EU-Datenschutz versagt bei Clearviews Gesichtsdatenbank

Ordner mit Clearview-Logo entwischt Richterhmammer

Clearview AI ignoriert EU-Datenschutz und Millionenstrafen. Die Firma sammelt weiter Gesichtsdaten – Lücken im Gesetz verhindern Konsequenzen.

Die gesamte Geschichte klingt wie eine Adaption des Märchens über "des Kaisers neue Kleider". Nur dass in diesem Fall niemand über einen nackten Kaiser berichtet, sondern darüber, dass keine Datenaufsichtsbehörde der EU-Mitgliedsstaaten über die Mittel verfügt, die von ihr verhängten Strafen bei einem Unternehmen aus einem Drittstaat einzutreiben.

Ganz zu schweigen von zusätzlichen Bußgeldern, welche zur Durchsetzung der Löschung von Daten verhängt wurden. Das US-Unternehmen Clearview löscht die Daten einfach nicht und verarbeitet immer weiter immer mehr Daten, ohne jemandem in der EU wirklich Rechenschaft ablegen zu müssen.

Datenmissbrauch als Geschäftsmodell

Seit 2020 ist bekannt, dass die US-Firma Clearview über mehrere Jahre im Netz mehrere Milliarden Fotos für eine KI-Datenbank für biometrische Zwecke gesammelt hat. Die stetig erweiterte Datenbank wurde an Strafverfolger in mehreren Staaten und private Kunden verkauft. Widerstand im Heimatland gab es durch US-Bürgerrechtsinitiativen.

Das Unternehmen selbst zielt, wie das linksliberale US-Magazin Mother Jones berichtet, auf die Verfolgung von Migranten und Linken ab. Clearview AI und seinen Gründern wird eine Nähe zu US-Präsident Donald Trump nachgesagt.

Innerhalb der EU wurden öffentlichkeitswirksam hohe Bußgelder gegen das Unternehmen verhängt. Das Reporternetzwerk Solomon deckte nun in Zusammenarbeit mit italienischen investigativen Kollegen von IrpiMedia auf, dass die Gesetzesbrüche Clearview bislang keinen einzigen Cent kosteten.

Schuld sind erhebliche Lücken in der EU-Gesetzgebung, welche die EU-Datenschutzbehörden zahnlos erscheinen lassen. Clearview, dessen Gesichtserkennungssoftware aktuell auch in der Ukraine zur Identifizierung gefallener Soldaten zum Einsatz kommt, fährt mit der Datensammlung auch in Europa munter fort. Die Software selbst ist innerhalb der EU offiziell nicht nutzbar. Sie funktioniert jedoch auch im Unionsgebiet, wenn ein VPN eingesetzt wird.

Für einige Beobachter markiert Clearview das Ende der Anonymität. Die Software des Unternehmens kombiniert sämtliche ihr durch Durchforsten öffentlich zugängiger Quellen erfassbarer Bilder mit den Namen der abgebildeten Personen. Diese haben in der Regel keine Erlaubnis für eine derartige Verarbeitung gegeben, womit das Grundprinzip der Datenverarbeitung von Clearview eindeutig gegen die DSGVO verstößt.

Im Stammland des Unternehmens in den USA schloss Clearview mit Klägern, die genau dies in einer Sammelklage anzeigten, einen Vergleich.

Damit wollte man einer nahezu sicheren Verurteilung vor einem Bezirksgericht in Chicago entgehen. Die Kläger bekamen 23 Prozent der Anteile des Unternehmens. Sie wurden damit Partner bei der Ausnutzung von persönlichen Daten anderer Personen.

Ein der klassischen Definition entsprechendes Oxymoron. Denn erst, wenn dieser Datenmissbrauch Gewinne generiert, bekommen diejenigen, die gegen den Missbrauch ihrer Daten klagten, ihre Entschädigung.

