Die Medien haben über Clearview berichtet. Das Unternehmen hat aus öffentlich verfügbaren Quellen eine Unzahl an Bildern von Personen„abgesaugt“, eine Datenbank erstellt und kann nun anhand von anderen Bildern, die zur Verfügung gestellt werden, die abgebildeten Personen identifizieren. Dieses „Wissen“ stellt das Unternehmen Strafverfolgungs- und anderen Behörden zur Verfügung.

 

 

 

Medienberichte und Sonstige Aufreger.

 

 

Die New York Times hat die Tätigkeit von Clearview öffentlich gemacht, und auch in deutschen Medien wurde darüber berichtet:

 

 

-         Die Welt (online) am 21.1.2020: US-Firma sammelt drei Milliarden Bilder von Menschen aus dem Internet

 

 

• - Zeit online am 5.2.2020: Clearview: Der Mann mit den drei Milliarden Gesichtern:

 

„Clearviews Geschäftsmodell besteht darin, jeden Menschen binnen Sekunden identifizierbar zu machen – über ein Foto, das man in eine App hochlädt. Dieses Bild wird mit Milliarden anderen Fotos von Menschen abgeglichen, die das Unternehmen im Internet zusammengesucht und in einer Datenbank gesammelt hat: von Facebook, YouTube, Twitter und vielen anderen Seiten. Noch verkauft Clearview seine Gesichtserkennungs-App nur an Strafverfolgungsbehörden und ein paar wenige Privatfirmen; die breite Öffentlichkeit kann keine Fotos mit der Datenbank abgleichen.“

 

 

 

Österreichbezug

 

In Österreich führte die Art und Weise der Verarbeitung der Bilder sogar zu einer paralamentarischen Anfrage des SPÖ-Sicherheitssprechers Einwallner an Innen-, Justiz-, Verteidigungs- und Verkehrsministeriums nachdem bekannt wurde, dass Clearview die Kundenliste abhanden gekommen sein soll. In der APA-Nachricht wird auch thematisiert, dass auch Österreich zu den Kunden von Clearview gehören könnte.

 

Der Standard berichtete am 28.02.2020, dass auch Europäische Kunden von Clearview Daten erhalten hätten, wobei dazu auf einen Bericht auf Buzzfeed verwiesen wird, der sich mit der Kundenliste von Clearview beschäftigt.

 

 

 

Bildverarbeitung und Rechtsgrundlage.

 

Nach der DSGVO, die auch für Organisationen außerhalb der EU gilt, die Daten von EU-Bürgern verarbeiten, gibt es für die Verarbeitung von personenbezogenen Daten sechs verschiedene Rechtsgrundlagen (siehe Art 6 DSGVO).

 

Da zwischen Clearview und den betroffenen Personen keine vertragliche Grundlage besteht und die betroffenen Personen auch keine Einwilligung erteilt haben, ist die einzige mögliche Grundlage, die herangezogen werden kann mE das „berechtigte Interesse“ iSd Art 6 Abs 1 lit f DSGVO.   

 

Privacy Notice von Clearview mit wenig Bezug auf Fotos.

 

Clearview stellt auf der Website eine Datenschutzinformation zur Verfügung, und beschreibt in dieser so einiges, aber bezieht sich dabei mE ausschließlich auf die Nutzer der Website und die Nutzer des Services von Clearview, beschreibt jedoch das eigentliche Geschäftsmodell darin nicht.

 

 

Bezüglich der Fotos finden sich darin folgende Passagen in der Datenschutzinformation (Übersetzungen von dataprotect):

 

 

What data do we collect? Welche Daten erheben wir?

 

We collect several types of information for our business operations, including:
Wir erheben unterschiedliiche Datenkategorien für unsere Geschäftstätigkeit, insbesondere:

 

 

Publicly available images: Clearview uses proprietary methods to collect publicly available images from various sources on the Internet.

Öffentlich verfügbare Bilder: Clearview verwendet urheberrechtlich geschützte Methoden um öffentlich verfügbare Bilder von unterschiedlichen Quellen über das Internet

 

 

 

Why do we collect data and how do we use it?
Warum erheben wir Daten und wie verwenden wir diese?

 

 

Clearview collects publicly available images and shares them, along with the source of the image, in a searchable format with our users, who are all law enforcement, security and anti-human trafficking professionals in the United States. This enables users to:
Clearview erhebt öffentlich verfügbare Bilder und stellt diese, gemeinsam mit der Quelle des Bildes, in einem durchsuchbaren Format den Nutzern, wobei es sich um Professionisten aus dem Bereich Strafverfolgung, Sichereit und Menschenhandelt in den USA handelt. Dies ermöglicht den Nutzern:

 

Facilitate law enforcement investigations of crimes
Die Erleichterung der strafrechtlichen Ermittlungen bei Straftaten

Investigate and prevent fraud and identity theft        
Die Untersuchung und Verhinderung von Betrug und Identitätsdiebstahl

 

Clearview does not compile, analyze, combine with other data, or otherwise process the images we collect in order to link them to real persons on behalf of users.
Clearview kompiliert, analysiert, kombiniert, verarbeitet oder verarbeitet die von gesammelten Bilder nicht auf andere Weise, um sie im Namen der Nutzer mit realen Personen zu verknüpfen.

