Die französische Datenschutzbehörde CNIL hat eine Geldstrafe gegen die US-Firma Clearview AI wegen Verstöße gegen Datenschutzgesetze verhängt
Frankreich hat Clearview AI, einem Unternehmen, das unrechtmäßig Gesichter gescannt und die dabei gesammelte Daten gespeichert hat, die nach der DSGVO zulässige Höchststrafe auferlegt. Clearview erwies sich bei der Untersuchung als unkooperativ. Davon informierte CNIL in einer Pressemitteilung. Sie teilten mit:
„Nach einem nicht beantworteten Mahnbescheid verhängte die CNIL eine Strafe in Höhe von 20 Millionen Euro und wies Clearview AI an, die Erhebung und Nutzung von Personendaten in Frankreich ohne Rechtsgrundlage einzustellen und die bereits erhobenen Daten zu löschen.“
Clearview AI verstößt gegen Datenschutzgesetze
Im Mai 2020 erhielt die CNIL Beschwerden von Einzelpersonen über die Gesichtserkennungssoftware von Clearview AI und leitete daraufhin eine Untersuchung ein. Wie CNIL ausführte, wies die Behörde Clearview AI am 16. Dezember 2021 Clearview AI in einer formellen Mitteilung auf die Verstöße hin, jedoch ignorierte das Unternehmen diese Mitteilung. Die DSGVO-Verstöße, die die französische Behörde zum betreffenden Zeitpunkt aufführte, war zum einen die rechtswidrige Verarbeitung personenbezogener Daten. Zum anderen die Einschränkung des Rechts des Einzelnen auf Zugang zu den Daten und einer Aufforderung zur Daten-Löschung. CNIL wies das Unternehmen zudem an, das Sammeln von Bildern einzustellen, die von Personen online gepostet wurden und gab dem Unternehmen zwei Monate Zeit, den Verfügungen nachzukommen. Clearview AI kam infolge dieser Anordnung wiederholt nicht nach. Dies zog einen weiteren Verstoß nach sich, nämlich mangelnde Zusammenarbeit. CNIL fasst zusammen:
„Clearview AI hatte zwei Monate Zeit, um den in der Aufforderung formulierten Verfügungen nachzukommen und sie gegenüber CNIL zu begründen. Das Unternehmen hat jedoch keine Antwort auf diese Aufforderung gegeben, in der die Sanktion bereits angekündigt wurde. Der CNIL-Vorsitzende hat daher beschlossen, die Angelegenheit an den engeren Ausschuss zu verweisen, der für die Verhängung von Sanktionen zuständig ist. Auf der Grundlage der ihm zur Kenntnis gebrachten Informationen beschloss der engere Ausschuss, gemäß Artikel 83 der DSGVO [Datenschutz-Grundverordnung] eine maximale Geldstrafe von 20 Millionen Euro zu verhängen.“
Mittels Gesichtserkennungssoftware zu realen Identitäten
Clearview AI ist ein US-amerikanisches Unternehmen mit Sitz in New York City. Die Firma hat sich mittels sehr großer Bilddatenmengen und maschinellem Lernen auf die Gesichtserkennung mit Computersystemen spezialisiert. Unter Einsatz selbst entwickelter Software kann man Menschen durch deren Gesichtsmerkmale innerhalb nur weniger Sekunden erkennen.
Dabei greift die Datenbank immerhin inzwischen auf mehr als 20 Milliarden Bilder zu, die das Unternehmen von Personen aus öffentlich zugänglichen Quellen im Internet, wie Facebook oder YouTube, durch Screen Scraping gesammelt hat. Diese Fotos verwendet Clearview, um sein Tool zu trainieren. Die Firma erntete dabei gute Noten hinsichtlich der Genauigkeit der Trefferquote. US-Investor Peter Thiel, der unter anderem das Datenanalyseunternehmen Palantir finanziell unterstützte, hat auch dieses Projekt bezuschusst.
Das US-Patent- und Markenamt (USPTO) hat erst kürzlich Clearview das Patent für „Scalable Training Data Preparation Pipeline And Efficient Distributed Trainer For Deep Neural Networks In Facial Recognition“ erteilt. Dies würde es dem Unternehmen nach eigenen Angaben ermöglichen, „Gesichtserkennung mit hoher Genauigkeit zu erstellen, die vorurteilsfrei öffentlich zugänglich ist“.
Hat erst im Mai diesen Jahres das Vereinigte Königreich Clearview zu Geldstrafen verurteilt, weil das Unternehmen durch das Sammeln von Online-Bildern ohne Zustimmung gegen Datenschutzgesetze verstoßen hat, so zog Frankreich nun nach. Damals hatte das britische Information Commissioner’s Office (ICO) von der US-Firma eine Geldstrafe in Höhe von 7.552.800 Pfund (rund 8,9 Millionen Euro) gefordert. Zudem reichten Beschwerden wegen angeblicher Verstöße gegen die DSGVO bereits zuvor die Datenschutzbehörden Österreichs und Italiens gegen Clearview AI ein.
Frankreich fordert Höchststrafe
Wie TechCrunch informierte, sieht die EU-DSGVO „Strafen von bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens für die schwerwiegendsten Verstöße vor – oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist“.
Clearview AI bestreitet die Zuständigkeit der französischen Aufsichtsbehörde CNIL. Hoan Ton-That, CEO von Clearview, führte gegenüber AFP an, dass das Unternehmen nicht der DSGVO unterliegen würde. Weder besitzen sie Kunden, noch Präsenz in Frankreich. Des Weiteren ließe sich nicht feststellen, welche in ihrer Datenbank vorkommenden Personen in Frankreich wohnhaft sind.
