Der Versuch von Sam Altman, CEO von Worldcoin und OpenAI, den Markt für die Überprüfung der Menschlichkeit zu verstopfen, indem er genügend mobile Fleischsäcke davon überzeugt, ihre Augäpfel einscannen zu lassen und sie gegen Krypto-Token einzutauschen (ja, wirklich), hat diese Woche erst mit der offiziellen weltweiten Einführung begonnen, ist aber bereits auf dem Markt gelandet Radar der europäischen Datenschutzbehörden.
Warum sollte jemand das Bedürfnis verspüren, seine Menschlichkeit im Internet zu beweisen? Ein Grund dafür ist, dass Altmans Unternehmen für generative KI durch die Einführung kostenloser Power-Tools wie ChatGPT die Vorreiterrolle spielt, die Unterscheidung zwischen Bot-generierter und menschlicher digitaler Aktivität zu erschweren. Aber keine Sorge, er hat einen Augapfel-scannenden Orb plus Krypto-Token, den er der Menschheit dafür verkaufen kann!
Pop-up-Standorte, an denen willige Meerschweinchen (d. h. Menschen) einige „digitale Token“ von Worldcoin erhalten können, wenn sie ihre biometrischen Daten in das proprietäre System einspeisen Halbwertszeit-artige Kugeln sind bisher in vier Märkten in Europa aufgetaucht: Großbritannien, Frankreich, Deutschland und Spanien. Und was niemanden überrascht, sind die Datenschutzbehörden in mindestens drei dieser Märkte, die bereits Bedenken äußern und/oder aktiv untersuchen, was Worldcoin mit den sensiblen persönlichen Daten Europas macht.
Anfang dieser Woche wurde das Information Commission Office (ICO) des Vereinigten Königreichs zur Einführung von Worldcoin im Vereinigten Königreich befragt und sagte öffentlich, es werde „Nachforschungen anstellen“, bevor es eine allgemeine Warnung herausgab: „Organisationen müssen zuvor eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) durchführen.“ Beginnen Sie mit jeder Verarbeitung, die voraussichtlich ein hohes Risiko mit sich bringt, beispielsweise mit der Verarbeitung biometrischer Daten besonderer Kategorien. Wenn sie hohe Risiken erkennen, die sie nicht mindern können, müssen sie das konsultieren ICO.“
In den Bemerkungen des ICO wurde auch die Notwendigkeit einer „klaren Rechtsgrundlage für die Verarbeitung personenbezogener Daten“ hervorgehoben und hinzugefügt: „Wenn sie sich auf eine Einwilligung verlassen, muss diese freiwillig erteilt werden und ohne Nachteile widerrufen werden können.“
Eine zu berücksichtigende Frage zur Einhaltung des Datenschutzes lautet also: Kann die Einwilligung freiwillig erteilt werden, wenn Menschen dazu ermutigt werden, ihre biometrischen Daten im Austausch gegen einen Token abzugeben, der als eine Form einer virtuellen Währung präsentiert wird?
Ein paar Tage später folgte die französische Datenschutzbehörde CNIL den Äußerungen des ICO mit noch konkreteren Besorgniserscheinungen, wie erstmals von berichtet wurde Reuters – die Rechtmäßigkeit dessen, was Worldcoin tut, völlig in Frage zu stellen. Die französische Behörde gab außerdem bekannt, dass sie Worldcoin bereits aktiv untersucht.
„Die Legalität von [Worldcoin’s data] Die Erhebung erscheint fraglich, ebenso wie die Bedingungen für die Speicherung biometrischer Daten“, bestätigte ein CNIL-Sprecher per E-Mail und fügte hinzu: „Worldcoin sammelte Daten in Frankreich und den CNIL Ermittlungen eingeleitet.“
Nach Angaben der CNIL wurde die von ihr eingeleitete Untersuchung an die bayerische Datenschutzbehörde weitergeleitet, nachdem festgestellt wurde, dass die deutsche Landesbehörde der führende Datenaufseher von Worldcoin in der EU war (vermutlich weil Worldcoin eine Tochtergesellschaft im deutschen Bundesland hat). Es fügte hinzu, dass es Bayerns Ermittlungen „im Rahmen des Rechtshilfeverfahrens“ im EU-Recht unterstütze.
