Clearview AI wurde wegen Verstoßes gegen die europäischen Datenschutzbestimmungen mit einer weiteren Sanktion belegt.
Die in Athen ansässige griechische Datenschutzbehörde hat die umstrittene Gesichtserkennungsfirma mit einer Geldstrafe von 20 Millionen Euro belegt und ihr verboten, personenbezogene Daten von in Griechenland lebenden Personen zu sammeln und zu verarbeiten. Es hat ihm auch befohlen, alle Daten über griechische Bürger zu löschen, die es bereits gesammelt hat.
Seit Ende letzten Jahres haben auch nationale Datenschutzbehörden in Großbritannien, Italien und Frankreich ähnliche Entscheidungen erlassen, mit denen Clearview sanktioniert wird – die Fähigkeit des Unternehmens, seine Dienste auf ihren Märkten zu verkaufen, effektiv einfrieren, da alle lokalen Kunden sich dem Risiko einer Geldstrafe aussetzen würden.
Das in den USA ansässige Unternehmen erlangte Berühmtheit, weil es Selfies aus dem Internet kratzte, um einen kommerziellen Dienst zum algorithmischen Identitätsabgleich aufzubauen, der sich an Strafverfolgungsbehörden und andere, einschließlich Unternehmen des privaten Sektors, richtet.
Letztes Jahr kamen die Datenschutzbehörden in Kanada und Australien ebenfalls zu dem Schluss, dass die Aktivitäten von Clearview gegen lokale Gesetze verstoßen – in früheren Schlägen gegen seine Fähigkeit, international zu skalieren.
Vor kurzem, im Mai, stimmte Clearview größeren Einschränkungen seiner Dienste im Inland innerhalb der USA zu, als Gegenleistung für die Beilegung einer Klage der American Civil Liberties Union (ACLU) aus dem Jahr 2020, die ihr vorgeworfen hatte, gegen staatliche Gesetze in Illinois verstoßen zu haben, die die Nutzung verbieten der biometrischen Daten von Einzelpersonen ohne Zustimmung.
Der Datenschutzrahmen der Europäischen Union, die Datenschutz-Grundverordnung (DSGVO), legt eine ähnlich hohe Messlatte für die legale Verwendung biometrischer Daten zur Identifizierung von Personen fest – ein Standard, der sich über den gesamten Block erstreckt, sowie auf einige Nichtmitgliedstaaten (einschließlich das Vereinigte Königreich); also insgesamt rund 30 Länder.
Nach der DSGVO würde ein solch sensibler Zweck für personenbezogene Daten (z. B. Gesichtserkennung für einen ID-Abgleichsdienst) – zumindest – die ausdrückliche Zustimmung der betroffenen Personen zur Verarbeitung ihrer biometrischen Daten erfordern.
Es ist jedoch klar, dass Clearview keine Zustimmung von Milliarden von Menschen (und wahrscheinlich Millionen von Europäern) erhalten hat, deren Selfies es heimlich von Social-Media-Plattformen und anderen Online-Quellen aufgenommen hat, um Gesichtserkennungs-KIs zu trainieren und die Daten von Menschen für einen datenschutzfeindlichen Zweck umzufunktionieren. Die wachsende Zahl von DSGVO-Sanktionen, die sich in Europa dagegen häufen, ist daher kaum überraschend. Und weitere Strafen können folgen.
Auf seinen 23 Seiten Entscheidung, sagte die griechische Datenschutzbehörde, Clearview habe gegen die Grundsätze der Rechtmäßigkeit und Transparenz der DSGVO verstoßen und Verstöße gegen die Artikel 5 (1) a, 6 und 9 festgestellt; sowie Pflichtverletzungen nach Art. 12, 14, 15 und 27.
Die Entscheidung der griechischen Datenschutzbehörde folgt einer Beschwerde vom Mai 2021, die von einer lokalen Menschenrechtsverteidigungsgruppe eingereicht wurde. Homo digitalisdie den Sieg in einer Pressemitteilung herausposaunt hat – die Strafe in Höhe von 20 Millionen Euro sei ein „starkes Signal gegen aufdringliche Geschäftsmodelle von Unternehmen, die versuchen, durch die illegale Verarbeitung personenbezogener Daten Geld zu verdienen“.
Die Interessenvertretung schlug auch vor, dass die Geldbuße „eine klare Botschaft an die Strafverfolgungsbehörden sendet, die mit Unternehmen dieser Art zusammenarbeiten, dass solche Praktiken illegal sind und die Rechte der betroffenen Personen grob verletzen“. (In einer noch deutlicheren Botschaft verhängte die schwedische Datenschutzbehörde letztes Jahr eine Geldstrafe von 250.000 € gegen die örtliche Polizeibehörde wegen unrechtmäßiger Nutzung von Clearview, die angeblich gegen das Strafdatengesetz des Landes verstoßen hat.)
