Schlagwort: Gesichtserkennung

HmbBfDI erlässt Bescheid gegen Clearview

20. August 2020

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Casper hat einen sogenannten „Auskunftsheranziehungsbescheid“ gegen Clearview AI erlassen.

Weil das Unternehmen die bisher größte bekannte Gesichtsdatenbank mit Milliarden Fotos aus sozialen Netzwerken aufgebaut hat, die unter anderem von Privatpersonen aber auch bis zu 600 Behörden genutzt wurde, ist das US-Unternehmen seit Monaten in der Kritik.

Bereits im Februar wurde beim HmbBfDI eine Beschwerde gegen Clearview eingereicht. Der HmbBfDI hat daraufhin mehrfach Kontakt mit Clearview aufgenommen und versucht Informationen zum Geschäftsmodell sowie zu den Umständen, die der Beschwerde zugrunde liegen, zu erhalten. Diese Fragen wurden ausweislich der Pressemitteilung des HmbBfDI nicht zufriedenstellend beantwortet.

Clearview stellte sich auf den Standpunkt, dass die DSGVO auf die von Clearview betriebene Datenverarbeitung keine Anwendung finde, weshalb auch keine Pflicht zur Beantwortung der Fragen des HmbBfDI bestehe.

Dem widerspricht der HmbBfDI. Der Anwendungsbereich der DSGVO sei sehr wohl eröffnet und Clearview somit zur Auskunft verpflichtet. Aufgrund des nunmehr erlassenen Bescheids ist das US-Unternehmen verpflichtet bis Mitte September Auskunft zu erteilen. Für den Fall der Weigerung wurde ein Zwangsgeld in Höhe von je 10.000€ für jeden Einzelfall der insgesamt siebzehn Fragekomplexe angeordnet.

Casper führt dazu aus:

„Geschäftsmodelle, die darin bestehen, massenhaft und anlasslos Bilder im Netz zu sammeln und die Gesichter von Personen durch biometrische Analyse identifizierbar zu machen, gefährden die Privatsphäre im globalen Maßstab. Zum Schutz Betroffener unter der EU-Grundrechtecharta müssen sie anhand der Datenschutzgrundverordnung kontrolliert, reguliert und nötigenfalls gestoppt werden. In Europa darf es keinen Raum für düstere digitale Dystopien geben, in denen der Einsatz von Gesichtserkennungssoftware und biometrische Datenbanken staatlichen, aber auch privaten Stellen eine neue, kaum mehr kontrollierbare Form der Herrschaft über Menschen verschafft. Die Datenschutzaufsichtsbehörden haben den Auftrag, hierüber zu wachen. Das gilt auch gegenüber Unternehmen, die entsprechende Geschäftszwecke von außerhalb der EU verfolgen und damit die Privatsphäre und die informationelle Selbstbestimmung von Menschen in der EU in Frage stellen. Um eine datenschutzrechtliche Kontrolle zu ermöglichen, gehe ich davon aus, dass Clearview die dem Unternehmen gestellten Fragen beantworten oder zumindest gegen den Heranziehungsbescheid Rechtsmittel einlegen wird, um so eine rechtliche Entscheidung zu ermöglichen.“

Südwales: Einsatz von Gesichtserkennung durch Polizei ist unzulässig

12. August 2020

Die Beschwerdeführer, ein Bürgerrechtler aus Cardiff und die Organisation „Liberty“ erhoben Beschwerde wegen Nutzung von automatischer Gesichtserkennungssoftware durch die South Wales Police (SWP). Die SWP setzte seit Mai 2017 die Software „AFR Locate“ zur Gesichtserkennung bei ihren Einsätzen ein. Mit Hilfe der Software konnte die Polizei bei öffentlichen Veranstaltungen und anderen Einsätzen anwesende Personen mit denen auf einer selbständig angelegten Gefährder-Liste („Watchlist“) abgleichen. Die Software ist in der Lage 50 Gesichter pro Sekunde zu scannen. Bei den 50 Einsätzen in den Jahren 2017 und 2018 wurden schätzungsweise 500.000 Gesichter gescannt und abgeglichen. Bei zwei öffentlichen Veranstaltungen war auch einer der Beschwerdeführer anwesend und fühlte sich durch Aufnahmen in seinem Recht auf Achtung des Privatlebens nach Art. 8 Abs. 2 Europäische Menschenrechtskonvention (EMRK) verletzt. Außerdem kritisierte er, dass datenschutzrechtliche Vorgaben beim Einsatz nicht eingehalten wurden.

