Die britische Datenschutzbehörde hat eine Strafe für das umstrittene Gesichtserkennungsunternehmen Clearview AI bestätigt und heute eine Geldstrafe von etwas mehr als 7,5 Millionen Pfund Sterling für eine Reihe von Verstößen gegen lokale Datenschutzgesetze angekündigt.
Die Aufsichtsbehörde hat auch eine Vollstreckungsmitteilung herausgegeben, in der sie Clearview anordnet, den Erhalt und die Verwendung der im Internet öffentlich zugänglichen personenbezogenen Daten von Einwohnern des Vereinigten Königreichs einzustellen; und ihm zu sagen, dass er die Informationen von Einwohnern des Vereinigten Königreichs aus seinen Systemen löschen soll.
Das US-Unternehmen hat eine Datenbank mit über 20 Milliarden Gesichtsbildern angehäuft, indem es Daten aus dem öffentlichen Internet, beispielsweise von Social-Media-Diensten, kratzte, um eine Online-Datenbank zu erstellen, die es verwendet, um einen KI-basierten Identitätsabgleichsdienst zu betreiben, den es an Unternehmen verkauft wie die Strafverfolgung. Das Problem ist, dass Clearview Einzelpersonen nie gefragt hat, ob es ihre Selfies dafür verwenden kann. Und in vielen Ländern wurde festgestellt, dass es gegen Datenschutzgesetze verstößt.
In einer Erklärung, die die heutige Durchsetzung begleitete, sagte der britische Informationskommissar John Edwards:
„Clearview AI Inc hat mehrere Bilder von Menschen auf der ganzen Welt, einschließlich Großbritannien, von einer Vielzahl von Websites und Social-Media-Plattformen gesammelt und eine Datenbank mit mehr als 20 Milliarden Bildern erstellt. Das Unternehmen ermöglicht nicht nur die Identifizierung dieser Personen, sondern überwacht auch effektiv ihr Verhalten und bietet es als kommerzielle Dienstleistung an. Das ist inakzeptabel. Aus diesem Grund haben wir gehandelt, um die Menschen im Vereinigten Königreich zu schützen, indem wir sowohl das Unternehmen mit einer Geldstrafe belegt als auch einen Vollstreckungsbescheid erlassen haben.
„Die Menschen erwarten, dass ihre persönlichen Daten respektiert werden, unabhängig davon, wo auf der Welt ihre Daten verwendet werden. Deshalb brauchen globale Unternehmen eine internationale Durchsetzung. Die Zusammenarbeit mit Kollegen auf der ganzen Welt hat uns geholfen, diese Maßnahme zu ergreifen und Menschen vor solchen aufdringlichen Aktivitäten zu schützen.
„Diese internationale Zusammenarbeit ist unerlässlich, um die Persönlichkeitsrechte der Menschen im Jahr 2022 zu schützen. Das bedeutet, mit Regulierungsbehörden in anderen Ländern zusammenzuarbeiten, wie wir es in diesem Fall mit unseren australischen Kollegen getan haben. Und es bedeutet, mit Regulierungsbehörden in Europa zusammenzuarbeiten, weshalb ich sie diese Woche in Brüssel treffe, damit wir zusammenarbeiten können, um globale Datenschutzverletzungen zu bekämpfen.“
„Angesichts der hohen Zahl britischer Internet- und Social-Media-Nutzer wird die Datenbank von Clearview AI wahrscheinlich eine beträchtliche Menge an Daten von Einwohnern des Vereinigten Königreichs enthalten, die ohne deren Wissen gesammelt wurden“, schrieb die britische Aufsichtsbehörde ebenfalls in a Pressemitteilung.
„Obwohl Clearview AI seine Dienste britischen Organisationen nicht mehr anbietet, hat das Unternehmen Kunden in anderen Ländern, sodass das Unternehmen immer noch personenbezogene Daten von Einwohnern des Vereinigten Königreichs verwendet“, fügte es hinzu.
Das Information Commissioner’s Office (ICO) warnte Clearview im vergangenen Herbst vor einer möglichen Geldbuße, als es das in den USA ansässige Unternehmen auch anwies, die Verarbeitung der Daten britischer Bürger einzustellen und alle Daten zu löschen, die es besitzt.
Es bestätigte diese vorläufigen Ergebnisse in der heutigen formellen Durchsetzung – es wurde festgestellt, dass Clearview gegen eine Reihe von gesetzlichen Anforderungen verstoßen hat.
