Gesichtserkennung: Hamburgs Datenschützer will Clearview zur Datenlöschung zwingen

Die umstrittene US-Firma Clearview AI hat ungefragt Millionen Internetfotos verwendet, um daraus eine Gesichtserkennungsdatenbank zu machen. Ein Verstoß gegen die DSGVO, sagt Johannes Caspar.

Gesichtserkennungssoftware bei der Polizei

Foto: Gillian Flaccus/ AP

Wenn es nach dem Hamburgischen Datenschutzbeauftragten Johannes Caspar geht, verstößt die New Yorker Firma Clearview AI permanent gegen europäisches Recht. Denn Clearview hat in sozialen Netzwerken und auf vielen Websites die offen zugänglichen Fotos von Personen abgegriffen und daraus eine nach eigenen Angaben drei Milliarden Bilder umfassende Sammlung biometrischer Daten erstellt, die die von Polizeibehörden genutzte Gesichtserkennungssoftware durchsuchen kann. Die Betroffenen, darunter auch EU-Bürgerinnen und -Bürger, wurden aber nie gefragt oder auch nur informiert. Caspar hat nun ein Verwaltungsverfahren gegen Clearview eingeleitet.

Ausgelöst hat das Matthias Marx aus Hamburg. Vor ziemlich genau einem Jahr, gleich nachdem die »New York Times« die geheimniskrämerische Firma ins Rampenlicht gezerrt hatte, schrieb er eine E-Mail an Clearview AI. Er wollte wissen, welche Bilder und Daten das umstrittene Gesichtserkennungs-Start-up von ihm gespeichert und wem es sie zugänglich gemacht hatte. Es dauerte einen Monat, bis er die gewünschte Antwort bekam, zumindest teilweise. In einer PDF-Datei von Clearview fand er neben dem von ihm selbst eingesandten Bild für den Abgleich zwei weitere Fotos, auf denen er zu sehen ist, sowie die Links, unter denen sie im Internet zu finden waren. Marx reichte umgehend eine Beschwerde bei Caspars Behörde ein.

Die hielt sich zunächst für nicht zuständig, weil Clearview »keine Niederlassung in Europa unterhält« und sich nicht an europäische Kunden richte. Aber Marx blieb hartnäckig und widersprach, und die Behörde schwenkte um. Nach monatelangem Hin und Her, in dessen Verlauf Clearview die Auffassung vertrat, nicht unter den Geltungsbereich der EU-Datenschutzgrundverordnung (DSGVO) zu fallen, hat Caspar sich nun festgelegt. Seine Behörde teilte dem SPIEGEL mit, dass sie ein Verwaltungsverfahren eröffnet hat, um gegenüber Clearview die Löschung von Marx' biometrischen Daten anzuordnen. Die Firma hat dazu bis zum 12. Februar Zeit.

Behörde kritisiert massenhafte, unterschiedslose Datenverarbeitung

Von entscheidender Bedeutung ist Caspars Schlussfolgerung, dass die DSGVO anwendbar ist, obwohl Clearview keine europäische Niederlassung hat. Denn die DSGVO habe auch den Schutz von EU-Bürgern »vor Datenverarbeitung durch einen ausschließlich im Drittland ansässigen Verantwortlichen« zu gewährleisten. »Dieser Schutz ist hier angesichts der massenhaften, unterschiedslosen Datenverarbeitung durch Clearview und der faktischen Unmöglichkeit, die Betroffenenrechte in den USA gegenüber den App-Nutzern geltend zu machen, notwendig.«

Zwar bietet Clearview auf seiner Website ein Formular  an, über das EU-Bürgerinnen und -Bürger verlangen können, aus der Clearview-Suche ausgelistet zu werden. Eine Löschung der biometrischen Daten aber verspricht die Firma nicht.

Zudem bemängelt Caspar, dass es für die Datenverarbeitung keine ausreichende Rechtsgrundlage gebe: »Für die hier genutzten biometrischen Daten ist eine Einwilligung des Betroffenen erforderlich. Eine solche liegt nicht vor. Die Daten sind daher zu löschen.«

Marx selbst und auch die Bürgerrechtsorganisation Noyb (»none of your business«), die ihn vertritt, sind dennoch unzufrieden. Ihrer Ansicht nach geht Caspar nicht weit genug. Zwar sei es »richtig und wichtig«, dass er »die Anwendbarkeit der DSGVO und die Rechtswidrigkeit der Verarbeitung bestätigt hat«, teilte Alan Dahi von Noyb dem SPIEGEL mit.

Aber aus der Anordnung von Caspar  geht hervor, dass Clearview lediglich den aus Marx' Fotos generierten Hashwert zu löschen habe, nicht jedoch die Fotos selbst. Der Hashwert ist ein mathematisches Modell, das aus dem Gesicht auf einem Foto errechnet wird. Lädt ein Clearview-Nutzer, also zum Beispiel ein polizeilicher Ermittler, selbst ein Foto hoch, wird dessen Hashwert mit denen in Clearviews Datenbank abgeglichen. Bei einer hinreichenden Ähnlichkeit bekommt der Ermittler die anderen Fotos mitsamt der dazugehörigen Weblinks zu sehen, was eine Identifizierung der abgebildeten Person erleichtern kann. Caspar hätte auch die Löschung der Fotos anordnen sollen, sagt Dahi, denn darauf habe Marx einen Anspruch.

»Wünschenswert wäre schließlich noch der Ausspruch eines europaweiten Verbots gegenüber Clearview AI«, fügt er hinzu. Nun müsse jede Bürgerin und jeder Bürger »selbst eine Beschwerde einreichen. Das ist auch unnötig viel Arbeit für die jeweiligen Aufsichtsbehörden.«

Caspars Behörde teilte dazu mit: »Die Anordnung auf alle Betroffenen zu erstrecken, deren Daten ohne ausreichende Rechtsgrundlage verarbeitet wird (bzw. alle Betroffenen in Hamburg, soweit wir unsere Zuständigkeit begründen können), wäre nur umsetzbar, wenn Clearview Informationen über den gewöhnlichen Wohnort der Betroffenen hätte. Davon ist nicht auszugehen.« Es sei aber klar, »dass der Anspruch auf Löschung jedem Betroffenen zusteht, dessen Daten rechtswidrig verarbeitet werden. Daraus folgt ferner, dass Clearview die Daten nicht ohne Einwilligung der Betroffenen in Europa für ihre Zwecke verarbeiten darf. Zuwiderhandlungen hiergegen können ggf. mit Bußgeldern geahndet werden.« Damit stehe nun »das gesamte Geschäftsmodell für europäische Nutzer in Frage, auch ohne dass eine Gesamtuntersagung des Dienstes erfolgt«.

Marx selbst sagt mit Bezug auf die eingeschränkte Anordnung: »Das zeigt, dass unsere Daten noch nicht ausreichend geschützt werden und Handlungsbedarf gegen biometrische Überwachung besteht.«