Clearview wurde kontaktiert, um eine Stellungnahme zur Sanktion der griechischen Datenschutzbehörde abzugeben.
Nach derzeitigem Stand wurde das Unternehmen von Aufsichtsbehörden in Europa mit einer Geldstrafe von fast 50 Millionen Euro belegt. Es ist jedoch weniger klar, ob es bereits eine der Geldbußen bezahlt hat oder nicht, angesichts möglicher Berufungen und der übergreifenden Herausforderung für internationale Aufsichtsbehörden, lokale Gesetze gegen ein in den USA ansässiges Unternehmen durchzusetzen, wenn es sich entscheidet, nicht zu kooperieren.
Die britische Datenschutzbehörde teilte uns mit, dass Clearview gegen seine Sanktion in diesem Markt Berufung einlegt.
„Wir haben die Benachrichtigung erhalten, dass Clearview AI Berufung eingelegt hat. Clearview AI ist nicht verpflichtet, dem Vollstreckungsbescheid nachzukommen oder den Bußgeldbescheid zu zahlen, bis über die Berufung entschieden wurde. Wir werden diesen Fall nicht weiter kommentieren, solange das Gerichtsverfahren läuft“, sagte der Sprecher des ICO.
Die Reaktionen von Clearview auf frühere DSGVO-Strafen deuten darauf hin, dass das Unternehmen derzeit keine Geschäfte in den betroffenen Märkten tätigt. Es bleibt jedoch abzuwarten, ob die Durchsetzung dazu beitragen wird, es dauerhaft aus der Region auszuschließen – oder ob es versuchen könnte, Sanktionen zu umgehen, indem es sein Produkt auf irgendeine Weise anpasst.
In den USA bezeichnete es seine Einigung mit der ACLU als „großen Gewinn“ für sein Geschäft – und behauptete, es sei nicht betroffen, weil es seinen Algorithmus (anstelle des Zugriffs auf seine Datenbank) immer noch an private Unternehmen in den Vereinigten Staaten verkaufen könnte UNS
Der US-Klagenvergleich enthielt auch eine Ausnahme für staatliche Auftragnehmer – was darauf hindeutete, dass Clearview weiterhin mit Bundesbehörden in den USA zusammenarbeiten kann, wie z FBI – während es ein fünfjähriges Verbot verhängt, seine Software an staatliche Auftragnehmer oder staatliche oder lokale Regierungsstellen in Illinois selbst weiterzugeben.
Es ist sicherlich bemerkenswert, dass europäische Datenschutzbehörden – bisher – nicht die Vernichtung des Algorithmus von Clearview angeordnet haben, obwohl mehrere Aufsichtsbehörden zu dem Schluss kamen, dass er in Bezug auf unrechtmäßig erlangte personenbezogene Daten geschult wurde.
Wie wir bereits berichtet haben, haben Rechtsexperten angedeutet, dass es eine Grauzone darüber gibt, ob die DSGVO Aufsichtsbehörden ermächtigt, die Löschung von KI-Modellen anzuordnen, die auf missbräuchlich erlangte Daten trainiert wurden – nicht nur die Löschung der Daten selbst, wie es scheint was bisher in dieser Clearview-Saga passiert ist.
Aber die kommenden EU-Rechtsvorschriften zur KI könnten die Regulierungsbehörden ermächtigen, noch weiter zu gehen: Das (noch im Entwurf befindliche) Gesetz über künstliche Intelligenz enthält Befugnisse für Marktüberwachungsbehörden, „alle geeigneten Korrekturmaßnahmen zu ergreifen“, um ein KI-System in Übereinstimmung zu bringen – einschließlich des Rückzugs aus dem Markt (was im Wesentlichen einer kommerziellen Vernichtung gleichkommt) – je nach Art des damit verbundenen Risikos.
Wenn das verabschiedete KI-Gesetz die Bestimmung beibehält, deutet dies darauf hin, dass jeder Spielraum für kommerzielle Unternehmen, rechtswidrig trainierte KI-Modelle innerhalb der EU zu betreiben, bald zu einer scharfkantigen Rechtsklarheit führen könnte.
Wenn Clearview in der Zwischenzeit all diesen internationalen Anordnungen zur Löschung und Verarbeitung von Bürgerdaten nachkommt, wird es nicht in der Lage sein, seine KI-Modelle mit neuen biometrischen Daten von Personen aus Ländern zu aktualisieren, in denen es verboten ist, biometrische Daten von Personen zu verarbeiten – was impliziert, dass das Versorgungsunternehmen seines Produkts wird mit jeder vollständig durchgesetzten Verbotsverfügung abgebaut.