Das Berufungsgericht gab den Beschwerdeführern Recht und befand, dass die Nutzung der Gesichtserkennungssoftware in dem konkreten Fall gegen das Gesetz verstößt. Als Begründung führte das Gericht auf, dass der Einsatz zwar grundsätzlich verhältnismäßig sei. Der Ermessensspielraum der Polizeibeamten sei jedoch zu groß, als dass sie den in Art. 8 Abs. 2 EMRK geforderten Standard erfüllen könnten. So gebe es weder eine klare Regelung, wo die Software eingesetzt wird, noch wer auf die „Watchlist“ gesetzt werden dürfe. Darüber hinaus sei die Datenschutzfolgenabschätzung für den Einsatz der Software mangelhaft, weil sie die Verletzung von Art. 8 Abs. 2 EMRK nicht berücksichtige. Zudem bestünden Zweifel, dass die Polizeibehörde angemessene Schritte unternommen hätte, um sicherzustellen, dass die Gesichtserkennungssoftware keinen geschlechtsspezifischen oder rassistischen Bias habe.

PimEyes – Gesichtserkennung für jeden?

6. August 2020

Bereits im Januar haben wir über das Unternehmen Clearview berichtet. Dessen Geschäftsmodell ist es, frei öffentlich zugängliche Fotos im Internet zu sammeln und in einer Datenbank zusammenzufassen. Dabei greift es unter anderem auf Fotos von Facebook, Instagram und YouTube zurück. Die dabei gesammelten Daten hat Clearview an Unternehmen und Behörden weiterverkauft. Nun hat ein weiteres Start-Up-Unternehmen dieses Geschäftsmodell aufgegriffen. Dafür hat das Unternehmen PimEyes eine Suchmaschine für Gesichtserkennung erstellt.

Im Gegensatz zu Clearview ist PimEyes für jeden zugänglich. PimEyes durchsucht massenhaft Gesichter im Internet nach individuellen Merkmalen und speichert deren biometrische Daten. Der Nutzer kann ein Foto hochladen, was mit gespeicherten Bildern abgeglichen wird. Die Datenbank soll mittlerweile 900 Millionen Gesichter umfassen.

Das Geschäftsmodell ist aus datenschutzrechtlicher Perspektive äußerst bedenklich. Zum einen haben die auf den Fotos gespeicherten Personen keine Einwilligung in die weitere Verarbeitung ihrer Fotos gegeben, als sie diese auf Social Media-Plattformen hochgeladen haben. Ebenso wenig sind sie von PimEyes diesbezüglich gefragt worden.

Des Weiteren ist es möglich, so an Informationen zu Personen gelangen, die man sonst nicht erfahren würde. Zum Beispiel ließe sich so feststellen, was für Freizeitinteressen die Person hat oder welche Veranstaltungen diese Person besucht hat. Daraus ließe sich ableiten, welche politischen Ansichten oder persönliche Neigungen diese Person hat.

Der Dienst kann in der Tat für Personen hilfreich sein, die nicht für die Öffentlichkeit bestimmte Fotos oder Videos von sich aufspüren möchten. Mit dem Dienst von PimEyes lassen sich die dazugehörigen Webseiten finden, so dass man gegen die Veröffentlichungen vorgehen kann. Auch lässt sich ein Alarm einstellen, der über neu hochgeladene Bilder und Videos informiert.

Nach massiver Kritik hat PimEyes seine Suchmaschine eingeschränkt. War es zuvor möglich, beliebige Fotos hochzuladen und mit der Datenbank abzugleichen, kann man aktuell nur ein Foto mit der eigenen Webcam am PC erstellen und mit im Internet kursierenden Aufnahmen vergleichen.

Clearview: Unbefugter erlangte Zugriff auf Kundenliste

27. Februar 2020

Das US-Unternehmen Clearview machte zuletzt Schlagzeilen, weil es die bisher größte bekannte Gesichtsdatenbank aufgebaut hatte. Die Datenbank verkaufte Clearview insbesondere an Strafverfolgungsbehörden, wie Recherchen der New York Times aufdeckten. Wir berichteten darüber ausführlich in einem früheren Blogbeitrag.