Millionenstrafen von mehreren europäischen Datenschutzbehörden verpuffen

Innerhalb der EU sind solche Vergleiche eher unüblich. Die hiesigen Datenschutzbehörden verhängen in der Regel Geldstrafen zulasten der Unternehmen und zugunsten der Staatsfinanzen. So auch in Frankreich. Ab Mai 2020 hatten sich bei der Commission nationale de l'informatique et des libertés (CNIL) Einzelpersonen über die Gesichtserkennungssoftware von Clearview AI beschwert.

Eine Untersuchung wurde eingeleitet und im Oktober 2022 wurde eine Geldbuße in Höhe von 20 Millionen Euro verhängt. Clearview AI wurde angewiesen, die Erhebung und Verarbeitung von Daten von in Frankreich ansässigen Personen ohne Rechtsgrundlage einzustellen und die bereits erhobenen Daten dieser Personen innerhalb von zwei Monaten zu löschen. Für jeden Tag, an dem dies nach Ablauf der zwei Monate nicht geschehen würde, wären weitere 100.000 Euro fällig, heißt es in der Entscheidung.

Lesen Sie auch

Die Daten der Franzosen wurden, soweit bekannt ist, nicht gelöscht. Der ehemalige Firmenchef Hoan Ton-That hatte stattdessen erklärt, "es gibt keine Möglichkeit, allein anhand eines öffentlichen Fotos aus dem Internet festzustellen, ob eine Person die französische Staatsbürgerschaft besitzt, und daher ist es unmöglich, Personen mit Wohnsitz in Frankreich zu löschen."

Vor den Franzosen hatte im Februar 2022 die italienische Datenschutzbehörde ebenfalls 20 Millionen Euro Strafe gegen Clearview verhängt. Die griechische Datenschutzbehörde hatte sich im Juli 2022 mit einer ebenfalls auf 20 Millionen Euro taxierten Strafe den Italienern angeschlossen. Rund zwei Jahre später gab es aus den Niederlanden die bisher höchste Strafe.

Clearview muss 30,5 Millionen Euro Strafe in den Niederlanden zahlen.

Der Spiegel

"Muss zahlen" impliziert, dass es einen Durchsetzungsmechanismus für die hohen Strafen gibt. Anders als Google, Amazon oder Meta hat Clearview keine Niederlassung innerhalb des Gebiets der EU.

So hat auch TikTok, gegen das die irische Datenschutzbehörde wegen des Transfers von Nutzerdaten nach China ein Bußgeld in Höhe von 530 Millionen Euro verhängte, Büros in Irland.

Die Europäische Union, oder einer ihrer Mitgliedsstaaten könne ohne EU-Vertretung und ohne Geschäftstätigkeit in der EU das Technologieunternehmen nicht zur Verantwortung ziehen.

Auf diesem Standpunkt steht das Unternehmen, das über seinen Vertreter Jack Mulcaire gegenüber der Nachrichtenagentur AP erklärte, die Entscheidung der niederländischen Datenschutzbehörde sei "rechtswidrig, entbehre jeglichen ordnungsgemäßen Verfahrens und sei nicht durchsetzbar".

Die Niederländer hatten dagegen mitgeteilt, dass Clearview "keinen Widerspruch gegen diese Entscheidung eingereicht hat und daher nicht in der Lage ist, gegen die Geldbuße zu klagen."

Die österreichische Datenschutzbehörde befand dagegen, dass Clearview AI gemäß Artikel 27 DSGVO einen Vertreter in der EU bestellen muss und die Software eine unzulässige Anwendung ist. Damit bestätigen die Österreicher indirekt die Sichtweise des Unternehmens.

Die europäische DSGVO ist das strengste Datenschutzgesetz der Welt. Aber sie hat in Fällen wie Clearview keine Möglichkeit, durchzugreifen. Dazu gibt es bereits die entsprechenden EU-finanzierten Studien. Es hapert indes bei einer praktisch umsetzbaren Lösung des Problems. Angesichts der aktuellen politisch-wirtschaftlichen Eiszeit zwischen den USA und der EU ist Besserung nicht in Sicht.