Die nächsten Wochen könnten entscheidend sein für Weltmünzedas umstrittene Krypto-Unternehmen mit Augapfel-Scanning, das von Sam Altman von OpenAI mitgegründet wurde und dessen Betrieb in der Europäischen Union nach einer Reihe von Datenschutzbeschwerden – unter anderem in Frankreich, Deutschland, Portugal und Spanien – fast vollständig eingestellt ist.
Der einzige EU-Markt, auf dem Worldcoin laut Angaben immer noch Augen scannt Worldcoin.org-Website ist Deutschland, wo der Entwickler Tools for Humanity (TfH) eine Niederlassung hat. Das könnte sich jedoch bald ändern, je nach Ergebnis einer Untersuchung, die die bayerische Datenschutzbehörde eingeleitet hat.
Die Behörde teilte Tech mit, dass sie bald eine Entscheidung über die Untersuchung erwarte – ein Sprecher deutete an, dass die Schlussfolgerungen Mitte Juli veröffentlicht werden könnten. Die Aufsichtsbehörde begann letztes Jahr mit der Untersuchung von Worldcoin, nachdem dieser im Juli 2023 weltweit eingeführt wurde.
„Unter Berücksichtigung weiterer Schritte zur Abstimmung mit anderen SAs [supervisory authorities] Ich rechne aktuell damit, dass die Ergebnisse Mitte Juli 2024 öffentlich verfügbar sein werden“, sagte er uns.
In der EU wurden Beschwerden erhoben, dass Worldcoin gegen die Datenschutz-Grundverordnung (DSGVO) des Blocks verstößt, die Regeln für die Verarbeitung personenbezogener Daten festlegt. Das Regime gibt Aufsichtsbehörden, auch Datenschutzbehörden (DPAs) genannt, nicht nur die Befugnis, bei bestätigten Verstößen Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes zu verhängen. Sie können auch die Einstellung nicht konformer Verarbeitungen anordnen.
Das ist wichtig, denn im Falle eines Krypto-Biometrie-Projekts wie Worldcoin – das den Augapfel-Scan einer Person in einen unveränderlichen Identitätstoken verwandelt, der auf einer dezentralen Blockchain gespeichert wird – könnte es bedeuten, Bedingungen zu stellen, die es im Grunde für immer aus der EU verbannen. Es sei denn, Worldcoin kann sein System so überarbeiten, dass persönliche Daten auf Anfrage gelöscht werden können. Aber, äh, Blockchains funktionieren normalerweise nicht so.
Weitere Bedenken im Zusammenhang mit der DSGVO in Bezug auf Worldcoin betreffen die Rechtsgrundlage, auf der das Unternehmen die Verarbeitung sensibler biometrischer Daten von Personen zu Identifikationszwecken anwendet, und die Frage, ob es die Transparenz- und Fairnessanforderungen der Verordnung erfüllt.
Ein Hauptkritikpunkt an diesem Ansatz besteht darin, dass er Menschen dazu anregt, ihre sensiblen biometrischen Daten im Austausch gegen die gleichnamige Kryptowährung herauszugeben, die in das von ihm entwickelte Identitätssystem zum Nachweis der „Menschlichkeit“ integriert ist – während die DSGVO eine freiwillige Zustimmung zur Datenverarbeitung erfordert.
Die Befürchtung, dass Worldcoin eine Gefahr für Kinder darstellt, hat einige EU-Regulierungsbehörden dazu veranlasst, den Betrieb des Coins in ihren eigenen Märkten in diesem Jahr vorübergehend zu verbieten. Zuvor hatte es Beschwerden gegeben, dass die Betreiber von Worldcoin die Augäpfel von Minderjährigen gescannt hätten.
Bereits im März ergriff die spanische Datenschutzbehörde (DPA) eine solche Notfallmaßnahme und ordnete an, dass Worldcoin die Erfassung und Verarbeitung von Daten von Einheimischen für bis zu drei Monate einstellen müsse. Sie gab an, dass sie auf eine Reihe von Datenschutzbeschwerden reagiert habe, darunter auch über Risiken für die Daten von Kindern. Dieser Maßnahme folgte rasch eine ähnliche Anordnung der portugiesischen DPA, die ebenfalls auf Beschwerden reagierte, wonach Worldcoin die Augäpfel von Minderjährigen gescannt habe.
Trotz dieser dringenden Eingriffe haben die deutschen Datenschutzbehörden Worldcoin erlaubt, weiterhin die Augen auf dem Markt zu scannen, während die Bayerische Datenschutzbehörde ermittelt. Obwohl das folgende Bild eines Worldcoin-Scanning-Standorts in Berlin – eingebettet in ein Beitrag auf X — zeichnet sich durch ein auffälliges Plakat im Fenster aus, auf dem eine Altersbeschränkung von 18 Jahren für die Einsendung von Schwertlilien an die Orb-Stiftung angegeben ist.
Am Dienstag hat die spanische DPA angekündigt dass Worldcoin zugestimmt hat, seine Aktivitäten auf dem Markt nicht wieder aufzunehmen, sobald das dreimonatige Verbot in Kürze ausläuft. In einer Pressemitteilung hieß es, der Entwickler von Worldcoin habe sich – in einer von ihm als „rechtlich bindend“ bezeichneten Weise – verpflichtet, seine Aktivitäten in Spanien nicht wieder aufzunehmen, bis die bayerische Behörde eine endgültige Entscheidung über die Untersuchung getroffen hat (oder jedenfalls nicht vor Jahresende).
TfH hatte zunächst versucht, das einstweilige Verbot Spaniens vor Gericht anzufechten, unter anderem mit einem Antrag auf eine einstweilige Verfügung (die jedoch nicht gewährt wurde). Es ist unklar, warum das Unternehmen sich bereit erklärt hat, das Ergebnis der bayerischen Untersuchung abzuwarten, aber es könnte entschieden haben, dass dies die beste Vorgehensweise ist, um sein Regulierungsrisiko zu verringern. Es könnte auch zuversichtlich sein, dass es nicht zu lange auf eine Entscheidung warten muss.
Die Pressemitteilung der spanischen Behörde enthält noch eine weitere interessante Information: Sie deutet darauf hin, dass die TfH nach ihrer Notverordnung Änderungen am Betrieb von Worldcoin angekündigt habe. Dazu gehörten laut der Behörde die Einführung von Kontrollen zur Altersüberprüfung der Benutzer sowie „die Möglichkeit, den Iris-Code abzuschaffen“.
TfH wurde zu seiner Vereinbarung mit der spanischen Datenschutzbehörde und zu den Änderungen, zu denen es sich verpflichtet hat, kontaktiert, hatte zum Redaktionsschluss jedoch noch nicht geantwortet.
Auch die spanische Datenschutzbehörde DPA rechnet damit, dass die Untersuchung der bayerischen Datenschutzbehörde „bald“ abgeschlossen werde. Sie gehe davon aus, dass die endgültige Entscheidung die Positionen aller betroffenen europäischen Aufsichtsbehörden widerspiegeln werde.
Sollte es zwischen den Datenschutzbehörden zu Meinungsverschiedenheiten über das weitere Vorgehen in Bezug auf Worldcoin kommen, ist zu beachten, dass die DSGVO einen Mechanismus zur Bearbeitung grenzüberschreitender Beschwerden enthält, der es den betroffenen Behörden ermöglicht, Einwände zu erheben. Wenn immer noch keine mehrheitliche Lösung gefunden werden kann, kann der Europäische Datenschutzausschuss aufgefordert werden, einzugreifen und die endgültige Entscheidung zu treffen.