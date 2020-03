Das auf biometrische Gesichtserkennung spezialisierte New Yorker Startup Clearview AI bekommt Post vom Hamburgischen Datenschutzbeauftragten Johannes Caspar. Die Auskünfte, die ein betroffener Beschwerdeführer von dem Unternehmen erhalten habe, "geben Anlass zu einer Reihe von Fragen über das dahinterliegende Datenverarbeitungsmodell", erklärte ein Sprecher des Kontrolleurs gegenüber heise online. Die Institution werde daher ein Prüfverfahren einleiten und sich noch in dieser Woche an die Firma wenden.

"Mit anderen europäischen Aufsichtsbehörden, die ähnliche Untersuchungen durchführen, werden wir uns abstimmen", versicherte der Sprecher. Parallel gelte es zu klären, welche Unternehmen oder Sicherheitsbehörden in Deutschland Kunden von Clearview sind beziehungsweise waren. Sollten sich Berichte bestätigen, dass europäische Polizeiämter die "fragwürdigen Angebote" der Firma genutzt hätten, "wäre dafür zu sorgen, dass dies umgehend abgestellt" und für die Zukunft ausgeschlossen wird.

Auch Clearview-Nutzer verstoßen gegen die DSGVO

Der Bundesdatenschutzbeauftragte Ulrich Kelber unterstrich parallel, dass er etwa für das Bundeskriminalamt (BKA) für den Einsatz einer solchen Technik "keine gesetzliche Grundlage" sehe. Clearview ermöglicht es Nutzern, etwa mit ihrer Handykamera eine Gesichtsaufnahme zu machen oder eine bereits gespeicherte Datei mobil hochzuladen und mit einer größtenteils aus sozialen Netzwerken zusammengetragenen Datenbank mit rund drei Milliarden Porträtfotos abzugleichen. Apple blockiert die App aber seit Kurzem.

Laut dem Hamburgischen Datenschutzbeauftragten besteht generell "Grund zu der Annahme, dass die Verarbeitung biometrischer Daten von Millionen von Nutzern auf keiner tragfähigen rechtlichen Grundlage beruht". Das Vorgehen der Firma verstoße damit gegen Vorgaben der Datenschutz-Grundverordnung (DSGVO). Gleiches gelte "für diejenigen verantwortlichen Stellen, die das Angebot von Clearview nutzten, da sie einen Teil der datenschutzrechtlichen Verantwortung tragen".

Clearview verlangt Ausweisdokumente

Ein Sprecher der Berliner Datenschutzbeauftragten Maja Smoltczyk erinnerte gegenüber heise online daran, dass Artikel 9 der DSGVO "die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung untersagt". Eine der vorgesehenen Ausnahmen liege nicht vor.

Sollten Bürger Anhaltspunkte dafür haben, dass ihre Daten von Clearview verwendet würden, stehe ihnen ein Auskunftsrecht zu. Dieses könnten sie direkt bei dem Unternehmen geltend machen, um zu erfahren, ob sie tatsächlich betroffen sind und gegebenenfalls etwa auch eine Löschung beantragen. Die von Clearview geforderten Ausweisdokumente sollten dabei aber, "wenn überhaupt, nur in um nicht erforderliche Daten geschwärzter Form übersendet werden".

Dass die Firma eine Ausweiskopie verlangt, hält Caspar für zusätzlich problematisch. Er gibt zu bedenken, dass dem Unternehmen so "zusätzliche Daten zugespielt werden". Unabhängig davon sei bereits gesetzlich geregelt, dass unrechtmäßig beschaffte und verarbeitete Informationen zu löschen sind. Es bedürfe dazu keines individuellen Antrags. Dies zu klären und gegebenenfalls durchzusetzen, sei Aufgabe der Aufsichtsbehörden, heißt es in Hamburg: "Wir werden diese rechtlichen Anforderungen nach Maßgabe unserer Prüfung geltend machen."

Gesichtserkennung – kaum zu kontrollieren

Generell zeigt der Fall für Caspar, "dass die Technologie der Gesichtserkennung massive Risiken für die Privatsphäre mit sich bringt und kaum zu kontrollieren ist". Die Sicherheitsbehörden sollten ihre eigenen Überlegungen zur Nutzung biometrischer Werkzeuge daher auf den Prüfstand stellen. Sie bräuchten dafür eine klare rechtliche Basis, aus der sich "insbesondere Anlass, Ort und Zeit der Maßnahme, Informations- und Auskunftspflichten sowie ein Richtervorbehalt für die Anordnung ergeben".

Clearview konnte laut Caspar offenbar eine große Datenbasis aufbauen, "da es sich aus öffentlich zugänglichen Daten" wie Profilbildern der Nutzer von Facebook & Co. bedient habe. Die Betreiber hätten es daher wohl versäumt, "ein solches massenhaftes Scraping der Daten effektiv zu verhindern". Anbieter sollten daher verstärkt in die Pflicht genommen werden, um durch technische Maßnahmen im Einklang mit dem Grundsatz Privacy by Design ein solches Vorgehen von vornherein zu verhindern. (bme)