Experte über Firma für Gesichtserkennung: „Einschüchternde Wirkung“
Das US-Unternehmen Clearview speichert in seiner biometrischen Fotodatenbank auch Europäer:innen. Das will die Datenschutzorganisation noyb beenden.
Alles genau im Blick: Clearview hat eine gigantische Gesichterdatenbank aufgebaut Foto: imago
taz am wochenende: Herr Dahi, warum beschäftigen Sie sich mit dem US-Unternehmen Clearview?
Alan Dahi: Clearview hat Milliarden von Gesichtsfotos aus dem Internet zusammengesammelt und biometrisch vermessen. Diese Datenbank bietet Clearview den US-Sicherheitsbehörden und eventuell auch Privatunternehmen für biometrische Fahndungen an. Der Kunde reicht das Foto einer unbekannten Person ein, und Clearview findet heraus, wer die Person ist. Der Aufbau einer derartigen biometrischen Fotodatenbank verstößt eindeutig gegen EU-Recht.
Aber Clearview sitzt in den USA und bietet seinen Service gar nicht in Europa an. Warum soll Clearview sich an EU-Recht halten?
40, ist Datenschutzjurist. Er betreut bei der Wiener Nichtregierungsorganisation noyb („none of your business“) die Kampagne gegen Clearview. Gegründet wurde noyb von dem bekannten Facebook-Kritiker Max Schrems.
Clearview war durchaus schon in Europa aktiv. So arbeitete die schwedische Polizei zeitweise mit Clearview zusammen, bis ihr das die schwedische Datenschutzbehörde verbot. Vor allem aber enthält Clearviews Datenbank auch Fotos und biometrische Informationen von Millionen EU-Bürgerinnen und -Bürgern.
Sind das nicht Fotos, die im Netz für jeden sichtbar sind?
Ja, sie sind mehr oder weniger frei zugänglich. Das heißt aber nicht, dass man die Fotos ohne Einwilligung speichern, biometrisch vermessen und aus den biometrischen Daten eine Fahndungsdatenbank aufbauen darf. Das alles verstößt eindeutig gegen die EU-Datenschutz-Grundverordnung.
Ist Clearview nicht einfach eine Suchmaschine für Bilder? Was ist der Unterschied zu Google, das alle Webseiten der Welt in seinen Serverfarmen speichert?
Die biometrische Auswertung von Fotos ist ein deutlich tieferer Eingriff als die Aufnahme von Webseiten, die grundsätzlich indiziert werden wollen. Um eine Person zu erkennen, wird das Gesicht genau vermessen, über 500 Datenpunkte werden gespeichert. Solche biometrischen Daten gelten nach EU-Recht als besonders schützenswert.
Google kann auch nach Fotos suchen. Was ist daran anders?
Wenn ich bei der Google-Bildersuche ein Foto hochlade, dann zeigt sie an, auf welchen Seiten das identische Foto zu finden ist. Wenn es im Netz keine übereinstimmenden Fotos gibt, zeigt die Google-Bildersuche nur „optisch ähnliche Bilder“ an, bei denen so gut wie nie die richtige Person dabei ist. Googles Bildersuche ermöglicht also keine Erfolg versprechende biometrische Fahndung wie in der Datenbank von Clearview.
Warum sollten sich EU-Bürger:innen daran stören, wenn ein US-Unternehmen ihre Gesichtsdaten verarbeitet?
Clearview AI verspricht, Gesichter von Menschen innerhalb weniger Sekunden zu erkennen. Dazu durchsucht das Unternehmen öffentlich zugängliche Seiten im Netz, darunter Netzwerke wie Facebook, Youtube, Twitter und Instagram. Clearview AI veröffentlicht keine vollständige Liste seiner Kund:innen, angeblich bezahlen aber mehr als 600 Behörden für den Dienst, unter anderen das FBI, das US-Heimatschutzministerium, Dutzende Polizeidienststellen und kanadische Ermittler:innen, die damit Sexualverbrechen und Kindesmissbrauch aufklären wollen. Die Firma bietet ihre Software zum kostenlosen Testen sowie Jahreslizenzen für die Nutzung mitunter schon für 2.000 Dollar an. Gründer von Clearview AI ist der 31 Jahre alte Australier Hoan Ton-That, der sich und seine Firma gerne im Hintergrund halten möchte. Ein Geldgeber war US-Milliardär Peter Thiel, ein Paypal-Mitgründer und Unterstützer von Donald Trump.
