Clearview: Niederländische Datenschutzaufsichtsbehörde verhängt Millionenstrafe
Die niederländische Datenschutzaufsichtsbehörde hat gegen den US-Gesichtsdatensammler Clearview ein Millionen-Bußgeld verhängt und warnt vor der Nutzung.
Die niederländische Datenschutzaufsichtsbehörde "Autoriteit Persoonsgegevens" (AP) hat gegen Clearview ein Bußgeld in Höhe von 20,5 Millionen Euro verhängt. Weitere 5,1 Millionen Euro könnten fällig werden, wenn das Unternehmen seine Verstöße fortsetzt. Das US-Unternehmen betreibt eine Datenbank, für die Milliarden von Bildern im Internet durchsucht und indexiert werden. Das Geschäftsmodell des Unternehmens besteht darin, Dritten die Suche anhand von Vergleichsbildern zu ermöglichen. Diese Dienstleistung wird weltweit sowohl Behörden als auch Privatpersonen angeboten.
Clearview arbeitet dabei ähnlich wie PimEyes, das in Deutschland im Kontext der Entdeckung der RAF-Terorristin Daniela Klette Bekanntheit erlangte. Die Bundesregierung und einige Landesregierungen würden derartige Software gerne auch für deutsche Behörden erlauben, auch einige Polizeibehörden wünschen sich derartige Tools. Nach Ansicht der Datenschutzaufsichtsbehörden fehlt Clearview jedoch für Bilder aus der EU jede rechtliche Grundlage, um diese überhaupt verarbeiten zu dürfen.
Wer die Dienstleistung dennoch nutze, begehe ebenfalls einen Rechtsverstoß, betont der niederländische Datenschutzbeauftragte Aleid Wolfsen. Zwar seien die Möglichkeiten zur Entdeckung von Kriminellen wichtig, und Gesichtserkennung könne dazu auch einen Beitrag leisten, so der Vorsitzende der Autoriteit Persoonsgegevens: "Aber sicherlich nicht durch einen kommerziellen Betreiber. Und auch bei den zuständigen Behörden nur im Ausnahmefall." Polizeibehörden etwa müssten derartige Software und Datenbanken selbst und unter strengen Auflagen und mit datenschutzrechtlicher Kontrolle einsetzen, so Wolfsen.
Clearview beschäftigt Datenschützer seit Jahren
Der Fall Clearview beschäftigt die Datenschutzaufsichtsbehörden bereits seit Jahren. Sowohl die französische Datenschutzaufsicht CNIL als auch das italienische und das französische und das griechische Pendant haben Millionenstrafen gegen die Firma ausgesprochen. Dadurch, dass das US-Unternehmen weder einen Sitz noch eine Niederlassung im Geltungsbereich der DSGVO hat, sind alle Aufsichtsbehörden zuständig – jede für sich kann daher Bußgelder verhängen, darf dies aber auch nur für die Betroffenen im Land der eigenen Zuständigkeit.
AP will Management haftbar machen
Allerdings scheinen die Bußgeldbescheide aus Europa Clearview bislang wenig zu interessieren. Der niederländische Datenschutzbeauftragte Aleid Wolfsen kündigte an, dass seine Behörde daher nun auch prüfe, inwiefern sie das Management des Unternehmens persönlich für die Rechtsverstöße haftbar machen könne: "Es darf nicht sein, dass solche Unternehmen dauerhaft gegen Rechte der Europäer verstoßen und damit davonkommen." Ob eine persönliche Haftbarmachung nach Datenschutzrecht möglich ist, ist in Fachkreisen umstritten – wie eine Durchsetzung in den USA aussehen kann, ist offen.
(mack)