Datenschutz gilt auch für biometrische Überwachung aus dem Ausland

Die auf biometrische Massenüberwachung spezialisierte US-Firma Clearview AI hat vor einem britischen Gericht eine empfindliche Niederlage erlitten. Demnach gelten britische Datenschutzgesetze auch für Unternehmen, die nicht in Großbritannien ansässig sind und die ihre Dienste vorrangig ausländischen Behörden oder Unternehmen anbieten. Entsprechend ist die britische Aufsichtsbehörde ICO (Information Commissioner’s Office) zuständig und kann gegebenenfalls Strafen verhängen, urteilte das Berufungsgericht Upper Tribunal in der vergangenen Woche.

Das erst vor wenigen Jahren gegründete IT-Unternehmen hat laut eigener Aussage inzwischen mehr als 60 Milliarden Bilder von Gesichtern in eine durchsuchbare Datenbank gepackt. Dabei greift Clearview AI Quellen aus dem offenen Internet ab, darunter soziale Medien. Hinzu kommt sonstiges öffentlich zugängliches Bildmaterial, etwa Fahndungsfotos. Den Zugang zu der Gesichtserkennungsdatenbank bietet die Firma vor allem US-amerikanischen Behörden an, etwa lokalen Polizeien oder der Abschiebebehörde ICE. Für viele dieser Behörden gehört der Abgleich mit solchen Datenbanken inzwischen zum Alltag.

In Europa ist die Gesichtersuchmaschine hingegen unter starken Druck geraten. Unter anderem Italien und Frankreich haben Clearview AI wegen Datenschutzverletzungen zu millionenschweren Geldbußen verdonnert. Auch in Großbritannien hat ICO dem Anbieter im Jahr 2022 eine Buße von umgerechnet rund 8 Millionen Euro aufgebrummt und zudem angeordnet, Daten britischer Bürger:innen aus der Datenbank zu löschen. Der Anbieter habe ihre Daten ohne deren Wissen und Zustimmung massenhaft abgezogen, ausgewertet und kommerziell ausgeschlachtet, führte ICO damals aus.

Streit um Geltungsbereich von Datenschutzgesetzen

Gegen den Bescheid hatte sich Clearview AI juristisch gewehrt und konnte sich zumindest anfangs durchsetzen. So hatte die erste Instanz, das sogenannte First-tier Tribunal (FTT), der ICO-Behörde grundsätzlich das Recht abgesprochen, solche Urteile zu fällen. Zwar seien britische Bürger:innen womöglich der Überwachung ihres Lebens und ihres Verhaltens ausgesetzt. Jedoch falle die Datenverarbeitung des US-Unternehmens nicht in den Geltungsbereich des an die DSGVO der EU angelehnten britischen Datenschutzgesetzes, so das FTT.

Dieser Argumentation ist das Berufungsgericht nicht gefolgt und gab der Aufsichtsbehörde ICO in den relevanten Punkten recht. Dem Urteil zufolge steht die Verarbeitung personenbezogener Daten durch Clearview AI im Zusammenhang mit der Überwachung des Verhaltens von Einwohner:innen des Vereinigten Königreichs. Somit fällt dies in den Anwendungsbereich des britischen Datenschutzrechts, selbst wenn das Unternehmen seine Dienste für ausländische Strafverfolgungs- und Regierungsbehörden erbringt.

Das Urteil hat Präzedenzwirkung, allerdings kann Clearview AI noch in Berufung gehen. Derweil überwies das Upper Tribunal den Fall wieder zurück an das untergeordnete Gericht. Dieses muss den Fall erneut aufrollen und dabei berücksichtigen, dass die ICO-Aufsicht Geldbußen verhängen und sonstige Auflagen wie Löschanordnungen erteilen kann.

Unklare Lage in der EU

Der Klage gegen Clearview AI hatte sich die britische Menschenrechtsorganisation Privacy International angeschlossen. Der Programmdirektor Tom West begrüßt das Urteil: Nur weil ein Unternehmen mit ausländischen Strafverfolgungsbehörden oder nationalen Sicherheitsbehörden zusammenarbeite, könne es sich nicht dem Datenschutzrecht entziehen. „Es wäre ein massives Problem, wenn diese Behörden aufdringliche Datenverarbeitungen an private Akteure auslagern könnten, die nicht unter das Gesetz fallen“, so West.

Auseinandersetzungen rund um den Einsatz biometrischer Massenüberwachung könnten durchaus auch in der EU bevorstehen. Die im Vorjahr in Kraft getretene KI-Verordnung enthält zwar eine Reihe an Schutzvorkehrungen, räumt aber Ermittlungsbehörden Ausnahmen bei der biometrischen Identifikation ein. Sogar die als besonders gefährlich geltende Echtzeit-Überwachung ist nicht komplett verboten. Wie groß der Spielraum für EU-Behörden tatsächlich ist, bleibt allerdings noch unklar.

Genau das loten derzeit eine Reihe an EU-Ländern aus, darunter auch Deutschland. So will das Bundesinnenministerium die Hürden für den Einsatz von Gesichter-Suchmaschinen im Asylverfahren weiter senken. Zugleich sollen Bundeskriminalamt und Bundespolizei künftig kommerzielle Gesichtersuchmaschinen wie Clearview oder PimEyes im Polizeialltag nutzen können, geht es nach Innenminister Alexander Dobrindt (CSU). Auf der Wunschliste stehen zudem weitere Datenanalysetools, etwa Palantir aus dem Hause des Trump-Verbündeten Peter Thiel.

Gegen die Pläne regt sich zunehmend Widerstand aus der Zivilgesellschaft. Erst heute haben die Nichtregierungsorganisationen AlgorithmWatch, Amnesty International, der Chaos Computer Club und die Gesellschaft für Freiheitsrechte gemeinsam mit dem ehemaligen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, ihre Zweifel an deren Rechtmäßigkeit deutlich gemacht. In der vorliegenden Form wären die Gesetzentwürfe nicht mit EU-Recht vereinbar, so die Expert:innen.