Ist die Frist für Sie auch schon abgelaufen?
Für Matthias Marx lief die Frist zur Löschung seiner Daten am 12.02.2021 ab, aber Daten von Millionen von Menschen, wenn nicht Milliarden werden weiterhin ohne deren Wissen und erst recht ohne Rechtsgrundlage verarbeitet. Clearview AI Inc. aus New York City betreibt eine Datenbank zur Gesichtserkennung.
Die bis Januar 2020 kaum bekannte Firma Clearview soll in den vergangenen Jahren heimlich eine Gesichtserkennungsdatenbank mit Milliarden von Fotos aufgebaut haben. Aus einem Leak der Kundenliste ging laut der Website Golem hervor, dass die Machine-Learning-Software bereits bei insgesamt 2.200 Organisationen im Einsatz ist. Einem Bericht der New York Times zufolge wurde der Zugang zu der Datenbank im vergangenen Jahr mehr als 600 Behörden als Service angeboten. Dazu gehören Behörden wie das FBI, aber auch US-Supermarktketten wie Walmart, Bestbuy und Macy’s. Einige Kunden sollen ihren Zugang zur Datenbank privat verwendet haben, um sie Freunden, Verwandten oder Bekannten zu zeigen.
Mit dem Aufbau seiner Gesichtserkennungsdatenbank verletzt das US-amerikanische Startup Clearview AI Inc. auch die Rechte von EU-Bürgern. Aus diesem Grunde hat der Hamburgische Datenschutzbeauftragte Johannes Caspar angeordnet, dass das Unternehmen bis 12.02.2021 die über den im vorliegenden Fall Betroffenen Matthias Marx gespeicherten biometrischen Daten gelöscht werden müssen. Denn laut Hamburgischem Datenschutzbeauftragtem muss Clearview die Vorgaben der EU-Datenschutzverordnung (DSGVO) auch dann einhalten, wenn das Unternehmen über keine Niederlassung in der EU verfügt.
Löschung von Hashwerten gefordert
Das Prüfverfahren war nach einer Beschwerde von Marx, der auch Mitglied im Chaos Computer Club ist, durch Caspar im März 2020 eingeleitet worden. In der Anordnung des Hamburgischen Datenschutzbeauftragten vom 27. 01.2021 wurde nun verlangt, dass Clearview die Hashwerte löschen soll, die für Marx generiert worden seien. Zudem solle Clearview dem Datenschutzbeauftragten die Löschung bestätigen. Die Löschanordnung wird damit begründet, dass Marx der Verarbeitung seiner Daten nicht zugestimmt habe. Leider erging die Anordnung nur zugunsten des die Beschwerde führenden Betroffenen und nicht zugunsten der betroffenen Allgemeinheit.
Verfolgung von Internetaktivitäten
Bei seiner Entscheidung verweist Caspar auf Erwägungsgrund 24 der DSGVO. Darin heißt es: „Die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter sollte auch dann dieser Verordnung unterliegen, wenn sie dazu dient, das Verhalten dieser betroffenen Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.“ Eine Verhaltensbeobachtung soll demnach daran festgemacht werden, „ob ihre Internetaktivitäten nachvollzogen werden“.
Im Rahmen der Untersuchungen der Datenschutzbehörde stellte sich heraus, dass Clearview nicht nur einen „Schnappschuss“ von Fotos zu speichere, die im Internet verfügbar seien. Es zeigte sich vielmehr, dass in dem Datenbankauszug, den Marx im Mai 2020 von Clearview erhalten habe, auch ältere Fotos aus dem Jahr 2012 zu finden gewesen seien. Clearview habe „eine zielgerichtete Zusammenstellung seiner Internetaktivitäten erstellt und mit entsprechenden Quellen versehen“.
Der besondere Schutz biometrischer Daten, wie er ihn Art. 9 DSGVO vorsieht, wird der Anordnung zufolge nicht gewahrt. Eine Einwilligung lag – schon mangels Kenntnis des Betroffenen – nicht vor. So geht es Millionen von Menschen.
Jeder EU-Bürger muss daher selbst aktiv werden
Da eine allgemeine Anordnung des Datenschutzbeauftragten fehlt, muss nun jeder Europäer seine eigene Beschwerde gegen Clearview einreichen. Nur so taucht er nicht in den Suchergebnissen der biometrischen Datenbank auf.
Löschanfrage ohne Ausweiskopie möglich
Clearview gesteht Betroffenen auf seiner Website unter anderem das Recht zu, „unter bestimmten Bedingungen“ eine Löschung der gespeicherten Fotos zu verlangen. Entsprechende Anfragen sind per E-Mail oder Webformular unter dem Link https://clearviewai.typeform.com/to/zqMFnt möglich. Dies gilt auch für Nutzer aus der Europäischen Union.
Allerdings muss dazu ein persönliches Foto hochgeladen werden, da Clearview nach eigenen Angaben keine anderen Informationen als öffentlich zugängliche Fotos gespeichert hat. Für eine solche Überprüfung ist neben einer E-Mail-Adresse zunächst kein weiteres Dokument zur Identifizierung erforderlich.
Was lernen wir daraus?
Die Datenschutzgrundverordnung legt uns Europäern zahlreiche Verpflichtungen auf, um ihr gerecht zu werden. Diese macht das Leben den ohnehin schon von vielen bürokratischen Herausforderungen geplagten Unternehmern schwer. Ungeachtet jener gesetzlichen Verpflichtungen gibt es – wie im Beispiel zu lesen – Unternehmen, die sich um die Einhaltung dieser Regeln nicht kümmern.
Werden Sie aktiv und fordern Sie Clearview, Google, Facebook & Co. zur Auskunft nach Art. 15 DSGVO über die von Ihnen gespeicherten personenbezogenen Daten auf. Verlangen Sie die Löschung, wenn die Verarbeitung ohne Ihre Einwilligung oder einer anderen Rechtsgrundlage erfolgt ist.
Für die weitere Beratung stehen wir Ihnen gerne zur Verfügung.