Umstrittene Gesichtserkennung Hamburgs Datenschützer leitet Prüfverfahren gegen Clearview ein
DSGVO: "Die Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person ist untersagt"
Foto: Sven Hoppe/ dpaDas Gesichtserkennungs-Start-up Clearview AI aus New York hat Post von Hamburgs Datenschutzbeauftragtem Johannes Caspar bekommen. Er verlangt Auskunft über "das Geschäftsmodell, die Datenquellen und den genauen Umfang der Datenverarbeitung" durch die umstrittene Firma, schreibt er dem SPIEGEL auf Anfrage.
Denn zum einen könnte es sein, dass Clearview gegen die europäische Datenschutz-Grundverordnung (DSGVO) verstößt, indem es biometrische Daten von EU-Bürgern ohne deren Zustimmung verarbeitet. Zum anderen könnte das auch für Clearviews Kunden in Europa gelten, von denen es angeblich bereits mehrere gibt.
Ausgelöst hat das Prüfverfahren Matthias Marx aus Hamburg, mit einer Beschwerde bei Caspar und einer gewissen Hartnäckigkeit.
Schon der erste Bericht über Clearview schreckt den 31-Jährigen auf. Die "New York Times" deckt im Januar auf, dass die Firma ungefragt soziale Netzwerke wie Facebook, Instagram und Twitter sowie Tausende andere Websites automatisiert nach Porträtfotos durchsucht und diese kopiert. Die daraus entstandene Datenbank soll drei Milliarden Bilder enthalten. Clearview verkauft den Zugang zu einer Gesichtserkennungs-App, in der zum Beispiel Polizeibehörden Fotos hochladen und mit der Datenbank abgleichen können. So können sie Personen identifizieren, die bisher nicht polizeilich erfasst worden sind.
Marx findet diese Vorstellung "furchtbar", sagt er: "Wenn ich mich heute draußen bewege, kann ich das in aller Regel anonym tun. So gehört beispielsweise zu meinen demokratischen Rechten, dass ich nicht nur an einer Versammlung teilnehmen darf, sondern dies auch anonym tun kann." Clearview aber mache es "unmöglich, sich anonym im öffentlichen Raum zu bewegen".
Am 20. Januar schreibt Marx deshalb eine E-Mail an Clearview AI. Er will wissen, welche Bilder und Daten das umstrittene Gesichtserkennungs-Start-up von ihm gespeichert und wem es sie zugänglich gemacht hat.
Clearviews Datenbank enthält Fotos von Matthias Marx
"Nach neun Tagen", sagt Marx, "gab es die erste Reaktion: zwei E-Mails, erst mit falschem Vornamen, 20 Sekunden später mit richtigem Namen. Ich wurde aufgefordert, ein Foto einzureichen, auf dem ich deutlich erkennbar bin, sowie ein offizielles Ausweisdokument". Ein Foto hatte er bereits zusammen mit seiner Anfrage eingereicht, auf die Forderung nach dem Ausweisdokument geht er nicht ein.
Am 18. Februar bekommt er von Clearview eine PDF-Datei geschickt. Sie enthält neben dem von ihm eingesandten Bild zwei weitere Fotos, auf denen er zu sehen ist, sowie die Links, unter denen sie zu finden waren. "Die Bilder, aus denen die Bildausschnitte stammen, hätte man zwar auch über eine Google-Suche nach meinem Namen gefunden", sagt er. "Die beiden gefundenen Bilder haben jedoch falsche Bildunterschriften." Was entweder bedeutet, dass die automatisierte Gesichtserkennung von Clearview funktioniert oder dass die Firma in diesem Fall händisch recherchiert hat.
Marx geht eher von einem "robusten Gesichtserkennungsverfahren" aus: "Mein Gesicht wurde erkannt, obwohl mein eingereichtes Referenzbild einige Jahre jünger ist als die gefundenen Bilder und ich längere Haare habe. Außerdem schaue ich auf den gefundenen Bildern nicht direkt in die Kamera oder mein Kopf ist zur Seite gedreht." Allerdings gibt es noch mehr Fotos von Marx im frei zugänglichen Netz. Die entsprechenden Seiten durchsucht Clearview entweder nicht - oder die Antwort der Firma an Marx ist unvollständig.
Datenschützer hält sich zunächst für nicht zuständig
Noch am selben Tag reicht er Beschwerde bei Caspars Behörde ein. Clearview verstoße gegen Artikel 9, Absatz 1 der DSGVO , weil es "ohne meine Zustimmung biometrische Daten verarbeitet, die geeignet sind, mich eindeutig zu identifizieren". Außerdem sei sein "Auskunftsersuchen unvollständig beantwortet" worden.
Am 5. März antwortet die Datenschutzbehörde, sie sei nicht zuständig, weil Clearview "keine Niederlassung in Europa unterhält" und sich nicht an europäische Kunden richte.
Marx widerspricht. Clearview habe mittlerweile "Privacy Request Forms" für EU-Bürger auf seiner Website eingebunden. Laut "Buzzfeed News" gehören auch Behörden aus Belgien, Frankreich, Irland, Italien, den Niederlanden und Spanien zu Clearviews Kunden oder Testnutzern.
Caspar verlangt Einsicht in Clearviews Kundenliste
Die Datenschutzbehörde überdenkt daraufhin ihre erste Antwort - und steuert um. Sie schreibt ihm: "In der Sache Clearview AI haben wir uns nun entschlossen, an das Unternehmen heranzutreten, und haben ihm eine Reihe von Fragen zur Beantwortung aufgegeben. Wir haben dabei zunächst allgemeine, von Ihrem konkreten Fall weitgehend unabhängige Fragen gestellt. Ob wir dies in einem zweiten Schritt fallspezifisch ergänzen, wird auch von der Reaktion des Unternehmens abhängen".
Caspar hat nach eigenen Angaben auch "die Kundenliste von Clearview AI angefordert", um in Erfahrung zu bringen, wer davon in den Geltungsbereich der DSGVO fällt: "Denn auch für die Kunden von Clearview AI gelten datenschutzrechtliche Voraussetzungen und Pflichten, einschließlich eventueller sanktionsfähiger Verbote."
Bis zum 15. April will die Behörde Antworten von Clearview haben.