Die Datenschutz-Grundverordnung (DSGVO) des Blocks – ein EU-weites Gesetz, das immer noch in die alten Datenschutzvorschriften des Vereinigten Königreichs integriert ist (daher teilt das ICO die gleichen Bedenken wie die EU-Kollegen) – enthält einen Mechanismus namens „One-Stop-Shop“. Damit soll die Regulierungsaufsicht in Fällen rationalisiert werden, in denen Bedenken wie hier über die Grenzen der Mitgliedstaaten hinausgehen. Oder zumindest dann, wenn der betreffende Datenverarbeiter eine Hauptniederlassung in der EU hat, wie es bei Worldcoin offenbar der Fall ist.
In diesem Szenario muss der Datenverantwortliche nur mit einer einzigen federführenden Datenschutzbehörde zusammenarbeiten. Und im Fall von Worldcoin ist das offenbar die Datenschutzbehörde des Freistaates Bayern.
Wir haben uns mit Fragen zu den Ermittlungen an die bayerische Behörde gewandt. Ein Sprecher teilte uns jedoch mit, dass es sich um ein laufendes Verfahren handele und daher nicht näher darauf eingegangen werden könne. (Sie bestätigten, dass einer der ersten Aspekte aus einer Reihe „vieler“ Fragen die Verpflichtung ist, eine Datenschutz-Folgenabschätzung durchzuführen – die ihrer Meinung nach „eine klare Analyse der Auswirkungen liefern sollte geplante Verarbeitungsvorgänge zum Schutz personenbezogener Daten und die zur Bewältigung dieser Risiken getroffenen Sicherheitsvorkehrungen.)
Wir haben uns auch an die spanische Datenschutzbehörde gewandt und gefragt, ob sie die Bedenken ihrer Kollegen hinsichtlich der Datenverarbeitung von Worldcoin in diesem EU-Markt teilt, und werden diesen Bericht mit etwaigen Antworten aktualisieren.
Was die Rechtmäßigkeit angeht, klassifiziert die DSGVO biometrische Daten, die zum Zweck der Identifizierung verwendet werden – was genau das ist, was das Worldcoin-Projekt beabsichtigt – als sogenannte „Sonderkategoriedaten“. Für diese Art von (sehr sensiblen) Daten gelten die strengsten Regeln für die rechtliche Verarbeitung.
Eine Sprecherin von Tools For Humanity, dem gewinnorientierten Technologieunternehmen, das die Entwicklung von Worldcoin leitete und die World App betreibt, bestätigte gegenüber Tech, dass die Einwilligung die gesetzliche Grundlage für die Verarbeitung biometrischer Daten europäischer Bürger sei. „Nach der DSGVO ist das Projekt auf die Zustimmung der Nutzer zur Erstellung des Identitätsnachweises und zur Einwilligung in die Datenverwahrung angewiesen“, sagte sie uns.
Sie hat uns auch darauf hingewiesen Das Einverständnisformular für biometrische Daten von Worldcoin Und Datenschutzerklärung – Dokumente mit einer Länge von fast 3.800 Wörtern bzw. fast 3.400 Wörtern.