Nun sind Clearview offenbar sensible Kundendaten abhanden gekommen. Das geht aus einem Bericht des US-Magazins The Daily Beast hervor. Das Unternehmen soll seine Kunden gewarnt haben, dass ein Unberechtigter Zugang zur Kundenliste, zur Anzahl der Benutzerkonten einzelner Kunden und der jeweiligen Suchvorgänge verschafft habe. Ein Rechtsanwalt des Unternehmens erklärte, es habe kein Zugriff auf Server Clearviews stattgefunden. Der Unberechtigte habe keinen Zugriff auf die Suchverläufe der Kundenkonten bekommen und die Schwachstelle sei mittlerweile geschlossen. Die genauen Umstände der Datenpanne sind unklar, jedenfalls spricht Clearview in der Meldung nicht von einem Hack.

Clearview geriet in die Öffentlichkeit, weil es mehrere Milliarden Fotos von Nutzern aus sozialen Netzwerken wie Facebook, YouTube und Instagram sammelte. Die Datenbank enthält darüber hinaus Namen von Personen und weitere persönliche Daten über den Wohnort, die Aktivitäten sowie Freunde und Bekannte. Clearview verkaufte die Datenbank in Form einer App an bisher mehr als 600 Behörden. Auch private Sicherheitsunternehmen sollen zu den Kunden von Clearview gehören.

Social-Media-Plafttformen wie Google wehrten sich zuletzt gegen das Vorgehen. So mahnte Google Clearview ab, weil es auf Videomaterial von YouTube zugriff. Twitter forderte Clearview auf, den Abruf von Fotos einzustellen und vorhandenes Material zu löschen.

Google mahnt Clearview ab

6. Februar 2020

Wie bereits berichtet, hatte die Gesichtserkennungsfirma Clearview circa drei Milliarden Bilder in ihrer Datenbank gesammelt. Unter anderem griff Clearview dafür auch auf das Videomaterial von Youtube zurück.

Dieses Verhalten führte nun zu einer Abmahnung von Google gegenüber der Firma Clearview. Im Abmahnschreiben fordert Google die Löschung des Bild- und Videomaterials. Dem Startup wird vorgeworfen, dass es mit der Speicherung der Videos, zum Zwecke der Identifizierung von Personen, gegen die Youtube Richtlinien verstoßen hat.

Das Unternehmen hatte gestanden die Daten der Videoplattform zum Zwecke der Gesichtserkennung gespeichert zu haben. Laut der Pressesprecherin von Youtube war dieses Geständnis der Auslöser für die Abmahnung.

Neben Google haben bereits weitere Unternehmen wie z.B. Twitter und Facebook von Clearview die Löschung der Bilder gefordert. Es bleibt abzuwarten wie ein mögliches Gerichtsverfahren in diesem Fall ausgehen würde.

US-Firma Clearview sammelt Milliarden Fotos aus sozialen Netzwerken

21. Januar 2020

Nach Recherchen der New York Times hat das US-Unternehmen Clearview mehrere Milliarden Fotos von Nutzern aus sozialen Netzwerken wie Facebook, YouTube und Instagram gesammelt. Damit hat das Unternehmen die bisher größte bekannte Gesichtsdatenbank aufgebaut.

Clearview verkauft die Datenbank in Form einer App an seine Kunde. Mit Hilfe der App sollen Millionen Menschen innerhalb von Sekunden erkannt werden können.

Die App wurde im letzten Jahr bereits von 600 Behörden genutzt. Dabei machen insbesondere Strafverfolgungsbehörden von der privaten Datenbank Gebrauch. Die Behörden seien, auch wenn sie nicht genau wüssten wie Clearview arbeite, von den Ergebnissen überzeugt. Unter den Kunden sollen sich auch private Sicherheitsunternehmen befinden.

Der Bericht zeigt zudem die Gefahren der massenhaften Datensammlung des Unternehmens im Hinblick auf den Schutz der Privatsphäre des Einzelnen auf.

So offenbart die App nicht nur den Namen einer Person, sondern liefert auch weitere persönliche Daten über den Wohnort, die Aktivitäten sowie Freunde und Bekannte.

Darüber hinaus ist die Fehleranfälligkeit der Gesichtserkennungssoftwares allgemein bekannt. Es besteht daher durchaus die Möglichkeit, dass eine falsche Person durch die Clearview Datenbank identifiziert wird und im Zweifel ins Visier der Strafverfolgungsbehörden gerät.

