Schlagwort: Gesichtserkennungssoftware

Clearview darf Gesichtsbilder von französischen Staatsbürgern nicht mehr verarbeiten

23. Dezember 2021

Neue Entwicklung in Sachen des kontroversen Dienstes Clearview: Wie berichtet, hatte die Gesichtserkennungsfirma Clearview bereits erhebliche Kritik für ihre Unvereinbarkeit mit datenschutzrechtlichen Grundsätzen insbesondere der DSGVO geerntet. Bereits im letzten Jahr wurde beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Casper eine Beschwerde gegen Clearview eingereicht; das Erstellen von biometrischen Profilen von EU-Bürgern wure vorläufig als rechtswidrig eingestuft und Clearview AI angewiesen, das Profil des Beschwerdeführers zu löschen. Auch in Kanada, Australien und dem Vereinigten Königreich (das die europäische DSGVO vorerst im nationalen Recht beibehält) wurde gegen Clearview vorgegangen.

Nun wird mit der französischen Datenschutzbehörde CNIL die erste europäische Behörde tätig und verlangt von dem Unternehmen, “die Sammlung und Nutzung von Daten von Personen einzustellen, die sich auf französischem Hoheitsgebiet befinden”.

Das umstrittene US-amerikanische Unternehmen Clearview trägt Fotos aus aus einer Vielzahl von sozialen Netzwerken, Webseiten und Videos zusammen, um auf diese Weise eine Datenbank mit Gesichtern mit weltweit über zehn Milliarden Bilder aufzubauen. Die Datenbank ist vor allem für Strafverfolger interessant, da in der App eine Person mithilfe eines Fotos gesucht werden kann. Währenddessen ahnt keiner der Betroffenen davon, dass das Bild vom letzten Urlaub potenziell “für polizeiliche Zwecke genutzt werden kann”.

In der Mitteilung über die Feststellung des Verstoßes fordert die CNIL Clearview auf, die unrechtmäßige Verarbeitung einzustellen und die Nutzerdaten innerhalb von zwei Monaten zu löschen. Die französische CNIL stellte fest, dass Clearview zwei Verstöße gegen die Datenschutz-Grundverordnung begangen hat: Die französische Datenschutzbehörde sieht für die kontroverse Praxis des Fotoabgleichs keine Rechtsgrundlage, insbesondere werde keine Einwilligung der Betroffenen eingeholt. Darin liege ein Verstoß gegen Artikel 6 (Rechtmäßigkeit der Verarbeitung). Zudem verstoße Clearview gegen eine Reihe von Datenzugangsrechten gemäß Artikel 12, 15 und 17.

Das US-Unternehmen hat keinen Sitz in der EU, was bedeutet, dass seine Geschäfte in der gesamten EU von allen Datenschutzbehörden der EU überwacht werden können. Die Anordnung der CNIL gilt zunächst nur für Daten, die das Unternehmen über Personen aus dem französischen Hoheitsgebiet besitzt. Weitere derartige Anordnungen anderer EU-Behörden werden jedoch folgen und sind nur eine Frage der Zeit.

Es ist allerdings auch möglich, selbst tätig zu werden: Clearview hat hierzu auf seiner Website zwei Formulare für EU-Bürger eingerichtet. Mit der “Data Access Form” kann man feststellen, ob Clearview Daten über die eigene Person gespeichert hat. Mit dem “Data Processing Objection Form” kann man das Unternehmen daran hindern, Fotos der eigenen Person zu verarbeiten.

HmbBfDI erlässt Bescheid gegen Clearview

20. August 2020

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Casper hat einen sogenannten “Auskunftsheranziehungsbescheid” gegen Clearview AI erlassen.

Weil das Unternehmen die bisher größte bekannte Gesichtsdatenbank mit Milliarden Fotos aus sozialen Netzwerken aufgebaut hat, die unter anderem von Privatpersonen aber auch bis zu 600 Behörden genutzt wurde, ist das US-Unternehmen seit Monaten in der Kritik.

Bereits im Februar wurde beim HmbBfDI eine Beschwerde gegen Clearview eingereicht. Der HmbBfDI hat daraufhin mehrfach Kontakt mit Clearview aufgenommen und versucht Informationen zum Geschäftsmodell sowie zu den Umständen, die der Beschwerde zugrunde liegen, zu erhalten. Diese Fragen wurden ausweislich der Pressemitteilung des HmbBfDI nicht zufriedenstellend beantwortet.

Clearview stellte sich auf den Standpunkt, dass die DSGVO auf die von Clearview betriebene Datenverarbeitung keine Anwendung finde, weshalb auch keine Pflicht zur Beantwortung der Fragen des HmbBfDI bestehe.

