Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » Datenschutz: Gesichtserkennungssoftware Clearview AI im Fokus
Datenschutz :

Gesichtserkennungssoftware Clearview AI im Fokus

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat gegen das in den USA ansässige Unternehmen Clearview AI, welches eine Gesichtserkennungs-App anbietet, mittels eines formalen Bescheids ein amtliches Auskunftsverlangen gestartet. Wir beantworten die wichtigsten Rechtsfragen zu Gesichtserkennungssoftware.

Clearview AI bietet eine Gesichtserkennungs-App an, die es Kunden ermöglicht, nach Hochladen eines Fotos einer Person sämtliche öffentlich verfügbaren Fotos, auf denen diese Person zu erkennen ist – bspw. aus Profilen in sozialen Netzwerken wie YouTube oder Facebook und von sonstigen Internetseiten –, zu ermitteln, zusammenzustellen und auszuwerten. Dazu hat das Unternehmen offenbar mehrere Milliarden von Fotos von Nutzern weltweit aus dem Internet kopiert und diese Daten zu einem gigantischen, leicht durchsuchbaren Archiv von Gesichtern ausgebaut. Die Rechtmäßigkeit dieser Verarbeitung ist in Bezug auf europäische Betroffene angesichts der fehlenden Einwilligung in die Verarbeitung gerade biometrischer Daten überaus zweifelhaft.

Beschwerde gegen Clearview – Unternehmen muss Auskunft erteilen

Ausgehend von einer Beschwerde gegen Clearview, die beim Hamburgischen Datenschutzbeauftragten Johannes Caspers im Februar 2020 eingereicht wurde, hat dieser mit dem Unternehmen nun bereits mehrfach Kontakt aufgenommen. Doch Clearview verweigert offenbar eine konstruktive Zusammenarbeit, jedenfalls wurden Fragen zum Geschäftsmodell und zu den Umständen, die der Beschwerde zugrunde liegen, bislang lediglich ausweichend beantwortet. Dabei wurde die rechtliche Position vertreten, die Datenschutzgrundverordnung (DSGVO) sei für die Verarbeitung durch Clearview insgesamt nicht anwendbar, so dass auch keine Pflicht zur Antwort in der Sache bestehe. Die Antworten Clearviews bleiben daher ohne Substanz.

Clearview ist allerdings nun verpflichtet, der Aufsichtsbehörde bis Mitte September 2020 umfassend und aussagekräftig Auskunft zu geben. Für den Fall der Nichtbereitstellung der geforderten Informationen wurde ein Zwangsgeld in Höhe von je 10.000 € für jeden Einzelfall der insgesamt siebzehn Fragekomplexe angedroht, was insgesamt somit 170.000 Euro ausmacht.

Schließlich gefährden Geschäftsmodelle, die darin bestehen, massenhaft und anlasslos Bilder im Netz zu sammeln und die Gesichter von Personen durch biometrische Analyse identifizierbar zu machen, die Privatsphäre im globalen Maßstab. Zum Schutz Betroffener unter der EU-Grundrechtecharta müssen sie anhand der Datenschutzgrundverordnung kontrolliert, reguliert und nötigenfalls gestoppt werden, denn in Europa darf es keinen Raum für düstere digitale Dystopien geben, in denen der Einsatz von Gesichtserkennungssoftware und biometrische Datenbanken staatlichen, aber auch privaten Stellen eine neue, kaum mehr kontrollierbare Form der Herrschaft über Menschen verschafft.

Die Datenschutzaufsichtsbehörden haben daher den Auftrag, hierüber zu wachen. Das gilt auch gegenüber Unternehmen, die entsprechende Geschäftszwecke von außerhalb der EU verfolgen und damit die Privatsphäre und die informationelle Selbstbestimmung von Menschen in der EU in Frage stellen.

Um eine datenschutzrechtliche Kontrolle zu ermöglichen, geht der Datenschutzbeauftragte davon aus, dass Clearview die dem Unternehmen gestellten Fragen beantworten oder zumindest gegen den Heranziehungsbescheid Rechtsmittel einlegen wird, um so eine rechtliche Entscheidung zu ermöglichen. Wir werden über den weiteren Vorgang berichten.

Im Folgenden beantworten wir die wichtigsten Fragen zur Thematik:

Warum genau werden Gesichtserkennungswebseiten so kritisch gesehen? 

Gesichtserkennungswebsiten bzw. -apps wie Clearview oder Pim Eyes verfügen laut eigenen Angaben über einen außergewöhnlich großen Datensatz an Bildern aus dem Internet. Strafverfolgungsbehörden können durch die Verwendung dieser Webseiten Personen im Netz identifizieren. Es reicht aus, das Bild einer Person hochzuladen, und schon spucken die Programme ähnliche Fotos aus, inklusive Link auf die Quelle. 

