Bußgeld gegen Clearview AI Inc.
Geschrieben von Luise Riemer, veröffentlicht am 10.10.2022Am 13. Juli 2022 verhängte die griechische Datenschutzbehörde (HDPA) ein Bußgeldbescheid über 20 Millionen € gegen das US-amerikanische Unternehmen Clearview AI Inc. Dieses hatte unter anderem unrechtmäßig biometrische Profile von Personen in Griechenland angefertigt.
Wer ist Clearview AI?
Das US-amerikanische Unternehmen Clearview AI Inc. mit Hauptsitz in New York betreibt eine Software, durch welche unter dem Einsatz künstlicher Intelligenz biometrische Profile von Personen erstellt werden können. Dafür extrahiert Clearview die benötigten Daten aus Fotos der Betroffenen. Zu diesem Zweck errichtete das Unternehmen eine Datenbank mit mehr als 20 Milliarden Geschichtsbildern, welche heimlich aus öffentlichen Internetquellen wie Social-Media-Plattformen aus der ganzen Welt zusammengetragen wurden. Clearview AI funktioniert damit wie eine Suchmaschine für Gesichter und dient der Identifizierung von Personen. In einigen Ländern wird die kostenpflichtige Software von Clearview AI für die Gesichtserkennung bei der Strafverfolgung eingesetzt.
Die Software von Clearview AI und dessen Vorgehen sind jedoch unter anderem aus Datenschutzsicht als äußerst problematisch einzuordnen. Verschiedenste Datenschutzbehörden haben sich in den letzten Monaten bereits genau deshalb mit Clearview AI auseinandersetzen müssen. Darunter auch die griechische Datenschutzbehörde.
Ermittlungsverfahren durch die griechische Datenschutzbehörde
Auslöser für das Ermittlungsverfahren durch die griechische Datenschutzbehörde war eine durch die gemeinnützige Organisation „Homo Digitalis“ im Auftrag eines Betroffenen eingereichte Beschwerde gegen Clearview AI. Grund dafür war das nicht ordnungsgemäße Nachkommen einer Auskunftsanfrage des Betroffenen durch das Unternehmen. Die Behörde überprüfte im Verfahren dabei auch über die Beschwerde hinaus die Datenschutzpraxis von Clearview AI.
Die griechische Datenschutzbehörde stellte in ihren Ermittlungen zunächst fest, dass Clearview AI seine Software auch zur Auswertung von Personen, die sich im griechischen Staatsgebiet befinden, einsetzt. Somit unterliegt das Vorgehen dem europäischen Datenschutzrecht. Laut der Datenschutzbehörde verstoße Clearview AI gegen verschiedenste Inhalte der DSGVO.
Clearview AI verstößt mit seiner Praxis unter anderem gegen den Grundsatz der Rechtmäßigkeit gem. Art. 5 Abs. 1 lit. a) DSGVO. Biometrische Daten sind personenbezogene Daten und unterliegen somit grundsätzlich dem Datenverarbeitungsverbot mit Erlaubnisvorbehalt. Das Bestehen einer einschlägigen Rechtsgrundlage konnte nicht festgestellt werden. Ferner mangelt es bei den Verarbeitungstätigkeiten des Unternehmens an der notwendigen Transparenz. Ebenso wurden von Clearview AI die Informationspflichten gem. Art. 14 DSGVO nicht eingehalten. Auch dem Ankunftsrecht der betroffenen Personen gem. Art. 15 DSGVO wurde durch das Unternehmen nicht vorschriftgemäß nachgekommen. Ferner hätte Clearview AI gem. Art. 27 DSGVO einen Vertreter in der EU benennen müssen. Auch dies tat das Unternehmen nicht ordnungsgemäß.
Entscheidung der Behörde
Aufgrund der zahlreichen Verstöße gegen die DSGVO verhängte die griechische Datenschutzbehörde eine Geldstrafe in Höhe von 20 Millionen € gegen das US-amerikanische Unternehmen Clearview AI. Darüber hinaus wies die Datenschutzbehörde an, dass Clearview AI dem Auskunftsersuchen der betroffenen Person nachzukommen hat, die Erhebung und Verarbeitung personenbezogener Daten von Personen auf griechischem Territorium zu beenden sowie die bereits erlangten Daten zu löschen muss. Ferner muss Clearview AI einen Vertreter in der EU benennen, damit betroffene Personen eine Ansprechperson haben, um ihre Rechte leichter wahrnehmen und durchsetzen zu können.
Ähnlich hatten bereits andere europäische Datenschutzbehörden in diesem Jahr in Bezug zu Clearview AI geurteilt. Neben der griechischen Datenschutzbehörde hatte auch erst die britische sowie die italienische Datenschutzbehörde ein Bußgeld gegen Clearview AI in Höhe von 9 Millionen € bzw. 20 Millionen € verhängt.
Fazit und Ausblick
Das US-amerikanische Unternehmen Clearview AI verstößt mit seinem Vorgehen gegen sämtliche europäische Datenschutzvorschriften. Unterschiedlichste Behörden auf europäischer Ebene haben sich in den letzten Monaten bereits mit damit auseinandersetzen müssen. Diese Tatsache hat in Europa unter anderem auch die Debatte um ein Verbot von Gesichtserkennungstechnologien sowie ein Verbot biometrischer Massenüberwachung ins Rollen gebracht. Es gilt abzuwarten, wie sich diese Diskussionen in Zukunft entwickeln werden.