Dem widerspricht der HmbBfDI. Der Anwendungsbereich der DSGVO sei sehr wohl eröffnet und Clearview somit zur Auskunft verpflichtet. Aufgrund des nunmehr erlassenen Bescheids ist das US-Unternehmen verpflichtet bis Mitte September Auskunft zu erteilen. Für den Fall der Weigerung wurde ein Zwangsgeld in Höhe von je 10.000€ für jeden Einzelfall der insgesamt siebzehn Fragekomplexe angeordnet.

Casper führt dazu aus:

„Geschäftsmodelle, die darin bestehen, massenhaft und anlasslos Bilder im Netz zu sammeln und die Gesichter von Personen durch biometrische Analyse identifizierbar zu machen, gefährden die Privatsphäre im globalen Maßstab. Zum Schutz Betroffener unter der EU-Grundrechtecharta müssen sie anhand der Datenschutzgrundverordnung kontrolliert, reguliert und nötigenfalls gestoppt werden. In Europa darf es keinen Raum für düstere digitale Dystopien geben, in denen der Einsatz von Gesichtserkennungssoftware und biometrische Datenbanken staatlichen, aber auch privaten Stellen eine neue, kaum mehr kontrollierbare Form der Herrschaft über Menschen verschafft. Die Datenschutzaufsichtsbehörden haben den Auftrag, hierüber zu wachen. Das gilt auch gegenüber Unternehmen, die entsprechende Geschäftszwecke von außerhalb der EU verfolgen und damit die Privatsphäre und die informationelle Selbstbestimmung von Menschen in der EU in Frage stellen. Um eine datenschutzrechtliche Kontrolle zu ermöglichen, gehe ich davon aus, dass Clearview die dem Unternehmen gestellten Fragen beantworten oder zumindest gegen den Heranziehungsbescheid Rechtsmittel einlegen wird, um so eine rechtliche Entscheidung zu ermöglichen.“

Südwales: Einsatz von Gesichtserkennung durch Polizei ist unzulässig

12. August 2020

Die Beschwerdeführer, ein Bürgerrechtler aus Cardiff und die Organisation „Liberty“ erhoben Beschwerde wegen Nutzung von automatischer Gesichtserkennungssoftware durch die South Wales Police (SWP). Die SWP setzte seit Mai 2017 die Software „AFR Locate“ zur Gesichtserkennung bei ihren Einsätzen ein. Mit Hilfe der Software konnte die Polizei bei öffentlichen Veranstaltungen und anderen Einsätzen anwesende Personen mit denen auf einer selbständig angelegten Gefährder-Liste („Watchlist“) abgleichen. Die Software ist in der Lage 50 Gesichter pro Sekunde zu scannen. Bei den 50 Einsätzen in den Jahren 2017 und 2018 wurden schätzungsweise 500.000 Gesichter gescannt und abgeglichen. Bei zwei öffentlichen Veranstaltungen war auch einer der Beschwerdeführer anwesend und fühlte sich durch Aufnahmen in seinem Recht auf Achtung des Privatlebens nach Art. 8 Abs. 2 Europäische Menschenrechtskonvention (EMRK) verletzt. Außerdem kritisierte er, dass datenschutzrechtliche Vorgaben beim Einsatz nicht eingehalten wurden.

Das Berufungsgericht gab den Beschwerdeführern Recht und befand, dass die Nutzung der Gesichtserkennungssoftware in dem konkreten Fall gegen das Gesetz verstößt. Als Begründung führte das Gericht auf, dass der Einsatz zwar grundsätzlich verhältnismäßig sei. Der Ermessensspielraum der Polizeibeamten sei jedoch zu groß, als dass sie den in Art. 8 Abs. 2 EMRK geforderten Standard erfüllen könnten. So gebe es weder eine klare Regelung, wo die Software eingesetzt wird, noch wer auf die „Watchlist“ gesetzt werden dürfe. Darüber hinaus sei die Datenschutzfolgenabschätzung für den Einsatz der Software mangelhaft, weil sie die Verletzung von Art. 8 Abs. 2 EMRK nicht berücksichtige. Zudem bestünden Zweifel, dass die Polizeibehörde angemessene Schritte unternommen hätte, um sicherzustellen, dass die Gesichtserkennungssoftware keinen geschlechtsspezifischen oder rassistischen Bias habe.

PimEyes – Gesichtserkennung für jeden?

6. August 2020

Bereits im Januar haben wir über das Unternehmen Clearview berichtet. Dessen Geschäftsmodell ist es, frei öffentlich zugängliche Fotos im Internet zu sammeln und in einer Datenbank zusammenzufassen. Dabei greift es unter anderem auf Fotos von Facebook, Instagram und YouTube zurück. Die dabei gesammelten Daten hat Clearview an Unternehmen und Behörden weiterverkauft. Nun hat ein weiteres Start-Up-Unternehmen dieses Geschäftsmodell aufgegriffen. Dafür hat das Unternehmen PimEyes eine Suchmaschine für Gesichtserkennung erstellt.

