Die massive Geldstrafe für Clearview AI wegen DSGVO-Verstößen und was das bedeutet

„Bewegen Sie sich schnell und zerstören Sie Dinge.“

„Es ist einfacher, um Vergebung zu bitten, als eine Erlaubnis einzuholen.“

„Probiere dich aus und mache Erfahrungen.“

Auslöser für diese etwas zirkuläre Aneinanderreihung von Klischees war die Nachricht von Anfang September, dass Clearview AI, ein Anbieter von Gesichtserkennungssoftware und -diensten,von der niederländischen Datenschutzbehörde (DPA ) wegen Verstoßes gegen die EU-Datenschutzgrundverordnung (DSGVO) zu einer Geldstrafe von 30,5 Millionen Euro (etwa 34 Millionen Dollar) verurteilt wurde.

Falls Sie mit der Datenschutz-Grundverordnung (DSGVO) noch nicht ganz auf dem Laufenden sind: Es handelt sich um eine der strengsten Datenschutzbestimmungen der Welt, die erstmals 2018 in Kraft getreten ist. Das grundlegende Prinzip ist, dass Sie, wenn Sie personenbezogene Daten von EU-Bürgern erheben und speichern, deren Erlaubnis einholen müssen und diese Daten sehr sorgfältig behandeln müssen, um ihre Sicherheit zu gewährleisten.

Die DSGVO beinhaltet die Anforderung, dass die Daten nur in der EU gespeichert und verarbeitet werden dürfen. Das ist einer der Gründe, warum Barracuda jetzt über erheblich mehr Datenspeicherinfrastruktur im Ausland verfügt als vor der Verabschiedung der DSGVO.

Milliarden Gesichter

Die schockierende Geldstrafe für Clearview AI wurde verhängt, weil das Unternehmen laut der DPA eine „illegale Datenbank mit Milliarden von Fotos von Gesichtern“ aufgebaut hat. Auf der eigenen Website des Unternehmens heißt es: „Unsere Plattform, die auf Gesichtserkennungstechnologie basiert, umfasst die größte bekannte Datenbank mit über 50 Milliarden Gesichtsbildern, die aus öffentlichen Internetquellen stammen, darunter Nachrichtenmedien, Fahndungswebsites, öffentliche soziale Medien und andere offene Quellen.“

Das ist das Geschäftsmodell von Clearview AI: Erstellen einer riesigen Datenbank mit Gesichtern mit zugehörigen Namen, Analyse der Bilder, um jedem Gesicht einen eindeutigen biometrischen Code zuzuweisen, und dann Polizei, Militär und Geheimdiensten einen Dienst anbieten, mit dem sie neue Bilder scannen können – z. B. Überwachungsaufnahmen oder Fotos von einem politischen Protest – um die darauf abgebildeten Personen zu identifizieren.

Das kann natürlich auch einen positiven Nutzen haben, zum Beispiel bei der Aufklärung von Verbrechen. Genauso klar ist, dass sie für unheilvollere Zwecke eingesetzt werden kann, z. B. um einem diktatorischen Regime zu helfen, politische Gegner zu identifizieren und zu bestrafen.

Missachtung des Gesetzes

Die DSGVO ist in dieser Hinsicht sehr eindeutig: Sie können die Daten von Personen, einschließlich biometrischer Gesichtsdaten, nicht ohne deren Zustimmung oder Wissen sammeln und ohne sie vollständig darüber zu informieren, wofür die Daten verwendet werden. Sie müssen auch eine Möglichkeit für Einzelpersonen bereitstellen, auf Anfrage auf ihre Daten zuzugreifen.

Clearview AI behauptet seinerseits, dass es nicht den DSGVO-Bestimmungen unterliegt, weil es keinen Geschäftssitz in der EU hat, was meiner Laien-Meinung ein völlig unaufrichtiges Argument ist, das das Unternehmen von nichts entbindet.

Laut dem niederländischen DPA-Vorsitzenden Aleid Wolfsen wird nun untersucht, ob das Management des Unternehmens persönlich haftbar gemacht und mit einer Geldstrafe für die Leitung dieser Verstöße belegt werden kann. Diese Haftung besteht bereits, wenn die Direktoren wissen, dass gegen die DSGVO verstoßen wird, die Befugnis haben, dies zu verhindern, es aber unterlassen und auf diese Weise diese Verstöße bewusst in Kauf nehmen.

Wenn Sie bezweifeln, dass das Management von Clearview AI wusste, dass es gegen die Datenschutzgrundverordnung verstößt und dies als bewusste Strategie verfolgte, glauben Sie wahrscheinlich auch an den Weihnachtsmann.

Dies ist eindeutig ein Beispiel für die ersten beiden Aphorismen, mit denen ich diesen Beitrag eröffnet habe. Und wenn das Unternehmen und seine Direktoren am Ende hohe Geldstrafen zahlen müssen, ist dies auch ein Beispiel für den dritten Punkt.

Ähnlich wie Uber , das aggressiv in Städte vordringt und dabei offensichtlich gegen die Regeln für die Abfertigung von Fahrern und Limousinen verstößt, hofft Clearview AI wahrscheinlich, dass es sich durch die Etablierung als einziger Anbieter seiner Dienstleistungsmarke und den Aufbau eines Kundenstamms von Regierungen und deren Behörden vor der Durchsetzung von Datenschutzgesetzen schützen kann.

Wolfsen gab eine Warnung heraus: „Clearview verstößt gegen das Gesetz, und daher ist die Nutzung der Dienste von Clearview illegal.“ Niederländische Unternehmen, die Clearview verwenden, müssen daher mit hohen Geldstrafen durch die niederländische Datenschutzbehörde rechnen.“ Doch als sich die Menschen erst einmal an die Annehmlichkeiten des Teilens von taxiähnlichen Dienstleistungen gewöhnt hatten, blieb den Regulierungsbehörden keine andere Wahl, als ihnen entgegenzukommen. Ebenso ist es schwer vorstellbar, dass Polizei und Geheimdienste bereitwillig die Macht aufgeben, jedem Gesicht auf jedem Foto einen Namen zuzuordnen.

Lassen Sie uns konform werden

Die gegen Clearview AI verhängte Geldstrafe in Höhe von 30,5 Millionen Euro zeigt, dass die europäischen Aufsichtsbehörden es mit der Durchsetzung der Datenschutzgrundverordnung sehr ernst meinen. Nehmen wir also an, Ihr Unternehmen würde es vorziehen, die DSGVO und andere Datenschutzbestimmungen einzuhalten und das Risiko massiver Geldstrafen zu vermeiden.

Ein wichtiger Schritt besteht darin, dass Sie genau wissen, wo geschützte Kunden- und andere sensible Daten gespeichert sind, und dass Sie alle potenziellen Risiken beseitigen. Barracuda Data Inspector scannt automatisch Ihre SharePoint- und OneDrive-Daten, um nicht ordnungsgemäß gespeicherte vertrauliche Daten zu identifizieren und Malware oder andere schädliche Dateien zu finden und zu entfernen. So können Sie sich sicher sein, dass Sie die Vorschriften einhalten und nicht Gefahr laufen, hohe Geldstrafen zu zahlen.