Da Worldcoin bei der Verarbeitung seiner Sonderkategoriedaten auf die Einwilligung der Menschen angewiesen ist, muss es nach EU-Recht eine noch höhere Anforderung erfüllen – die ausdrückliche Einwilligung –, damit diese Verarbeitung rechtmäßig ist. Das bedeutet, dass die Beschreibung, die Augapfelanbietern vor der Erfassung ihrer biometrischen Daten angezeigt wird, äußerst klar und spezifisch sein muss, wozu die Verarbeitung dient. Und sagen wir einfach, dass es gelinde gesagt eine Herausforderung darstellt, die höchste Messlatte für Klarheit zu erreichen, wenn man Einzelpersonen etwa 7.000 juristische Wörter vorlegt und ihnen gleichzeitig sagt, dass sie eine Menge Krypto bekommen, wenn sie den Scan durchführen. (Hinweis: Es muss auch eine Einwilligung nach EU-Recht vorliegen frei gegeben.)
Sogar die Governance-Struktur von Worldcoinein dezentrales Kryptowährungsprojekt, sieht für die Leute verdammt kompliziert aus, um überhaupt zu verstehen, wem sie ihre Daten geben.
Auf die Frage, ob es sich bei Worldcoin um ein gewinnorientiertes oder nicht gewinnorientiertes Unternehmen handelt, konnte die Sprecherin von Tools For Humanity (das Unternehmen, das bisher auf Anfragen geantwortet hat, die wir an die Presse-E-Mail von Worldcoin gerichtet haben) keine eindeutige Antwort geben – weil es gibt einfach keinen. Die Organisationsstruktur und die dezentrale Governance von Worldcoin lassen kein einfaches Ja oder Nein zu. Sie bestätigte jedoch, dass Tools for Humanity (und seine deutsche Tochtergesellschaft), auch bekannt als Worldcoin-Entwickler, ein gewinnorientiertes Technologieunternehmen ist.
Die anderen (hauptsächlich) beteiligten Einrichtungen sind die Worldcoin Foundation und das Worldcoin Protocol, die sie vorgeschlagen hat nicht gewinnorientierte Unternehmen. In einer Offenlegung auf der Website von Worldcoin heißt es: „Die Worldcoin Foundation ist eine ausgenommene Stiftungsgesellschaft mit beschränkter Garantie, eine Art gemeinnützige Organisation mit Sitz auf den Cayman Islands.“ Es handelt sich also um eine „Art“ gemeinnütziger Organisation mit gewinnorientierten Tochtergesellschaften? (Für den LOLZ haben wir ChatGPT gefragt, was eine „ausgenommene Stiftungsgesellschaft mit beschränkter Garantie“ ist, und der Chatbot von OpenAI antwortete, indem er uns mitteilte, dass zum Zeitpunkt seiner Datentrainings-Grenzdaten im September 2021 „keine allgemein anerkannte Rechtsstruktur oder ein allgemein anerkannter Rechtsbegriff bekannt ist [as that]”.)
Dann stellt sich die Frage, wer eigentlich die Daten verarbeitet – und damit rechtlich dafür verantwortlich ist, dass sie nicht gegen das EU-Datenschutzrecht verstoßen? In der biometrischen Einwilligungserklärung von Worldcoin scheint die auf den Cayman-Inseln ansässige Worldcoin Foundation als Datenverantwortlicher für „Ihre Bilder und biometrischen Daten, die über unseren Orb erfasst werden“ aufgeführt zu sein.
Wir haben die Sprecherin von Tools for Humanity gebeten, dies zu bestätigen, und sie hat angegeben, dass der Datenverantwortliche „jetzt“ die Worldcoin Foundation ist, wobei Tools For Humanity ein Datenverarbeiter für Worldcoin ist. (Allerdings legt die Tatsache, dass die bayerische Datenschutzbehörde die Untersuchung des Projekts leitet, nahe, dass die deutsche Tochtergesellschaft von Tools for Humanity eine wichtige Rolle bei der Verarbeitung personenbezogener Daten spielt.)
