Es hat viel mehr als die ursprünglich geplanten Wochen gedauert, aber eine entscheidende Datenschutzentscheidung, die seit Monaten über Sam Altman’s World (auch bekannt als Worldcoin) schwebte, ist endlich gefallen, und zwar durch eine Entscheidung der bayerischen Datenschutzbehörde Ende Dezember, die den Block durchsetzt Die Datenschutz-Grundverordnung (DSGVO) ist ein umfassender Datenschutzrahmen, der Sanktionen von bis zu 4 % des weltweiten Jahresumsatzes vorsieht.
Obwohl eine Entscheidung über eine Untersuchung, die bereits im April 2023 eingeleitet wurde, erst – endgültig – kurz vor den Feiertagen 2024 gefällt wurde, sieht das Ergebnis nicht so aus, wie es sich das Krypto-Identitätsunternehmen erhofft hatte: Es wurde eine Strafe ausgestellt Abhilfeverfügung, die eine umfassende Löschung der Nutzerdaten auf Verlangen vorschreibt.
„Alle Nutzer, die ‚Worldcoin‘ ihre Irisdaten zur Verfügung gestellt haben, haben künftig die uneingeschränkte Möglichkeit, ihr Recht auf Löschung durchzusetzen“, sagte das Bayerische Landesamt für Datenschutzaufsicht, Michael Will, in einer Stellungnahme Pressemitteilung.
Dem biometrischen Unternehmen wurde ab dem Entscheidungsdatum der bayerischen Behörde eine Frist von einem Monat gegeben, um ein Löschverfahren „im Einklang mit den Bestimmungen der DSGVO“ durchzuführen – merken Sie sich also Anfang 2025 vor.
Ein weiterer Bestandteil der bayerischen Anordnung verlangt, dass Worldcoin eine ausdrückliche Zustimmung für das einholt, was in der Pressemitteilung (vage) als „bestimmte Verarbeitungsschritte in der Zukunft“ bezeichnet wird.
Wir haben um weitere Details gebeten, aber das deutet darauf hin, dass der Onboarding-Prozess von World EU-Benutzern mehr Informationen zur Verfügung stellen muss, bevor Augapfelscans durchgeführt werden. Außerdem sei angeordnet worden, „bestimmte Datensätze, die zuvor ohne ausreichende Rechtsgrundlage erhoben wurden“, zu löschen, heißt es in der Stellungnahme.
Zusätzlich zu unseren Fragen zum Inhalt der Anordnung haben wir die bayerische Behörde gefragt, warum für scheinbar eine Reihe von DSGVO-Verstößen keine Strafe verhängt wurde, und werden diesen Bericht mit etwaigen Antworten aktualisieren.
World hat auf die Korrekturverfügung mit der Ankündigung reagiert, Berufung einzulegen.
Schwierige Frage
Warum sieht die Anforderung, dass Benutzer die Löschung ihrer Daten beantragen können, ein Recht, das in der europäischen Verordnung als Teil der Datenzugriffsrechte für Einzelpersonen der DSGVO verankert ist, für World so schwierig aus?[coin]? Das Problem des Proof-of-Humanness-Blockchain-Projekts besteht darin, dass es ein System unveränderlicher und eindeutiger IDs zur Überprüfung der Identität aus der Ferne aufbaut. Wenn also eine Person alle Spuren von sich selbst aus ihrem Hauptbuch entfernen kann, indem sie einfach eine Anfrage stellt, stellt dies eine Herausforderung für ihren Ehrgeiz dar, eine weltweite Autorität für menschliche Verifizierung zu werden.
Rebecca Hahn, Sprecherin von Tools for Humanity (TfH), die für die Organisation verantwortlich ist, die Worldcoin entwickelt, sagte, die Berufungsgründe würden sich auf Behauptungen konzentrieren, dass die technische Architektur von World „privatsphärewahrend“ sei und dass dies dazu führe, dass Benutzerdaten anonymisiert würden.
Dies bedeutet, dass die DSGVO-Datenzugriffsrechte (z. B. die Möglichkeit, eine Löschung zu beantragen) nicht gelten sollten, da wirklich anonyme Daten nicht in den Geltungsbereich des Gesetzes fallen.
Damien Kieran, Chief Privacy Officer von TfH, antwortete gegenüber Tech auf die Frage, warum World so zögerlich ist, Benutzern das Löschen von Daten zu erlauben: „Unser Ziel ist es, das Vertrauen in digitale Interaktionen zu stärken.“ Zu diesem Zweck haben wir den weltweit ersten anonymen digitalen Reisepass zum Nachweis der Menschlichkeit erstellt. Das bedeutet, dass eine Person auf einer Plattform wie X anonym bestätigen kann, dass sie ein echter Mensch ist [which happens to be Kieran’s former employer] Probleme wie Bots ein für alle Mal lösen.
