Die US-Firma Clearview AI ist den Datenschützern seit geraumer Zeit ein Dorn im Auge. Das im Jahre 2017 gegründete Unternehmen hat sich auf die biometrische Gesichtserkennung spezialisiert und bietet über seine App auch die Möglichkeit, dass Nutzer mit dem eigenen Smartphone Fotos von sich anfertigen und/oder in die Anwendung hochladen und mit der Datenbank des Anbieters abgleichen können. Auch sollen dabei Standortdaten und weitere Meta-Daten im Hintergrund verarbeitet werden.

Das eher im Geheimen agierende Startup aus New York verfügt angeblich mittlerweile über eine Bilderdatenbank mit mehr als drei Milliarden Fotos und soll auch von verschiedenen Sicherheitsbehörden genutzt werden, um Personen zu identifizieren. Zumindest aus einem Leak vor wenigen Wochen ging hervor, dass sich unter anderem das FBI und Interpol dieser Anwendung bedienen würden. Insgesamt seien es über 2000 Organisationen und Unternehmen.

Auch viele Menschen in Europa sind betroffen und finden sich mit den Gesichtsfotos in der Datenbank von Clearview wieder. Angesichts der strengen datenschutzrechtlichen Vorgaben aus der DSGVO sind vielfältige Datenschutzverstöße anzunehmen, die auch mit einem hohen Bußgeld geahndet werden könnten.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, hat nach Medienberichten nun eine Prüfung gegen Clearview eingeleitet und sich schriftlich an das US-Amerikanische Unternehmen gerichtet. Ausgangspunkt hierfür soll eine Betroffenenbeschwerde eines Hamburgers gewesen sein. Aber auch weitere Aufsichtsbehörden haben sich hierzulande abgestimmt und planen ein gemeinsames Vorgehen gegen das Startup aus New York.

Zahlreiche DSGVO-Verletzungen

Zu den größten Kritikpunkten zählt die mangelnde Rechtsgrundlage für die Verarbeitung der personenbezogenen bzw. angesichts von biometrischen Daten sogar der besonderen Kategorien personenbezogener Daten, die mit der Verarbeitung von biometrischen Gesichtsfotos einhergeht. Für die Verarbeitung biometrischer Fotos, die der eindeutigen Identifikation des Einzelnen dienen, stellen sich hohe Hürden aus Art. 9 Abs. 1 DSGVO. Aus den Regelungskatalog in Art. 9 Abs. 2 DSGVO käme wohl allein die ausdrückliche Einwilligung des Abgebildeten gem. Art. 9 Abs. 2 lit. a DSGVO in Betracht. Eine solche dürfte aber von Clearview nicht eingeholt worden sein, insbesondere nicht bei dem Import von Gesichtsfotos aus sozialen Netzwerken. Sowohl der Anbieter als auch der Nutzer der App würden demnach gegen Art. 9 Abs. 1 DSGVO verstoßen.

Ferner würde Clearview (früher) eine Ausweiskopie des Nutzers verlangen (verlangt haben), wenn dieser als vermeintlich Betroffener die ihm aus der DSGVO zustehenden Betroffenenrechte gegenüber Clearview gelten macht, wie unter anderem Auskunft oder das Löschbegehren. Auch dies sei nach Ansicht der Datenschützer problematisch.

Es bleiben zahlreiche Fragezeichen zum Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) bzw. den Grundsätzen von Privacy by Design und Privacy by Default (Art. 25 DSGVO), aber auch im Hinblick der Datensicherheit. Unter anderem sollen die Daten bei AWS verarbeitet werden.

Angesichts der riesigen Zahlen und harschen Kritik an dem Dienst ist mit Maßnahmen der Aufsichtsbehörden zu rechnen. Und auch Apple hat längst reagiert und die App geblockt.