Der Einsatz von Gesichtserkennungssoftware ist ein Dauerbrenner in der datenschutzrechtlichen Diskussion. Nun regt sich zeitgleich prominenter Widerstand gegen zwei bereits im vergangenen Jahr in die Kritik geratene Dienste.
Der Inhalt im Überblick
Dr. Brink und Max Schrems im Duett
Der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, hat laut seiner Pressemitteilung ein Verfahren gegen das Unternehmen PimEyes eröffnet. Ebenfalls teilte die von Max Schrems gegründete Organisation noyb mit, dass sie und weitere europäische Digital Rights Organisationen Beschwerden gegen die Massenüberwachung durch das Unternehmen Clearview AI eingereicht haben.
PimEyes – massenhafte Scans von Gesichtern im Netz
Bei PimEyes handelt es sich um eine ursprünglich in Polen entwickelte Gesichter-Suchmaschine. Wie Recherchen von netzpolitik.org im vergangenen Jahr aufgezeigt hatten, scannt das Unternehmen „massenhaft Gesichter im Internet nach individuellen Merkmalen“ und speichert biometrische Daten (Merkmale wie etwa die Gesichtsform, Augenfarbe, Augenabstand, Größe der Nase, Abstand von Mund zu Nase, etc.), mit denen sich jeder Mensch treffsicher identifizieren lässt.
Da der Dienst frei zugänglich ist, ermöglicht er es jedem Internetnutzer, das Foto einer Person hochzuladen und sich dann anzeigen zu lassen, wo im Netz überall dieses Gesicht bereits zu finden ist. Das umfasst eigene oder fremde Websites, nicht zuletzt aber auch Social-Media-Kanäle und andere, öffentliche zugängliche Datensammlungen.
Art. 9 DSGVO verbietet jedoch grundsätzlich die „Verarbeitung von (…) biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person“ ohne passende Rechtsgrundlage. Da selbstverständlich weder auf eine Einwilligung der Betroffenen, noch eine andere denkbare Rechtsgrundlage des Art. 9 Abs. 2 DSGVO zurückgegriffen werden konnte, dürfte es dem Dienst schwerfallen, eine Legitimation für sein Vorgehen zu finden.
Fragenkatalog auf die Seychellen
LfDI Brink hatte jedenfalls auch so seine Zweifel und schickte dem Unternehmen daher „einen umfangreichen Fragenkatalog, der innerhalb von vier Wochen zu beantworten ist“. Die Post ging dabei auf die Seychellen, wohin die Gründer den Firmensitz der verantwortlichen „Face Recognition Solutions Ltd.“ zwischenzeitlich verlegt haben.
Zuständigkeitsprobleme sieht der oberste Landesdatenschützer Baden-Württembergs insoweit aber nicht:
„Die Zuständigkeit des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg ergibt sich aufgrund von Artikel 55 Absatz 1 DSGVO in Verbindung mit § 40 BDSG, soweit eine Niederlassung in Europa nicht benannt ist.“
Droht der Verlust der Anonymität?
Die Datenverarbeitung von PimEyes birgt vor allem ein riesiges Missbrauchspotential, das wir hier bereits im vergangenen Jahr ausführlich beleuchtet haben. Der LfDI Baden-Württembergs spricht von nicht weniger als dem Verlust der Anonymität. Es könnte in der Tat ein einziges Foto ausreichen, um sich über PimEyes ein umfangreiches „Bild“ über einen beliebigen Betroffenen, sein soziales Umfeld, Hobbies, sonstige Vorlieben und letztlich sogar seine Identität zu machen.
