DSGVO-Bußgeld: Frankreichs Datenschützer fordern 20 Millionen Euro von Clearview
Die französische Datenschutzbehörde CNIL hat gegen Clearview AI wegen rechtswidriger Gesichtserkennung die Höchststrafe auf DSGVO-Basis verhängt.
(Bild: Fractal Pictures/Shutterstock.com)
Die französische Datenschutzbehörde CNIL hat gegen die auf biometrische Gesichtserkennung spezialisierte US-Firma Clearview AI als Bußgeld die von der Datenschutz-Grundverordnung (DSGVO) vorgesehene Höchststrafe von 20 Millionen Euro festgesetzt. Zuvor hat die US-Firma auf eine Abmahnung vom vorigen Jahr nicht reagiert. Die Kontrolleure ordneten zudem an, dass Clearview Daten über Personen in Frankreich nicht länger erheben und verwenden darf, da es dafür keine Rechtsgrundlage gebe.
Löschaufforderung verhängt
Bereits gespeicherte Gesichtsbilder und zugehörige Informationen müssen laut dem am Donnerstag veröffentlichten Bescheid vom 17. Oktober zudem innerhalb von zwei Monaten gelöscht werden. Die Aufsichtsbehörde verweist zur Begründung auf die "sehr ernsten Risiken für die Grundrechte der betroffenen Personen, die sich aus der von dem Unternehmen durchgeführten Verarbeitung ergeben". Folgt Clearview der Anordnung nicht, droht der Firma ein Zwangsgeld in Höhe von 100.000 Euro für jeden Tag der Überschreitung der Frist.
Die CNIL erhielt nach eigenen Angaben seit Mai 2020 Beschwerden einzelner Personen über die von Clearview entwickelte Gesichtserkennungssoftware. Ein Jahr später wandte sich auch die Bürgerrechtsorganisation Privacy International deswegen an sie. Bei den Untersuchungen arbeitete die Aufsichtsinstanz nach eigenen Angaben mit europäischen Kollegen zusammen: Da das Unternehmen keinen Sitz in der EU hat, seien die nationalen Behörden für Maßnahmen in ihrem eigenen Hoheitsgebiet zuständig.
Bei den durchgeführten Ermittlungen stellte die CNIL zwei Verstöße gegen die DSGVO fest: Clearview verarbeitet die sensiblen biometrischen Daten demnach unrechtmäßig, da die Firma dafür keine Einwilligung einhole und auch keine andere in Frage kommende rechtliche Basis vorliege. Zudem berücksichtige das Unternehmen Rechte der Betroffenen etwa auf Einsicht und zum Löschen ihrer Daten nicht zufriedenstellend und effizient.
20 Milliarden Bilder angeeignet
Clearview extrahiere Fotos aus einer Vielzahl von Webseiten, sozialen Netzwerken und Videos, erläutert die CNIL. Auf diese Weise habe sich das Unternehmen weltweit mittlerweile über 20 Milliarden Bilder angeeignet. Mithilfe dieser Sammlung vermarkte es den Zugang zu seiner Bilddatenbank vor allem an Strafverfolger in Form einer App, in der eine Person mithilfe eines Fotos gesucht werden könne. Die Betroffenen rechneten realistischerweise aber nicht damit, dass ihre Bilder in ein Gesichtserkennungssystem eingespeist werden, "das von Staaten für polizeiliche Zwecke genutzt werden kann".
Nach dem Mahnschreiben von Ende November hatte Clearview zwei Monate Zeit, um die damals schon gegebene Anordnung zum Stopp des Sammelns und Nutzens von Daten französischer Staatsbürger zu befolgen und dies gegenüber der Aufsichtsbehörde nachzuweisen. Das Unternehmen reagierte jedoch nicht. Das angekündigte Sanktionsverfahren nahm daher seinen Lauf.
Während des gesamten Verfahrens habe Clearview nicht in angemessener Form mit ihnen zusammengearbeitet, monieren die Kontrolleure. So habe das Unternehmen das ihm zugesandte Untersuchungsformular nur sehr unvollständig beantwortet und die spätere förmliche Aufforderung völlig missachtet. Der Sanktionsausschuss berücksichtigte bei der Strafe daher auch einen Verstoß gegen die Pflicht nach der DSGVO, mit der Aufsicht zu kooperieren.
Mehrere Millionenstrafen
In Europa verhängte etwa auch die britische Datenschutzbehörde ICO im Mai bereits eine Strafe in Höhe von rund 8,9 Millionen Euro gegen Clearview. Angekündigt hatte sie zunächst ebenfalls rund 20 Millionen Euro, berücksichtigte dann aber doch mildernde Umstände. Der frühere Hamburgische Datenschutzbeauftragte Johannes Caspar ging ebenfalls bereits gegen die Firma vor. Kanadische Behörden haben Clearview untersagt, den Dienst in mehreren Provinzen weiter anzubieten. Das Unternehmen muss zudem alle Bilder und zugehörigen Daten der dortigen Einwohner löschen. Es peilt trotzdem an, seine Speicher mit 100 Milliarden Gesichtsfotos zu füllen.
(mho)
