Die spanische Datenschutzbehörde hat Worldcoin angewiesen, die Erhebung und Verarbeitung personenbezogener Daten auf dem Markt vorübergehend einzustellen. Außerdem muss die Verarbeitung der zuvor dort gesammelten Daten eingestellt werden.
Das umstrittene, von Sam Altman gegründete Augapfel-Scanning-Blockchain-Kryptoprojekt nahm im vergangenen Juli im Rahmen einer weltweiten Einführung den Marktbetrieb auf.
Die spanische Behörde nutzt die in der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union enthaltenen „Dringlichkeitsverfahren“-Befugnisse für die Anordnung zur vorübergehenden Einstellung der Datenverarbeitung – was bedeutet, dass die Anordnung eine maximale Dauer von drei Monaten (also bis Mitte Juni) haben kann.
„Die spanische Datenschutzbehörde (AEPD) hat eine vorsorgliche Maßnahme gegen die Tools for Humanity Corporation angeordnet, um die Erhebung und Verarbeitung personenbezogener Daten, die sie in Spanien im Rahmen ihres Worldcoin-Projekts durchführt, einzustellen und mit der Blockierung dieser bereits begonnenen Daten fortzufahren.“ gesammelte Daten“, schrieb die Datenschutzbehörde eine Presseerklärung [in Spanish; this is a machine translation].
Die DSGVO regelt, wie personenbezogene Daten von EU-Bürgern verarbeitet werden können, und verlangt, dass Unternehmen, die Informationen wie Namen, Kontaktdaten, biometrische Daten und andere Identifikatoren verarbeiten, über eine gültige Rechtsgrundlage für ihre Geschäftstätigkeit verfügen. Verstöße gegen das Regime können Geldstrafen von bis zu 4 % des weltweiten Jahresumsatzes nach sich ziehen. Datenschutzbehörden können auch verlangen, dass die rechtswidrige Verarbeitung eingestellt wird, auch vorübergehend, wenn sie befürchten, dass die Rechte von Personen ernsthaft gefährdet sind, wie dies in diesem Fall der Fall ist.
Die AEPD sagte, sie habe mehrere Beschwerden über Worldcoin erhalten, seit das Unternehmen im letzten Sommer seine Tätigkeit auf dem Markt aufgenommen habe, unter anderem in Bezug auf den Informationsstand über die Verarbeitung, die Worldcoin bereitstellt; die Erhebung von Daten von Minderjährigen; und wie ein Widerruf der Einwilligung nicht zulässig ist.
„Die Verarbeitung biometrischer Daten, betrachtet in der [GDPR] Da sie besonderen Schutz genießen, birgt sie angesichts ihrer Sensibilität hohe Risiken für die Rechte der Menschen. Folglich handelt es sich bei dieser vorsorglichen Maßnahme um eine auf außergewöhnlichen Umständen beruhende Entscheidung, bei der es notwendig und verhältnismäßig ist, vorläufige Maßnahmen zu ergreifen, die auf die sofortige Einstellung dieser Verarbeitung personenbezogener Daten abzielen, deren mögliche Weitergabe an Dritte verhindern und das Grundrecht auf personenbezogene Daten schützen Datenschutz“, hieß es.
Die Bemühungen von Worldcoin, Menschen für ein proprietäres biometrisches System anzumelden, dessen Hersteller behaupten, dass es ihnen die Verwendung einer eindeutigen Kennung, auch World ID genannt, ermöglichen wird, um ihre Menschlichkeit online zu verifizieren, wurde von Kontroversen gebremst. Krypto kommt ins Spiel, da es namensgebende Token als Quasi-Zahlung für die Iris-Scans bereitstellt, die die eindeutige Kennung generieren.