Im Gegensatz zu Clearview ist PimEyes für jeden zugänglich. PimEyes durchsucht massenhaft Gesichter im Internet nach individuellen Merkmalen und speichert deren biometrische Daten. Der Nutzer kann ein Foto hochladen, was mit gespeicherten Bildern abgeglichen wird. Die Datenbank soll mittlerweile 900 Millionen Gesichter umfassen.

Das Geschäftsmodell ist aus datenschutzrechtlicher Perspektive äußerst bedenklich. Zum einen haben die auf den Fotos gespeicherten Personen keine Einwilligung in die weitere Verarbeitung ihrer Fotos gegeben, als sie diese auf Social Media-Plattformen hochgeladen haben. Ebenso wenig sind sie von PimEyes diesbezüglich gefragt worden.

Des Weiteren ist es möglich, so an Informationen zu Personen gelangen, die man sonst nicht erfahren würde. Zum Beispiel ließe sich so feststellen, was für Freizeitinteressen die Person hat oder welche Veranstaltungen diese Person besucht hat. Daraus ließe sich ableiten, welche politischen Ansichten oder persönliche Neigungen diese Person hat.

Der Dienst kann in der Tat für Personen hilfreich sein, die nicht für die Öffentlichkeit bestimmte Fotos oder Videos von sich aufspüren möchten. Mit dem Dienst von PimEyes lassen sich die dazugehörigen Webseiten finden, so dass man gegen die Veröffentlichungen vorgehen kann. Auch lässt sich ein Alarm einstellen, der über neu hochgeladene Bilder und Videos informiert.

Nach massiver Kritik hat PimEyes seine Suchmaschine eingeschränkt. War es zuvor möglich, beliebige Fotos hochzuladen und mit der Datenbank abzugleichen, kann man aktuell nur ein Foto mit der eigenen Webcam am PC erstellen und mit im Internet kursierenden Aufnahmen vergleichen.

Biometrischer Massenabgleich verboten?

18. Dezember 2018

Der Hamburger Datenschutzbeauftragter, Johannes Caspar, hat der Polizei verboten, einen weiteren biometrischen Massenabgleich von Gesichtsdaten im Rahmen der Suche nach G20-Randalierern zu machen.

Nachdem in Hamburg vor eineinhalb Jahren die Krawalle beim G20-Gipfel stattgefunden hatten, hatten Polizei und Staatsanwaltschaft eine große Datenbank mit Foto- und Videoaufnahmen aus diversen Quellen zusammengetragen, die im gesamten Stadtgebiet entstanden sind. In dieser Datenbank soll mit einer speziellen Software zur Gesichtserkennung nach Verdächtigen gesucht werden, um diesen bestimmte Straftaten nachweisen zu können.

Caspar kritisiert seit längerem den automatischen Gesichtsabgleich als rechtsstaatlich unzulässig. Nach Aussagen von Caspar enthält die Datenbank neben polizeieigenem Bildmaterial von Einsätzen auch Videoaufzeichnungen aus Bussen, Bahnen und Bahnhöfen sowie von Medien veröffentlichtes Material. Auch enthalten seien private Aufnahmen von Smartphones, die Bürger über ein von der Polizei eingerichtetes Portal zur Verfügung stellten. Insgesamt handelt es sich um ca. 32. 000 Video- und Bilddateien (Stand August 2018).

Das Verfahren zur Identifikation der Verdächtigen greife “erheblich in die Rechte und Freiheiten einer Vielzahl Betroffener” ein. Es wären massenhaft Personen betroffen, die nicht tatverdächtig sind und dies zu keinem Zeitpunkt waren.

Nach Caspar gibt es in Deutschland kein Gesetz, ” das Strafverfolgungsbehörden erlaubt, Massen von Video- und Bildsequenzen aus ganz unterschiedlichen zeitlichen und örtlichen Bezügen zu sammeln und biometrische Gesichts-IDs von abgebildeten Personen ohne Tatverdacht zu erstellen, für unbestimmte Zeit zu speichern und wiederholt mit Gesichtern von einzelnen Tatverdächtigen abzugleichen”.

Am Dienstag erließ Caspar eine entsprechende Anordnung und forderte den Innensenator Andy Grote (SPD) auf, die Datenbanken löschen zu lassen. Gegen diese Anordnung kann der Innensenator vor dem Verwaltungsgericht Hamburg Klage erheben.

Ob diese Anordnung Erfolg haben wird, bleibt abzuwarten.