#Datenschutz: LDI zu Clearview.ai – #Gesichtserkennung

Im Zusammenhang mit Clearview.ai hatte ich mich auch ans LDI gewandt. Jetzt bekam ich folgende Antwort:

Aufsicht nach Art. 58 der Europäischen Datenschutz-Grund­verordnung (Verordnung (EU) 2016/679, hier: DS-GVO) Datenverarbeitung durch das Unternehmen Clearview.AI (Sitz: New York/USA)

Sehr geehrter Herr Scharfenort,

für Ihr Bezugsschreiben danke ich Ihnen. Aufgrund der anhaltend erheblichen Arbeitsauslastung und personeller Engpässe komme ich erst heute dazu, Ihr Anliegen schriftlich zu beantworten. Ich bitte dafür um Verständnis.

Die Gesichtserkennungs-App bzw. -Software wurde in der Presse viel behandelt und stößt auch aus unserer Sicht auf große datenschutzrechtliche Bedenken. Insbesondere aufgrund der fehlenden Einwilligungen der erfassten und dadurch betroffenen Personen fehlt es nach meiner Auffassung an einer notwendigen Rechtsgrundlage für die Datenerhebung. Da die Erhebung der personenbezogenen Daten aus sozialen Netzwerken und somit nicht bei der betroffenen Person erfolgt, ist zudem eine Unterrichtung nach Art. 14 DS-GVO erforderlich.

Als Rechtsgrundlage ist nach meinem Dafürhalten auch Art. 6 Abs. 1 Unterabsatz 1 S. 1 lit. f DS-GVO ungeeignet, weil einerseits kein berechtigtes Interesse des Unternehmens Clearview AI erkennbar ist und andererseits ein großes Schutzinteresse für die betroffenen Personen besteht.

Auch der Europäische Datenschutzausschuss (EDSA) beschäftigt sich aktuell mit der Frage der Rechtmäßigkeit von Verarbeitungen durch diese Gesichtserkennungs-App bzw. -Software und sieht das ebenso kritisch. Es ist damit zu rechnen, dass der EDSA in naher Zukunft eine offizielle Erklärung dazu herausgeben wird.

Zudem hat sich auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kritisch zu dem Geschäftsmodell geäußert. Über nachfolgenden Link sind nähere Information dazu aufrufbar: https://www.heise.de/newsticker/meldung/Gesichtserkennung-Hamburgischer-Datenschuetzer-geht-gegen-Clearview-vor-4687290.html

Die LDI NRW wird dieses Thema weiterhin verfolgen. Da der Sitz in den USA liegt und die besagte App – soweit derzeit erkennbar – nicht (mehr) auf dem europäischen Markt abrufbar ist, fehlt mir die Kompetenz hier tätig zu werden.

Dennoch teile ich Ihnen gerne meine Einschätzung zu Ihren vier Fragen mit:

Zu 1.:
Unrechtmäßig erhobene Daten dürfen nicht verarbeitet werden und sind nach Art. 17 Abs. 1 lit. d) DS-GVO unverzüglich zu löschen. Dementsprechend können Sie selbstverständlich die Löschung unmittelbar mit Ihrem Auskunftsantrag beantragen. Es erfolgt dann zunächst eine Beauskunftung nach Art. 15 DS-GVO mit anschließender Löschung. Das setzt aber voraus, dass die Verarbeitung tatsächlich unrechtmäßig war und die Daten keinen gesetzlichen Aufbewahrungsfristen unterfallen. In der Praxis wird das zumeist zwischen dem Verantwortlichen und dem Betroffenen unterschiedlich gesehen.

Zu 2. und 3:
Sollte es tatsächlich so sein, dass mit dem einzelnen Foto auch Name und Wohnort gespeichert werden, teile ich Ihre Kritik, dass für ein Löschungsbegehren ein Foto von Ihnen eingesendet werden soll. Nach derzeitigem Kenntnisstand sind aber nur Fotos gespeichert, so dass die Suche nach Ihrem Foto denklogisch nur über ein weiteres Foto erfolgen kann. Ich gebe Ihnen vollends recht, dass das ein datenschutzrechtlich abzulehnendes Ergebnis ist, da – wie Sie selbst ausführen – das Foto mit biometrischen Daten hochsensibel ist. Letztlich fehlen uns hier aber – mangels Zuständigkeit – die näheren Einzelheiten zu diesem amerikanischen Geschäftsmodell.

Zu 4.:
Ich teile Ihre Einschätzung, dass die Identifikation mittels Foto ein Risiko enthält. Denn jemand könnte ein Foto von Ihnen aus dem Netz dazu missbrauchen, Auskunft über Sie zu erhalten. Deshalb wird grundsätzlich bei jedem Auskunftsbegehren nach Art. 15 DS-GVO eine sichere Identifikation gefordert (Art. 12 Abs. 6 DS-GVO). Um dann noch sicher zu gehen, dass die beauskunfteten Daten an die richtige Person gelangen, erfolgt eine Zusendung an die postalische Anschrift, die zuvor mit einer teilgeschwärzten Kopie des Personalausweises nachgewiesen wurde./blockquote>

Dieser Beitrag wurde unter Allgemeines, Grundrechte, Privatsphäre abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s