Angesichts der Sensibilität der verarbeiteten Daten (Augenscans) bestehen erhebliche Bedenken hinsichtlich der Privatsphäre und des Datenschutzes. der angebliche Zweck (Erstellung einer eindeutigen und unwiderruflichen Kennung); Undurchsichtigkeit in Bezug auf die für die Verarbeitung personenbezogener Daten verantwortlichen Stellen (zu denen eine Mischung aus gewinnorientierten Organisationen und Stiftungen gehört, darunter eine selbsternannte „Art von Non-Profit-Organisation“ mit Sitz auf den Cayman-Inseln); und die Verwendung von Blockchain und Krypto, um nur einige der Probleme zu nennen.
Bereits im Dezember bestätigte die AEPD gegenüber Tech, dass sie eine Beschwerde gegen Worldcoin erhalten hatte – die sie uns damals mitteilte, dass sie „analysierte“. Wir haben uns heute mit Fragen an die Behörde gewandt, aber seitdem sind offenbar weitere Beschwerden eingegangen, die zu der Entscheidung geführt haben, die Befugnisse nach Artikel 66 der DSGVO auszulösen.
Die regionale Einführung von Worldcoin – die in Form einer Reihe von Pop-up-Scan-Standorten in einigen wenigen europäischen Märkten, darunter an mehreren Standorten in Spanien, erfolgte – zog schnell die Aufmerksamkeit europäischer Datenschutzbehörden auf sich.
Im vergangenen Jahr wurde von der französischen Datenschutzbehörde eine Untersuchung eingeleitet. Aber die Präsenz einer Worldcoin-Tochtergesellschaft in Deutschland bedeutete, dass die Untersuchung an die bayerische Datenschutzbehörde weitergeleitet wurde – da die Regulierungsbehörden feststellten, dass der One-Stop-Shop (OSS)-Mechanismus der DSGVO zur Anwendung kam. (Die Pressemitteilung des AEPD bestätigt auch: „Das Unternehmen Tools for Humanity Corporation hat seine europäische Niederlassung in Deutschland.“)
Bereits im Juli teilte die bayerische Datenschutzbehörde Tech mit, dass ihre Untersuchung von Worldcoin darauf abziele, „Fragen hinsichtlich der Transparenz und Sicherheit der Datenverarbeitung zu klären“ – einschließlich der Frage, ob den betroffenen Personen ausreichende Informationen zur Verfügung gestellt werden, um ein klares Verständnis der Verarbeitung ihrer Daten zu erhalten die Zwecke der Verarbeitung; ob die Rechte der betroffenen Personen (einschließlich des Rechts auf Löschung und Widerspruch sowie der Möglichkeit, die Einwilligung zu widerrufen) gewährleistet sind; und ob das Unternehmen einen ausreichenden Schutz vor unbefugtem Datenzugriff eingerichtet hat.
Damals hieß es auch, man werde prüfen, ob Worldcoin eine Datenschutz-Folgenabschätzung durchgeführt habe.
Wir haben die bayerische Behörde zum Stand ihrer Ermittlungen kontaktiert und werden diesen Bericht mit etwaigen Antworten aktualisieren.
Die Tatsache, dass die spanische Behörde das Gefühl hatte, einseitige Maßnahmen zum Schutz lokaler Nutzer ergreifen zu müssen, deutet auf Meinungsverschiedenheiten zwischen den Datenschutzbehörden über die beste Vorgehensweise hin. Es könnte auch besorgt sein über die Zeit, die die bayerische Behörde braucht, um ihre Untersuchung abzuschließen.
Zum Zeitpunkt des Verfassens dieses Artikels listet die Website von Worldcoin immer noch 29 Orte in Spanien auf, an denen Menschen mit einer ihrer proprietären Kugeln einen Augapfel-Scan durchführen können.