„Der Schlüssel dazu besteht darin, sicherzustellen, dass, wenn eine anonyme Person die Richtlinien einer Plattform missbraucht und die Plattform sie sperrt, diese Person ihre Welt-ID nicht löschen, eine neue erstellen und zu X zurückkehren und sich als neuer Mensch präsentieren kann. Um unser Ziel zu erreichen, das Online-Vertrauen im Geheimdienstzeitalter zu stärken, mussten wir sicherstellen, dass wir die zugrunde liegenden Daten anonymisieren, sodass sie nicht gelöscht werden können, und sicherstellen, dass schlechte Akteure das Weltnetzwerk nicht missbrauchen können und andere Plattformen.“
Kieran fügte hinzu, dass World-ID-Inhaber „ihre persönlichen Daten, die ausschließlich auf ihrem Telefon gespeichert sind, jederzeit löschen können“.
Allerdings stehen grundlegende Kontodaten nicht im Mittelpunkt dieses DSGVO-Kampfes. Dabei handelt es sich um Informationen, die zur eindeutigen Identifizierung einer Person genutzt werden können.
Anfang dieses Jahres führte World ein Open-Source-System für sichere Mehrparteienberechnungen ein es behauptete „ermöglicht die Verschlüsselung von Iris-Codes als geheime Freigaben und die Verteilung auf mehrere Teilnehmer“ – ohne dass die Codes für die Durchführung von Identitätsprüfungen entschlüsselt werden müssen.
Der Vorschlag besteht darin, dass diese technische Architektur Iris-Codes durch anschließende Verarbeitung, einschließlich Verschlüsselung und Sharding, so umwandelt, dass die Risiken für die Privatsphäre des Einzelnen begrenzt werden.
Im Rahmen dieser Änderungen hat Worldcoin auch eine Funktion eingeführt Benutzer können die Löschung ihrer Iris-Codes beantragen. Das Maß an Kontrolle, das den Nutzern gewährt wird, wurde jedoch offensichtlich als nicht den DSGVO-Standards entsprechend beurteilt, nach denen Einzelpersonen die Kontrolle über ihre Informationen haben müssen.
Und es ist wichtig zu betonen, dass die DSGVO nicht nur Regeln zum Schutz der Privatsphäre der Menschen festlegt; Das Rahmenwerk zielt auch darauf ab, sicherzustellen, dass Einzelpersonen Autonomie über die über sie gespeicherten Informationen haben. Es ist dieses letzte Element, das die größte Herausforderung für die Mission der Welt zum Beweis der Menschlichkeit darstellt, da es die Unterstützung dieses Grades individueller Autonomie nicht berücksichtigt.
Grundrechte
Die bayerische Datenschutzbehörde erklärte, dass das biometrische Einzelverifizierungsverfahren von Worldcoin „eine Reihe grundlegender Datenschutzrisiken für zumindest eine große Anzahl betroffener Personen“ mit sich bringt. Die Behörde verweist in ihrer Stellungnahme zwar auf „Verbesserungen“ bei der Datenverarbeitung des Unternehmens, betont aber, dass „noch Anpassungen erforderlich“ seien.
Die Behörde fügte hinzu, dass sich ihre langwierige Untersuchung letztendlich auf die Notwendigkeit einer „umfassenden Löschung nach Widerruf der Einwilligung“ konzentriert habe; und „die damit verbundene Überprüfung des Einwilligungsprozesses“.
„Mit der heutigen Entscheidung setzen wir europäische Grundrechtsstandards zugunsten der betroffenen Personen in einem technologisch anspruchsvollen und rechtlich hochkomplexen Fall durch“, sagte Will.
Die Berufung von World gegen die bayerische Korrekturverfügung geht nicht direkt auf die Kernfrage des Datenzugriffs ein.
Vielmehr geht es darum, die Angelegenheit als eine technische Frage zu formulieren, wie das europäische Recht anonyme Daten definieren sollte. Daher ist es Blogbeitrag über die Korrekturverfügung beginnt mit der Aussage: „World ID ist von Natur aus anonym.“ Aber der Versuch, eine Lobbyarbeit dafür zu betreiben, dass die Europäer weniger individuelle Rechte verdienen, dürfte in der Region kaum Anklang finden.
Worldcoin hat bereits erlebt, wie seine Flügel in der Region gestutzt wurden. Durchsetzungsmaßnahmen anderer Datenschutzbehörden – darunter in Portugal und Spanien – führten dazu, dass das Unternehmen Sofortmaßnahmen verhängte, die seine Augapfel-Scanning-Operationen in ihren Märkten einstellten. Die beiden Datenschutzbehörden äußerten besondere Bedenken hinsichtlich der Risiken einer unauslöschlichen Erfassung von Kinderdaten.
Gleichzeitig hat Worldcoin – oder World, wie es kürzlich umbenannt wurde – seine Geschäfte in Österreich eröffnet.