 

In der Datenschutzinformation weist Clearview auch auf die Rechte nach der DSGVO, wie Auskunft, Berichtigung, Einschränkung etc.. ausdrücklich hin und ermöglicht auch, Datenschutzanfragen über eine spezielle E-Mail-Adresse zu stellen.

 

Auskunftsanfrage.

 

Dataprotect hat am 21.1.2020 eine Auskunftsanfrage iSd Art 15 DSGVO gestellt, und für den Abgleich mit der Datenbank auch ein Foto sowie die Kopie eines Identitätsnachweises zur Verfügung gestellt.

 

 

Die erste Reaktion war eine Rückmeldung am 30.1.2020:

 

Hello,

 

You are receiving this email as a response to your request for data access.

 

Attached is a .PDF file that contains any search results relevant to you that are generated by Clearview search, based on the image that you provided us.

 

The images you shared to facilitate this request have been deleted.

 

 

Clearview hat Dr. Thomas Schweiger also in der Datenbank gefunden, und auch die Fotos zur Verfügung gestellt, aber die Fotos auch unmittelbar gelöscht.

 

 

Am 18.02.2020 hat dataprotect Clearview darauf hingewiesen, dass die Aufkunft unvollständig ist, und gleichzeitig mitgeteilt, dass es zu einem Beschwerdeverfahren kommen wird.

 

 

Die Reaktion von Clearview war, dass am 20.02.2020 noch einmal die gleiche Nachricht wie am 30.01.2020 gesendet wurde, und wieder behauptet wurde, dass die Fotos gelöscht wurden.

 

 

Am 20.02.2020 erhielt dataprotect folgende Nachricht von Clearview, obwohl es nie eine Löschungsanfrage gegeben hat:

 

 

Hello Dr. Schweiger, 

 

Removal requests and access requests are processed separately. Your access request was processed at the time we sent you the previous email, and your removal request has now been processed. Images of you will no longer appear in Clearview's search results.

 

 

 

Fazit:

 

Clearview hat das Auskunftsbegehren nicht ordnungsgemäß beantwortet, und die Daten „gelöscht“, konnte hat aber bei einem zweiten E-Mail die Daten noch einmal zur Verfügung gestellt. Dataprotect wird sich wohl an die DSB wenden, um die Angelenheit zu klären, auch im Hinblick auf die Frage, der Zulässigkeit der Verarbeitung der Daten.

 

 

Musterauskunfts- und Löschungsersuchen.

 

Jede Person, die denkt, dass Daten (Bilddaten) von Clearview erhoben und verarbeitet werden, kann bei Clearview einerseits ein Auskunftsersuchen stellen und andererseits auf die Löschung der Daten dringen, wenn dies gewünscht ist.

 

 

Um Auskunft zu erhalten oder andere Rechte nach der DSGVO durchsetzen zu können, ist es notwendig, dass die anfragende Person sich identifiziert (mit einer„entwerteten“ Ausweiskopie), und ein Referenzbild zur Verfügung stellt.

 

 

Hier ein Mustertext für ein Auskunftsersuchen gem. Art 15 DSGVO, wobei Sie nicht vergessen sollten, den Ausweis, den Sie zur Verfügung stellen, als Kopie zu kennzeichnen:

 

 

Dear Sirs, Dear Madams,

 

I am ………………..  and provide you in the enclosure with a copy of my id and a headshot  for identification purposes only. I am hereby requesting access according to Article 15 GDPR.

 

Please confirm whether or not you are processing my personal data (as defined by Article 4(1) and (2) GDPR).

 

In case you are, I am hereby requesting access to the following information pursuant to Article 15 GDPR:

 

·      all personal data concerning me that you have stored;

 

·      the purposes of the processing;

 

·      the categories of personal data concerned;

 

·      the recipients or categories of recipient to whom the personal data have been or will be disclosed;

 

·      where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period;

 

·      where the personal data are not collected from the data subject, any available information as to their source;

 

·      the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) GDPR and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for me.

 

 

 

Additionally I request that you provide me with a copy of the data stored (see Art 15 (3) GDPR).

 

If you are transferring my personal data to a third country or an international organisation, I request to be informed about the appropriate safeguards according to Article 46 GDPR concerning the transfer.

 

My request explicitly includes any other services and companies for which you are the controller as defined by Article 4 (7) GDPR.

 

As laid down in Article 12 (3) GDPR, you have to provide the requested information to me without undue delay and in any event within one month of receipt of the request. According to Article 15 (3) GDPR, you have to answer this request without costs for me.

 

 

 

If you do not answer my request within the stated period, I am reserving the right to take legal action against you and to lodge a complaint with a competent supervisory authority.

 

I would kindly ask you to confirm the receipt of this request by a return email to [email-adress] quoting this email.

 

 

 

Yours sincerely,

 

 

 

Ein Löschungsersuchen gem. Art 17 DSGVO könnte wie folgt lauten:

 

 

Dear Sirs, Dear Madams,

 

I am ………………..  and provide you in the enclosure with a copy of my id and a headshot  for identification purposes only. I am hereby requesting deletion of the my personal data procesed by you according to Article 17 GDPR.

 

There is no lawful basis for processing my data, and therefor the data is to be deleted.

 

Additonally I am requesting proof or deletion.

 

If you do not process data reagard me, I request a confirmation of this fact.

 

Yours sincerely,

 

 

 

 

 

01.03.2020, Autor:

Michael Schweiger, zert. DSBA