Insbesondere sagte das ICO, Clearview habe keine rechtmäßige Grundlage für das Sammeln von Informationen von Personen; es versäumt hat, die Informationen von Einzelpersonen auf eine faire und transparente Weise zu verwenden, da die Personen nicht darauf aufmerksam gemacht wurden oder vernünftigerweise nicht erwarten würden, dass ihre personenbezogenen Daten für den Zweck verwendet werden, für den Clearview sie verwendet; kein Verfahren eingerichtet wurde, um zu verhindern, dass die Daten auf unbestimmte Zeit gespeichert werden; höhere Datenschutzstandards, die für biometrische Daten erforderlich sind (auch bekannt als „Sonderkategoriedaten“ gemäß der EU-Datenschutz-Grundverordnung und der DSGVO des Vereinigten Königreichs), nicht erfüllt haben; und in einem weiteren Verstoß bat Clearview um zusätzliche persönliche Informationen, einschließlich Fotos, wenn Mitglieder der Öffentlichkeit fragten, ob sie in seiner Datenbank seien – wodurch ihre Datenzugriffsrechte behindert würden. „Dies hat Personen, die der Erhebung und Verwendung ihrer Daten widersprechen möchten, möglicherweise abgeschreckt“, bemerkte das ICO dazu.
Clearview wurde wegen einer Stellungnahme zur britischen Sanktion kontaktiert.
Zu beachten ist, dass die Höhe der Geldbuße erheblich niedriger ist als die 17 Mio. £+, die das ICO im letzten Herbst in seiner vorläufigen Anordnung gegen Clearview angekündigt hat. Wir haben die Aufsichtsbehörde nach der Kürzung gefragt – obwohl sich die genaue Höhe der Geldbuße von Clearview als irrelevant erweisen könnte, wenn sie sich weigert zu zahlen.
Internationale Aufsichtsbehörden haben nur begrenzte Möglichkeiten, um Datenschutzanordnungen gegen ausländische Unternehmen durchzusetzen, wenn sie sich entscheiden, nicht zu kooperieren, und es ihnen an einem lokalen Vertreter fehlt, gegen den eine Anordnung durchgesetzt werden kann.
Dennoch setzen solche Sanktionen der Fähigkeit von Clearview, international zu expandieren, zumindest Grenzen – da alle lokalen Niederlassungen den Regulierungsbehörden in diesen Märkten direkt verantwortlich wären
Die UK-Strafe ist keineswegs die erste internationale Sanktion für Clearview. Die britische Untersuchung war ein gemeinsames Verfahren mit der australischen Datenschutzbehörde, die das Unternehmen auch anordnete, die Verarbeitung von Bürgerdaten einzustellen und alle Informationen zu löschen, die es letztes Jahr gespeichert hatte. Frankreich und Kanada haben das Unternehmen ebenfalls sanktioniert. Während die italienische Datenschutzbehörde Clearview im März eine Geldstrafe von 20 Millionen Euro auferlegte.
Auf heimischem Boden stimmte Clearview zu, Anfang dieses Monats eine Klage der American Civil Liberties Union aus dem Jahr 2020 beizulegen – die ihr vorgeworfen hatte, gegen ein Gesetz von Illinois (den Biometric Information Privacy Act; BIPA) verstoßen zu haben, das die Verwendung biometrischer Daten von Einzelpersonen ohne Zustimmung verbietet .
Die Bedingungen des Vergleichs scheinen Clearview zu verbieten, den Zugang zu seiner Gesichtserkennungsdatenbank an Privatunternehmen und Einzelpersonen auf nationaler Ebene in den USA zu verkaufen oder zu verschenken, obwohl eine Ausnahme für staatliche Auftragnehmer enthalten war (jedoch mit einem fünfjährigen Verbot der Bereitstellung an Auftragnehmer innerhalb der USA). Illinois selbst).
Der Vergleich verlangt von Clearview auch, ein Opt-out-System aufrechtzuerhalten, damit Einwohner von Illinois ihr Abbild aus den Ergebnissen der Gesichtssuche sperren können – und um eine umstrittene Praxis zu beenden, Polizeibeamten kostenlose Gerichtsverfahren anzubieten, wenn diese Personen keine Genehmigung durch ihre Abteilungen erhalten um die Software zu testen.
Clearview hat es jedoch als Gewinn gewertet – und vorgeschlagen, dass es reagieren würde, indem es seinen Algorithmus an private Unternehmen in den USA verkauft, anstatt den Zugriff auf seine Datenbank mit abgekratzten Selfies zu monetarisieren.