Wir kontaktierten Tools for Humanity, das gewinnorientierte Technologieunternehmen, das die Entwicklung von Worldcoin leitete und die World App betreibt, wegen der Maßnahmen der AEPD – und um eine Bestätigung, ob das Augapfel-Scannen in Spanien eingestellt wurde oder nicht. Das Unternehmen antwortete nicht auf diese Frage, sondern schickte eine E-Mail-Erklärung, die Jannick Preiwisch, seinem in Deutschland ansässigen Datenschutzbeauftragten (DSB), zugeschrieben wurde und der sagte: „WWir sind immer bereit, mit den Regulierungsbehörden in Kontakt zu treten, ihr Feedback zu prüfen und ihre Fragen zu beantworten.“
In der Erklärung behauptete Preiwisch weiter: „World ID wurde geschaffen, um Menschen Zugang, Privatsphäre und Schutz im Internet zu ermöglichen“, und bezeichnete es als „die datenschutzschonendste und sicherste Lösung zur Durchsetzung der Menschlichkeit im Zeitalter der KI“.
Seine Aussage bezieht sich auf die offene Untersuchung von Worldcoin durch die bayerische Datenschutzbehörde, die seiner Ansicht nach die federführende Datenschutzbehörde für die Worldcoin Foundation und Tools for Humanity im Rahmen des OSS der DSGVO ist – und sagt, sie sei mit der bayerischen Behörde „zusammengearbeitet“ worden. für Monate“. Ob die Behörde ihre Ermittlungen abgeschlossen hat, bestätigt Preiwisch allerdings nicht.
Stattdessen geht der Datenschutzbeauftragte von Worldcoin zum Angriff über und wirft der AEPD vor: „Sie umgehen mit ihrem heutigen Handeln EU-Recht“; und behaupten, die spanische Behörde sei „„Verbreitung unrichtiger und irreführender Behauptungen“ über seine Technologie.
Hier ist der Rest von Preiwischs Aussage:
Die spanische Datenschutzbehörde (AEPD) umgeht mit ihren heutigen Maßnahmen, die auf Spanien und nicht auf die gesamte EU beschränkt sind, das EU-Recht und verbreitet weltweit ungenaue und irreführende Behauptungen über unsere Technologie. Unsere Bemühungen, mit der AEPD zusammenzuarbeiten und ihnen einen genauen Überblick über Worldcoin und World ID zu geben, blieben seit Monaten unbeantwortet. Wir sind dankbar, dass wir nun die Möglichkeit haben, ihnen dabei zu helfen, die wichtigen Fakten dieser wesentlichen und rechtmäßigen Technologie besser zu verstehen.
Wir haben die AEPD gefragt, ob sie auf die Anschuldigungen von Worldcoin reagieren möchte. Aber zu der Behauptung, die Behörde würde „EU-Recht umgehen“, möchte Preiwisch möglicherweise Artikel 66 der DSGVO auffrischen – der es den Aufsichtsbehörden ermöglicht, vor Ort „sofort einstweilige Maßnahmen“ für bis zu drei Monate zu ergreifen, wenn sie „eine“ sehen Es besteht dringender Handlungsbedarf zum Schutz der Rechte und Freiheiten der betroffenen Personen.“
Im Dezember stellte sich heraus, dass Worldcoin die Beobachtung der Aufmerksamkeit in Frankreich, Indien und Brasilien eingestellt hatte – obwohl das Unternehmen versuchte, den Rückzug als vorübergehende Reduzierung darzustellen.
Ein weiterer Rückschlag im vergangenen Jahr war, dass die kenianische Datenschutzbehörde die lokale Verarbeitung von Worldcoin verbot. Die Regierung des Landes folgte mit einem Dekret, das die Aussetzung der Scans anordnete. Diese Aussetzungsanordnung ist immer noch in Kraft.
Insgesamt listet die Website von Worldcoin.org derzeit neun Länder auf, in denen das Augapfel-Scanning verfügbar ist: Deutschland, Spanien und Portugal in Europa; Argentinien und Chile in Lateinamerika; Japan und Singapur in Asien; Mexiko und die USA
Die Website von Worldcoin.org listet heute immer noch 29 Augapfel-Scan-Standorte in Spanien auf (Screengrab: Natasha Lomas/Tech)