Zum einen ist fraglich, wie ein solch tiefgreifender Eingriff in das Recht auf informationelle Selbstbestimmung der Personen gerechtfertigt werden kann. Zum anderen können über die Webseiten zahlreiche Personen identifiziert werden. Allein Clearview spricht von 3 Milliarden Bildern in seiner Datenbank. Außerdem scheint zum Beispiel Clearview Bilder auf Twitter und Facebook nicht rechtmäßig in seiner Datenbank gespeichert zu haben.

Twitter verbietet es ausdrücklich, Bilder von Nutzerinnen und Nutzern für Gesichtserkennung zu verwenden. Und Facebook erlaubt es nicht, die Seite automatisiert nach Inhalten zu durchforsten.

Was ist das gefährliche an solchen Webseiten? 

Vorsicht ist natürlich geboten, wenn die Programme allgemein für die Öffentlichkeit verfügbar werden. Sollten sie zum Beispiel in die App-Stores von Google oder Apple gelangen und ihre Datenbanken weiter wachsen, befürchten einige das dystopische Szenario, dass dann jedermann jede Person in der Öffentlichkeit identifizieren kann, also ein Ende der Privatsphäre. 

Zu berücksichtigen ist aber auch die Qualität der Gesichtserkennungs-Suchmaschinen. Nach dem bisherigen Stand der Erkenntnisse funktioniert zum Beispiel Clearview noch nicht perfekt. Laut eigenen Angaben von Clearview erkennt das System eine Person in mindestens einem von vier Fällen nicht. Es wäre nun falsch, Panik zu machen und dystopische Szenarien heraufzubeschwören. Stattdessen muss konstruktiv diskutiert werden, wie man künftig mit den Gesichtserkennungsprogrammen umgehen will. 

Sind Webseiten wie Pim Eyes oder Clearview rechtlich in Deutschland überhaupt erlaubt? Wie sehr sind sie mit dem Datenschutz vereinbar?

Bei der Frage, ob die Webseiten/Apps in Deutschland erlaubt sind, ist zu differenzieren, ob sie im privaten Rahmen oder durch Strafverfolgungsbehörden genutzt werden können. 

Was den Gebrauch der Programme durch Privatnutzende angeht, sind sich Juristen uneins, ob ihr Einsatz mit der DSGVO vereinbar ist. Fakt ist, dass die Person, die identifiziert werden soll, in der Regel nicht in die Datenverarbeitung durch Clearview oder Pim Eyes eingewilligt hat. 

Viele Juristen sehen auch keinen sonstigen Rechtfertigungsgrund für die Datenverarbeitung gegeben. 

Andere argumentieren zugunsten der Webseiten, dass sie im Grunde wie Suchmaschinen funktionieren und damit bei ihrer Datenverarbeitung berechtigte Interessen verfolgt werden. 

Problematisch wird es, wenn die Webseiten „biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person“ verwenden. Dabei handelt es sich um besonders sensible Daten. Für diese gilt grundsätzlich ein Datenverarbeitungsverbot. Allerdings ist häufig noch unklar, ob die Webseiten tatsächlich ein biometrisches Verfahren einsetzen. 

Anders ist die Rechtslage, wenn Strafverfolgungsbehörden die Webseiten verwenden wollen. Schließlich gab es in der Vergangenheit bereits das Pilotprojekt „Sicherheitsbahnhof Berlin Südkreuz“ in Deutschland, bei dem Gesichtskerkennungssysteme gesetzeskonform durch die Bundespolizei getestet wurden. Dagegen gibt es aktuell einen Vorstoß der EU-Kommission auf EU-Ebene, Gesichtserkennung im öffentlichen Raum in den nächsten Jahren zu verbieten. 

Was kann ich als Einzelperson dagegen unternehmen, dass ich auf solchen Webseiten nicht erkannt werde und meine Fotos nicht benutzt werden? 

Das ist eine schwierige komplexe Frage. Das Vorgehen von Clearview oder PimEyes zeigt, dass Datenschutz schwierig wird, wenn er nur in der individuellen Verantwortung einzelner Nutzer liegt. Sie erfahren nicht, dass ihre Fotos und Daten verarbeitet werden. Sie können nicht widersprechen, während die Technik tief in ihre Privatsphäre eindringt. Die einzige Möglichkeit zu verhindern, dass Daten analysiert werden, besteht darin, keine Daten zu veröffentlichen. Alles, was frei zugänglich im Netz steht, wird früher oder später ausgewertet – oder ist schon längst von Unternehmen wie Clearview oder Pimeyes erfasst. Gerade deshalb ist es nötig, den Einsatz der Gesichtserkennungs-Webseiten klar gesetzlich zu regulieren.