Clearview AI, das umstrittene US-Startup für Gesichtserkennung, das eine durchsuchbare Datenbank mit 30 Millionen Bildern erstellte, indem es das Internet nach Selfies von Menschen ohne deren Zustimmung durchsuchte, wurde mit der bislang höchsten Geldstrafe wegen Datenschutzverstößen in Europa belegt.
Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) gab am Dienstag bekannt, dass sie eine Geldstrafe in Höhe von 30,5 Millionen Euro – zum aktuellen Wechselkurs etwa 33,7 Millionen Dollar – gegen Clearview AI wegen einer Reihe von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verhängt habe, nachdem bestätigt worden war, dass die Datenbank Bilder niederländischer Bürger enthalte.
Diese Geldstrafe ist höher als die separaten DSGVO-Sanktionen, die die Datenschutzbehörden in Frankreich, Italien, Griechenland und Großbritannien bereits 2022 verhängt haben.
In einem Pressemitteilungwarnte die AP, dass sie eine zusätzliche Strafe von bis zu 5,1 Millionen Euro angeordnet habe, die bei fortgesetzter Nichteinhaltung erhoben werde. Clearview habe die DSGVO-Verstöße nach Abschluss der Untersuchung nicht eingestellt, weshalb die zusätzliche Anordnung ergangen sei. Die Gesamtstrafe könnte 35,6 Millionen Euro erreichen, wenn Clearview AI die niederländische Regulierungsbehörde weiterhin ignoriert.
Die niederländische Datenschutzbehörde begann im März 2023 mit der Untersuchung von Clearview AI, nachdem sie Beschwerden von drei Personen erhalten hatte, die sich darauf bezogen, dass das Unternehmen Datenzugriffsanfragen nicht nachgekommen sei. Die DSGVO gibt EU-Bürgern eine Reihe von Rechten in Bezug auf ihre personenbezogenen Daten, darunter das Recht, eine Kopie ihrer Daten anzufordern oder diese löschen zu lassen. Clearview AI ist diesen Anfragen nicht nachgekommen.
Zu den weiteren Verstößen gegen die DSGVO, die die AP gegen Clearview AI verhängt, gehört der auffälligste Verstoß gegen die Erstellung einer Datenbank durch die Erfassung biometrischer Daten von Personen ohne gültige Rechtsgrundlage. Das Unternehmen wird auch wegen mangelnder Transparenz in Bezug auf die DSGVO bestraft.
„Clearview hätte die Datenbank mit Fotos, den einzigartigen biometrischen Codes und anderen damit verknüpften Informationen niemals erstellen dürfen“, schrieb die AP. „Dies gilt insbesondere für die [face-derived unique biometric] Codes. Wie Fingerabdrücke sind dies biometrische Daten. Ihre Erfassung und Verwendung ist verboten. Es gibt einige gesetzliche Ausnahmen von diesem Verbot, aber Clearview kann sich nicht darauf berufen.“
Darüber hinaus versäumte es das Unternehmen, die Personen zu informieren, deren personenbezogene Daten es erfasst und seiner Datenbank hinzugefügt hat.
Lisa Linden, Vertreterin von Clearview und der in Washington, D.C. ansässigen PR-Firma Resilere Partners, antwortete auf Fragen nicht, schickte Tech jedoch per E-Mail eine Stellungnahme, die dem Justiziar von Clearview, Jack Mulcaire, zugeschrieben wird.
„Clearview AI hat keinen Geschäftssitz in den Niederlanden oder der EU, es hat keine Kunden in den Niederlanden oder der EU und unternimmt keine Aktivitäten, die andernfalls bedeuten würden, dass es der DSGVO unterliegt“, schrieb Mulcaire und fügte hinzu: „Diese Entscheidung ist rechtswidrig, ohne ordnungsgemäßes Verfahren und nicht durchsetzbar.“
Nach Angaben der niederländischen Aufsichtsbehörde kann das Unternehmen gegen die Strafe keine Berufung einlegen, da es keinen Einspruch gegen die Entscheidung eingelegt hat.