Weiterhin ist auch nicht bekannt, wie Clearview die Fotos, die US-Behörden zwecks Gesichtserkennung auf die Server des Unternehmens laden, im datenschutzrechtlichen Sinne schützt. Die Firma Clearview war vor den Recherchen der New York Times praktisch unbekannt und gibt sich Mühe im Hintergrund zu bleiben.

Face App: Kritik wird lauter

18. Juli 2019

Ist man derzeit im Internet und dort insbesondere auf den unterschiedlichsten Social-Media-Netzwerken unterwegs, stolpert man seit einigen Tagen vermehrt auf Portraitbilder, die die Abgebildeten älter erscheinen lassen als sie tatsächlich sind. Möglich macht dies ein Filter der App „Face App“, die sowohl auf iOS als auch auf Android erhältlich ist und sich momentan großer Beliebtheit erfreut – auch weil oben erwähnter Gesichtsfilter kostenlos und beliebig oft auf bereits vorhandene Fotos sowie auf Liveaufnahmen angewendet werden kann.

Wie so oft bei der Nutzung von neuen Apps bleibt dabei jedoch die datenschutzrechtliche Komponente von der großen Maße der Nutzer unbeachtet. Auch gerade deshalb werden die öffentlichen Stimmen und Kritiken gegen die App des russischen Unternehmens Wireless Lab lauter, um vor datenschutzrechtlichen Risiken zu warnen.
So warnt nun auch der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) bei SWR aktuell wegen „Befürchtungen, dass wichtige persönliche Daten in die falschen Hände geraten könnte“ vor der Nutzung der App. Die Nutzungsbedingungen und die Datenschutzerklärung seien schwammig, insbesondere im Hinblick auf die Informationen wie die im Rahmen der App verarbeiteten und erhobenen personenbezogenen Daten genutzt und weitergegeben werden.
Die Entwickler betonen dagegen, dass keine Daten an Dritte weitergegeben oder verkauft würden.

Gesichtspflege mit Hilfe von Smartphones

9. Januar 2019

Mit Hilfe eines Kameraaufsatzes wird das Gesicht des Nutzers gescannt. Eine App analysiert daraufhin die Hautoberfläche und wertet ihren Zustand aus. Anhand der ausgewertet Daten hat die Neutrogena-App bereits Pflegeprodukte vorgeschlagen. Nun wurde das Angebot dahingehend ausgeweitet, dass basierend auf der Hautanalyse eine Gesichtsmaske hergestellt werden kann, die auf die individuellen Bedürfnisse der Haut zugeschnitten ist. Das unter dem Namen „MaskID“ vermarktete Produkt wertet biometrische Daten, wie Gesichtsform und Abstand zwischen Nase und Augen und den Zustand der Haut aus.

Das Kosmetikunternehmen Neutrogena überraschte auf der Technikmesse in Las Vegas mit einem ungewöhnlichen Produkt. Das Unternehmen bietet nun individuell angepasste Gesichtspflegemasken mittels Smartphone-Gesichtsanalyse für seine Kunden an.

Der Kameraaufsatz „Skin360“ ist bis jetzt nur für bestimmte iPhone-Modelle erhältlich und kostet etwa 60 US-Dollar. Er hat eine 30-fach-Vergrößerungslinse und sechs helle LEDs, die eine zuverlässige Hautanalyse gewährleisten sollen. Eine Markteinführung in Europa ist geplant.

HambBfDI sieht keine Rechtsgrundlage für den Einsatz von biometrischer Gesichtserkennung

5. September 2018

In einem Prüfbericht beanstandet der Hamburger Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar (HmbBfDI) die Erstellung von biometrischen „Gesichtsabdrücken“ durch die Polizei Hamburg.

Anlass für den Einsatz der Gesichtserkennung-Software waren die Proteste im Zusammenhang mit dem G-20 Gipfel in Hamburg. Die Hamburger Polizei hat insgesamt 100 Terabyte Bild- und Videomaterial zu Strafverfolgungszwecken erhoben. Das Bild- und Videomaterial besteht aus Aufnahmen in S-Bahnhöfen, der medialen Berichterstattung, den eigenen Aufnahmen der Polizei und privaten Aufnahmen, die BürgerInnen der Polizei zur Verfügung gestellt haben. Zur Auswertung der riesigen Datenmenge setzt die Polizei die eigens dafür angeschaffte Software „Videmo 360“ ein. Das Programm verarbeitet alle Gesichter, die in den Aufnahmen vorkommen und erstellt sog. Gesichtstemplates. Hierbei handelt es sich um mathematisch abgleichbare Modelle, die einen Gesichtsvergleich ermöglichen. Dadurch erhofft sich die Polizei Straftaten, die während des viertägigen Gipfels begangen wurden, aufzuklären.