„Alle Bürger_innen im Land werden sich künftig sorgen müssen, wenn ohne ihre Kenntnis Fotos von ihnen für alle – Nachbarn, Arbeitgeber, Behörden – einsehbar sind und auch in Drittstaaten fließen. Die Konsequenzen, die sich daraus ergeben, sind gefährlich für unsere Demokratie. Nicht nur das Recht der Bürger_innen auf informationelle Selbstbestimmung, sondern auch andere Grundfreiheiten werden dadurch bedroht. Es ist Zeit, hier für Klarheit zu sorgen.“
Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Clearview AI: Max Schrems schreitet ein
Der Österreicher, der seit Inkrafttreten der DSGVO gefühlt mehr für die Sicherheit des internationalen Datenverkehrs erreicht hat als alle Datenschutzaufsichtsbehörden Europas zusammen, hat sich derweil einen anderen Gesichtserkennungsdienst vorgeknöpft.
Wie seine Organsation noyb mitteilte, haben „noyb und weitere europäische Digital Rights Organisationen Beschwerden gegen die Massenüberwachung durch das Unternehmen Clearview AI eingereicht“. Die in etwa inhaltsgleichen Beschwerden richten sich an die Datenschutzaufsichtsbehörden in Frankreich, Österreich, Italien, Griechenland und dem Vereinigten Königreich.
Mehr als 3 Milliarden „Gesichter“
Clearview AI, Inc. rühmt sich selbst damit, „die größte bekannte Datenbank mit mehr als 3 Milliarden Gesichtsbildern“ zu besitzen. Zustande gekommen ist diese, ebenso wie bei PimEyes, durch das „scrapen“ des Internets. Die so gesammelten Fotos speichert der Dienst zusammen mit Metadaten (z.B. Geolokalisierung und Website von der das Bild stammt) auf scheinbar unbestimmte Zeit.
Anders als bei PimEyes ist die Datenbank nicht öffentlich aufrufbar. Sie wurde zunächst nur im Geheimen betrieben und vor allem staatlichen Strafverfolgungs- bzw. Überwachungsbehörden zur Verfügung gestellt. Seit Bekanntwerden seiner Tätigkeit ist Clearview AI auch in den Fokus europäischer Datenschutzaufsichtsbehörden geraten. So erließ etwa der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im letzten Jahr einen sogenannten “Auskunftsheranziehungsbescheid” gegen Clearview AI.
Auch hier: keine Rechtsgrundlage
Die Beschwerdeführer sehen das Geschäftsmodell von Clearview im Widerspruch mit einigen der zentralen Regelungen und Grundsätze der DSGVO. Vor allem fehle es – wie bei PimEyes – bereits an einer Rechtsgrundlage für die Datenverarbeitung. Die Verarbeitung könne nicht auf berechtigte Interessen gestützt werden; Clearview verarbeite eben gerade auch besondere Kategorien personenbezogener Daten (Art. 9 DSGVO); zudem könne sich Clearview auch nicht darauf stützen, dass die verarbeiteten Daten (Fotos) von dem jeweiligen Betroffenen offensichtlich öffentlich gemacht worden seien.
Get out of our face, Clearview and PimEyes!
Mit dem aktuellen Vorgehen will das Bündnis aus fünf Datenschutzorganisationen der Zivilgesellschaft ein koordiniertes Vorgehen der Datenschutzaufsichtsbehörden der EU erwirken. Dem Unterfangen können durchaus Erfolgsaussichten eingeräumt werden. In diesem Zusammenhang sei auch nochmal auf die zivilgesellschaftliche Initiative „reclaim your face“ hingewiesen, die sogar noch einen Schritt weitergeht, und sämtliche biometrische Technologien in der europäischen Union strengerer Regulierung unterwerfen will.
Zudem ist anzunehmen, dass der Baden-Württembergische LfDI Dr. Stefan Brink nicht so schnell von seinem Vorhaben ablassen wird, PimEyes an die Kette zu legen.
Wichtig wäre ein solcher Erfolg allemal. Denn, wie sagte es Fabio Pietrosanti, Präsident des an der Initiative beteiligten Hermes Center, so treffend:
„Technologien zur Gesichtserkennung bedrohen unser Online- und Offline-Leben. Indem sie heimlich unsere biometrischen Daten sammeln, ermöglichen diese Technologien eine ständige Überwachung.“