Erwähnenswert ist auch, dass die DSGVO einen extraterritorialen Geltungsbereich hat, d. h. sie gilt für die Verarbeitung personenbezogener Daten von EU-Bürgern, unabhängig davon, wo diese Verarbeitung stattfindet.
Das in den USA ansässige Unternehmen Clearview verwendet die gesammelten Daten von Personen, um einen Identitätsabgleichsdienst an Kunden zu verkaufen, zu denen Regierungsbehörden, Strafverfolgungsbehörden und andere Sicherheitsdienste gehören können. Es ist jedoch immer unwahrscheinlicher, dass seine Kunden aus der EU stammen, wo der Einsatz der datenschutzrechtswidrigen Technologie mit behördlichen Sanktionen verbunden ist – etwas, das einer schwedischen Polizeibehörde bereits 2021 passiert ist.
Die AP warnte, dass sie alle niederländischen Unternehmen, die Clearview AI nutzen wollen, streng bestrafen werde. „Clearview verstößt gegen das Gesetz, und das macht die Nutzung der Dienste von Clearview illegal. Niederländische Organisationen, die Clearview nutzen, müssen daher mit hohen Geldstrafen durch die niederländische Datenschutzbehörde rechnen“, schrieb der Vorsitzende der niederländischen Datenschutzbehörde, Aleid Wolfsen.
Eine englischsprachige Version der AP’s Entscheidung ist über diesen Link erreichbar.
Persönliche Haftung?
Clearview AI wurde in den letzten Jahren mit einer Reihe von DSGVO-Strafen konfrontiert (auf dem Papier hat das Unternehmen insgesamt etwa 100 Millionen Euro an EU-Datenschutzstrafen angehäuft), aber die regionalen Datenschutzbehörden waren offenbar nicht sehr erfolgreich darin, diese Bußgelder einzutreiben. Das in den USA ansässige Unternehmen bleibt weiterhin unkooperativ und hat keinen Rechtsvertreter in der EU benannt.
Noch wichtiger ist jedoch, dass Clearview AI sein DSGVO-verletzendes Verhalten nicht geändert hat. Das Unternehmen missachtet weiterhin die europäischen Datenschutzgesetze und bleibt dabei aufgrund seines Firmensitzes im Ausland offenbar ungestraft.
Die niederländische AP ist darüber besorgt und sagt, sie prüfe derzeit Möglichkeiten, um sicherzustellen, dass Clearview nicht mehr gegen das Gesetz verstößt. Die Aufsichtsbehörde prüft, ob die Geschäftsführer des Unternehmens für die Verstöße persönlich haftbar gemacht werden können.
„Ein solches Unternehmen kann nicht weiterhin die Rechte der Europäer verletzen und damit durchkommen. Sicherlich nicht in dieser schwerwiegenden Weise und in diesem massiven Ausmaß. Wir werden nun prüfen, ob wir das Management des Unternehmens persönlich haftbar machen und es für die Anordnung dieser Verstöße mit einer Geldstrafe belegen können“, schrieb Wolfsen. „Diese Haftung besteht bereits, wenn die Manager wissen, dass gegen die DSGVO verstoßen wird, und die Befugnis haben, dies zu verhindern, dies aber unterlassen und auf diese Weise diese Verstöße bewusst in Kauf nehmen.“
Angesichts der Tatsache, dass Pavel Durov, der Gründer der Messaging-App Telegram, gerade auf französischem Boden verhaftet wurde, weil er angeblich illegale Inhalte auf seiner Plattform verbreitet hätte, ist es interessant zu überlegen, ob Sanktionen gegen die Leute, die Clearview leiten, nicht eine größere Chance hätten, die Einhaltung der Vorschriften durchzusetzen – schließlich möchten sie sich vielleicht ungehindert innerhalb und außerhalb der EU bewegen.