bei der Datenschutzaufsichtsbehörde eingereicht werden. Es lohnt sich außerdem zu prüfen, ob gegen die Entscheidung Rechtsmittel eingelegt werden können und ob eigene Ansprüche etwa auf Schadensersatz gerichtlich geltend gemacht werden können.
Regulierung von biometrischer Gesichtserkennung auf europäischer Ebene
Während San Francisco als erste Stadt in den USA den Einsatz von Gesichtserkennungssoftware bereits 2019 verboten hat, war die EU-Kommission bislang noch zögerlich. Sie hatte bereits Anfang des Jahres 2020 ein Verbot erwogen, davon aber wieder Abstand genommen.
Die biometrische Gesichtserkennung wird nun aber erstmals von der Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) reguliert. Die Kommission hat hierzu einen Entwurf vorgelegt, der derzeit noch abgestimmt wird und noch nicht verabschiedet ist. Nach dem Willen des europäischen Gesetzgebers muss Gesichtserkennungssoftware – und dazu gehört zum einen die datenbankgestützte Identifizierung und zum anderen die Videoüberwachung – strenge Auflagen erfüllen. Der Einsatz von Videoüberwachungssystemen ist im öffentlichen Raum darüber hinaus bis auf wenige sehr eng gefasste Ausnahmen zu Strafverfolgungszwecken grundsätzlich verboten.
Die Pläne des Bundesinnenministeriums, 135 Bahnhöfe und 14 Flughäfen per Video überwachen zu lassen, dürften damit nicht mehr umsetzbar sein.
Fazit
Der Vorschlag für ein Gesetz über künstliche Intelligenz der Europäischen Kommission ist ein großer Schritt in die richtige Richtung, denn der Fall von Clearview AI zeigt, dass es bislang kaum Handhabe gegen entsprechende Geschäftspraktiken gibt und dass sich die Behörden scheuen, das vorhandene Potenzial an rechtlichen Möglichkeiten im Umgang mit diesen Geschäftspraktiken voll auszuschöpfen. Das führt derzeit dazu, dass Einzelne weitgehend alleingestellt sind, schwerwiegende Grundrechtseingriffe von sich abzuwenden und sich gegen derartige Eingriffe zu wehren. Der Europäische Gesetzgeber hat seine Schutzpflichten aber offenbar erkannt und wir blicken mit Spannung auf den weiteren Fortgang des Gesetzgebungsverfahrens.