In dem Vorgehen der Polizei sieht der HmbBfDI das Gleichgewicht zwischen staatlichen Eingriffsbefugnissen zur Strafverfolgung und dem Recht des Einzelnen auf informationelle Selbstbestimmung in Gefahr. Die massenweise Auswertung von biometrischen Daten eröffnet eine neue Dimension für staatliche Überwachung und Kontrolle. Durch die quasi uferlose Datenauswertung sind nicht nur verdächtige Personen, sondern auch Unbeteiligte betroffen. Insbesondere weist der HambBfDI auf die Möglichkeit hin, Profile von Personen zu erstellen, die weitere Nutzungs- und Verknüpfungsmöglichkeiten der Daten eröffnen.

Nach intensiver rechtlicher Prüfung gelangt der HmbBfDI zu dem „Ergebnis, dass die Erzeugung von mathematischen Gesichtsmodellen einer unbegrenzten Anzahl von in der Masse verdachtslos erfassten Bürgerinnen und Bürgern im Stadtgebiet über den Zeitraum von zumindest mehreren Tagen und deren Speicherung für eine unbestimmte Zeit einer besonderen gesetzlichen Befugnis bedarf, die den Eingriff in das informationelle Selbstbestimmungsrecht rechtfertigt.“

Durch die Erstellung einer „Gesichts-ID“ und ihren Abgleich zur Verfolgung von Straftaten im Zusammenhang mit dem viertägigen G 20-Gipfel wird massiv in das Recht auf informationelle Selbstbestimmung eingegriffen, da die Maßnahme auf keiner Rechtsgrundlage beruht. Eine derart umfangreiche Verarbeitung biometrischer Daten kann insbesondere nicht auf eine Generalklausel gestützt werden. Der HmbBfDI geht davon aus, „dass die Beanstandung dazu führt, dass der Einsatz dieses Verfahrens gestoppt wird und eine Löschung der ohne Rechtsgrundlage erhobenen biometrischen Daten erfolgt.”

Ein Supermarkt ohne Kasse: Amazon Go

7. Februar 2018

Amazon eröffnete am 22. Januar den ersten „Amazon-Go“ in Seattle. Dabei handelt es sich um einen Supermarkt, in dem es keine Kassen mehr gibt.

Der Amazon Kunde benötigt dazu nur ein Smartphone, worauf er die erforderliche App installiert. Diese App identifiziert – mit zahlreichen Kameras und Sensoren – den Kunden. Beim Betreten und Verlassen des Geschäfts checken die Kunden mit Hilfe eines Barcodes auf dem Smartphone ein und aus. Dies ist vergleichbar mit dem Check-in am Flughafen. Das System merkt sich automatisch, die Artikel, für die sich der Kunde im Geschäft entschieden hat. Wenn dieser das Geschäft wieder verlässt, werden die Artikel automatisch bezahlt und kurze Zeit später erscheint die Rechnung in der App.

Das  Bezahlmodell funktioniert mittels Videoüberwachung mit 3D-Objekterkennung und Zuordnung der Produkte anhand der Amazon Go App. Ein anonymer Einkauf  ist somit ausgeschlossen. Es werden Bewegungsdaten und allgemeine Informationen zum Einkauf verarbeitet. Laut Aussagen von Amazon wird auf die Gesichtserkennung verzichtet. Das System erkenne allein 3D-Objekte und den Menschen ohne exakte Gesichtsstrukturen.

Bedenklich ist, was genau mit den Informationen passiert, die Amazon durch die verknüpften Apps und Sensoren sammelt. Denn jeder Griff, ob zur Wasserflasche oder zum Käse, wird von einem virtuellen Einkaufswagen in der App registriert. 

Amazons Sensoren-Supermarkt Go würde in Deutschland erhebliche Datenschutz-Bedenken auslösen, davon ist zumindest der Landesbeauftragtefür Datenschutz in Nordhrein-Westfalen überzeugt.

 

 

 

1 2 3