PimEyes ist seit 2018 in die Software Paliscope des schwedischen Unternehmens Safer Society Group integriert und agiert ähnlich wie Clearview AI. Die Datenbank des Unternehmens ist bislang kostenlos zugänglich für alle Nutzer:innen weltweit. Im Mai hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Stefan Brink, PimEyes aufgefordert, Stellung zu den durch das Unternehmen verarbeiteten Daten zu beziehen. (mlr)
Weil es eine einschüchternde Wirkung haben kann, wenn ein Unternehmen alle öffentlich verfügbaren Bilder für Sicherheitszwecke auswertet. Da die Technik nicht perfekt ist, kommt es dabei immer wieder zu Fehlzuordnungen, das heißt, es entsteht ein falscher Verdacht. Das Unwohlsein über die nicht absehbaren Folgen könnte dazu führen, dass Menschen sich im Netz nicht mehr mit Fotos präsentieren, obwohl sie eigentlich Lust dazu hätten oder dies nützlich fänden.
Gilt ihre Kritik auch für das polnische Unternehmen PimEyes?
Ja, PimEyes arbeitet ganz ähnlich wie Clearview und bietet seine Dienste sogar Privatpersonen an – ab 24,99 Dollar im Monat. Das Unternehmen hat seinen Sitz jetzt zwar auf die Seychellen verlegt. Aber auch PimEyes verstößt gegen EU-Recht, weil es die Fotos von EU-Bürgerinnen und -Bürgern auswertet. Früher oder später werden wir auch gegen PimEyes vorgehen.
Ihre Organisation noyb („none of your business“) hat sich bei der österreichischen Datenschutzbehörde über Clearview beschwert, was ist Ihr Ziel?
Wir wollen, dass Clearview untersagt wird, die Fotos von EU-Bürgerinnen und -Bürgern zu speichern und biometrisch auszuwerten. Außerdem soll gegen Clearview eine hohe Geldstrafe verhängt werden.
Ähnliche Beschwerden gibt es bei den Behörden in Frankreich, Großbritannien, Italien und Griechenland. Warum in diesen Ländern?
Wir sind ein Bündnis aus fünf Datenschutzorganisationen. Jede Organisation hat in ihrem Staat eine Beschwerde gegen Clearview eingereicht.
Was ist mit Deutschland?
Matthias Marx, ein Aktivist des Chaos Computer Club, hat schon voriges Jahr die Hamburger Datenschutzbehörde aktiviert.
Wie geht es weiter?
Die Behörden haben bis Ende August Zeit, um Stellung zu nehmen. Da es um ein europaweites Thema geht, werden sie sich mit allen EU-Datenschutzbehörden absprechen.
Wäre es überhaupt möglich, die Fotos und Daten aller EU-Bürger:innen aus der Datenbank von Clearview zu entfernen? Ein Foto sagt ja nichts darüber aus, welche Staatsangehörigkeit die abgebildete Person hat.
Das ist nicht unser Problem. Wenn es nicht möglich ist, die Daten von EU-Bürgerinnen und -Bürgern zu löschen, dann muss Clearview eben den Betrieb ganz einstellen. Es gibt aber auch in den USA schon Klagen gegen das Geschäftsmodell. Datenschutz ist kein europäischer Spleen.
Leser*innenkommentare
Ingo Bernable
Ganz so einfach ist es dann doch nicht, es gibt schließlich internationale Verträge. Auch US-Unternehmen, die Daten von EU-Bürger*innen verarbeiten müssen nach dem Privacy Shield-Abkommen äquivalente Standards zur DSGVO einhalten (was sie wegen bestehenden staatlichen Zugriffsmöglichkeiten eigentlich grundsätzlich nicht können). Zu diesen Standards gehört auch die Zweckbindung der Daten und man kann eben doch davon ausgehen, dass die biometrische Auswertung nicht der intendierte Zweck eines ins Netz gestellten Fotos ist.
Ingo Bernable
@Ingo Bernable @danny schneider
danny schneider
"Das alles verstößt eindeutig gegen die EU-Datenschutz-Grundverordnung."
nö, weil die halt in den USA nicht gilt. So langsam sollte man das Internet verstehen. nur weil ich auf Inhalte aus den USA zu greifen kann, gilt für mich kein US Recht. Und nur weil die auf EU Inhalte zugreifen können, gilt für US Bürger und Firmen halt kein EU Recht. ggf. sollten die Geschäftsführer nicht nach Europa reisen, weil man die dann hier strafrechtlich belangen kann, aber so lange die in den USA bleiben, können die nun einmal machen was sie wollen.
Und wenn EU Bürger das nicht wollen, müssen sie sich halt VORHER überlegen wo man überall Daten ins Netz stellt.