Eine weitere Frage und ein potenzielles Warnsignal im Hinblick auf die Einhaltung der DSGVO tauchen auf, wenn Sie einen Blick auf den zusammenfassenden Abschnitt des Einwilligungsformulars für biometrische Daten von Worldcoin werfen – der eine fettgedruckte Warnung enthält, dass Personen, die sich „mit einem Orb anmelden“ (d. h. über ihre biometrischen Daten verfügen). Die erfassten Daten können nach diesem Schritt nicht mehr gelöscht werden. („[W]„Wir werden einen einzigartigen Iris-Code (wie unten definiert) erstellen, der nicht mehr gelöscht werden kann (wenn wir ihn löschen würden, würde der Beweis der Einzigartigkeit nicht funktionieren)“, schreibt Worldcoin.)
Tatsache ist, dass die DSGVO den Europäern eine Reihe von Datenzugriffsrechten auf ihre personenbezogenen Daten einräumt, einschließlich des Rechts, deren Löschung zu verlangen. Zu sagen, dass Löschungen nicht möglich sind, reicht nicht aus. Die Verordnung definiert personenbezogene Daten auch allgemein als Informationen, die eine natürliche Person identifizieren könnten (auch in Kombination mit anderen Daten). Daher handelt es sich bei dem Versuch, den aus dem biometrischen Scan abgeleiteten „einzigartigen Iris-Code“ zu beanspruchen, nicht um personenbezogene Daten, um die Notwendigkeit zu umgehen Es scheint unwahrscheinlich, dass die Einhaltung von Löschungsanfragen bei den Aufsichtsbehörden klappen wird.
Alles in allem ist es leicht zu verstehen, warum europäische Datenschutzbeauftragte so schnell mobilisiert haben, um Bedenken zu äußern und darauf zu reagieren. Allerdings bleibt abzuwarten, wie schnell die Regulierungsbehörden mit der Durchsetzung beginnen werden, wenn den Bedenken Rechnung getragen wird.
Auf die Aktivitäten der Datenschutzbehörden angesprochen, behauptete die Sprecherin von Tools For Humanity, dass das Worldcoin-Projekt alle geltenden Gesetze einhalte (obwohl dies in einigen US-Bundesstaaten bedeutet, dass Einwohner aufgrund lokaler Gesetze, die die Verarbeitung biometrischer Daten einschränken, überhaupt nicht gescannt werden dürfen). „Sie können Ihre Daten nicht bereitstellen biometrische Informationen im Orb, wenn Sie im Bundesstaat Illinois, Texas oder Washington oder in den Städten Portland, Oregon oder Baltimore, Maryland ansässig sind“, heißt es in der Einverständniserklärung von Worldcoin.
Sie bestätigte auch, dass Worldcoin eine Datenschutz-Folgenabschätzung durchgeführt hat – die ihrer Meinung nach „rigoros“ durchgeführt wurde.
In weiteren Bemerkungen, die uns heute per E-Mail zugesandt wurden, nachdem wir Worldcoin um eine Antwort auf die Untersuchung der bayerischen Datenschutzbehörde gebeten hatten, fügte die Sprecherin von Tools For Humanity hinzu:
Worldcoin wurde zum Schutz der Privatsphäre des Einzelnen entwickelt und hat ein robustes Datenschutzprogramm entwickelt. Die Worldcoin Foundation hält alle Gesetze und Vorschriften ein, die die Verarbeitung personenbezogener Daten in den Märkten regeln, in denen Worldcoin verfügbar ist, einschließlich der Allgemeinen Datenschutzverordnung („DSGVO“). In der Europäischen Union steht das Projekt unter der Aufsicht des Bayerischen Landesamtes für Datenschutz. Das Projekt wird weiterhin mit den Leitungsgremien bei Anfragen nach weiteren Informationen über seine Privatsphäre und Datenschutzpraktiken zusammenarbeiten. Wir sind bestrebt, mit unseren Partnern in ganz Europa zusammenzuarbeiten, um sicherzustellen, dass das Worldcoin-Projekt die regulatorischen Anforderungen erfüllt und einen sicheren und transparenten Service für verifizierte Menschen bietet.