Von Nutzern selbst hochgeladene Inhalte, die im Internet öffentlich zugänglich sind, sind keine „datenschutzfreien“ Daten. Nur weil Daten öffentlich zugänglich sind, stehen sie nicht zur freien Nutzung bereit. Das hat das Unternehmen Clearview AI nun auch in den USA anerkennen müssen.
Auf EU-Ebene scheint sich gegenüber einer automatisierten Gesichtserkennung eine gewisse Skepsis zu manifestieren.
(Bild: DedMityay - stock.adobe.com)
Clearview AI, mit Sitz in den USA, stellt einen hochqualifizierten Suchdienst bereit. Das Unternehmen extrahiert öffentlich zugängliche personenbezogene Daten wie Bilder und Videos aus sozialen Netzwerken, Nachrichtenportalen, Fahndungswebsites und anderen offenen Quellen und speist sie in ihre Datenbank ein. Mittels KI (Künstliche Intelligenz) werden Profile auf der Grundlage biometrischer Daten erstellt, die auf dem öffentlich zugänglichen Video- und Bildmaterial basieren und durch zusätzliche Informationen wie Geo-Daten angereichert werden.
Das Unternehmen nutzt dabei eine KI-gestützte biometrische Gesichtserkennungssoftware und erstellt eine digitale Darstellung der Gesichtsmerkmale. Mit den hinzugefügten Geo-Daten kann die Suchmaschine eine Person anhand ihres Fotos in der riesigen Datenbank finden. Der Datenbestand beläuft sich nach Angaben von Clearview AI auf über 10 Mrd. Dateien.
In einer juristischen Auseinandersetzung mit Clearview AI hat die US-Bürgerrechtsorganisation ACLU (American Civil Liberties Union) nun einen Erfolg errungen. Im Jahr 2020 hatte die ACLU eine Klage eingereicht und Clearview AI vorgeworfen, gegen Gesetze in Illinois zu verstoßen, nach denen private Unternehmen ohne Einwilligung der Personen keine biometrischen Daten sammeln oder verwenden dürfen. Clearview AI hat nun unter dem Druck des Verfahrens einem Vergleich zugestimmt, der besagt, dass Clearview AI seine Gesichtsdatenbank den meisten privaten Einrichtungen und anderen privaten Einrichtungen in den USA nicht mehr zugänglich machen darf, weder kostenlos noch gegen Geld.
Die Vereinbarung entfaltet über Illinois hinaus für die gesamte USA Wirksamkeit. Staatliche Organisationen dürfen Clearviews App jedoch weiter verwenden – außer in Illinois. Dort gilt für einen Zeitraum von fünf Jahren ein Verbot des Verkaufs der App an Strafverfolgungs- und Polizeibehörden.
Welche Bedeutung hat die Entscheidung über die USA hinaus?
Die Entscheidung liegt auf der Linie einer Reihe von aufsichtsrechtlichen und auch gerichtlichen Verfahren, die bereits in der Vergangenheit weltweit gegen die wirtschaftliche Verwertung biometrischer Gesichtserkennungsmethoden angestrengt wurden. So gibt es nicht nur in Europa Bestrebungen, derartigen Geschäftsmodellen ihre Schranken aufzuzeigen, sondern etwa auch in Kanada oder Australien, wo die Datenschutzbehörden Clearview AI zur Löschung aller Daten und zum Einstellen ihrer Tätigkeit aufgefordert hatten.
Wie ist die Rechtslage in Deutschland und Europa?
Die datenschutzrechtlichen Aufsichtsbehörden in Europa vertreten eine weitgehend einheitliche Auffassung. Clearview AI könne sich weder für das Web Scraping noch für die weiteren Datenverarbeitungen auf eine Rechtsgrundlage stützen. Da etwa Nutzer von Instagram, Facebook, LinkedIn oder anderen sozialen Netzwerken nicht vor dem Zugriff auf ihre Daten nach einer Einwilligung in die Datenverarbeitung durch Clearview AI gefragt worden sind, komme als Rechtsgrundlage allenfalls das sogenannte „berechtigte Interesse“ nach Maßgabe von Art. 6 Abs. 1 S. 1 lit. f DSGVO in Betracht.
Kein berechtigtes Interesse im Sinne des Datenschutzes von Clearview AI
Als berechtigtes Interesse führt Clearview AI unter anderem das Interesse der effektiven Strafverfolgung an. Es darf jedoch bezweifelt werden, ob die einfachere Strafverfolgung aus altruistischen Motiven tatsächlich das originäre Interesse von Clearview AI ist. Dementsprechend kommen die Aufsichtsbehörden auch zu dem Schluss, dass jedenfalls kein überwiegendes berechtigtes Interesse ersichtlich sei.
Verletzung weiterer Grundsätze des Datenschutzrechts
Die Datenschutzbehörden gehen ferner davon aus, dass wegen des Fehlens einer Rechtsgrundlage ein Verstoß gegen das Rechtmäßigkeitsprinzip nach Art. 5 vorliege. In der fehlenden Informierung der betroffenen Personen darüber, dass ihre Daten durch Clearview AI verarbeitet worden sind, liege zudem ein Verstoß gegen Transparenzpflichten. Außerdem verstoße Clearview AI gegen den Zweckbindungsgrundsatz, weil das Unternehmen Daten zu anderen als den ursprünglichen Zwecken verarbeitete, verwendete und speicherte. Nutzer sozialer Netzwerke, die Bilder oder Videos hochladen, erwarteten vernünftigerweise nicht, dass ihre Daten zum Zwecke der Strafverfolgung- und prävention gespeichert werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Vorgehen der Datenschutzbehörden
Nachdem bereits die kanadische, australische und französische Datenschutzbehörde Clearview AI zur Löschung aller Daten und zum Einstellen seiner Tätigkeit aufgefordert hatten, hat im März 2022 auch die italienische Datenschutzbehörde ein Bußgeld in Höhe von 20 Mio. EUR gegen Clearview AI verhängt. Eine weitere, ähnliche Entscheidung wird für Österreich erwartet.
Gibt es einen Schutz vor Gesichtserkennungssoftware?
Vermutlich gibt es nur einen sicheren Weg, sich vor Gesichtserkennung in sozialen Netzwerken schützen: Man verzichtet auf die Teilnahme an sozialen Netzwerken oder teilt dort keine Fotos. Für viele wird das keine echte Option sein.
Möglicherweise können auch Filter gegen Überwachung helfen. Auf dem Markt sind einige Softwaretools, die versprechen, den Nutzern wieder ein bisschen Kontrolle zurück zu geben. Die Programme versehen die Fotos mit Hintergrund-Artefakten, die KI-Modelle zur Bilderkennung in die Irre führen.
Ausblick
Es ist zu erwarten, dass auf längere Sicht eindeutigere gesetzliche Regulierungen greifen werden. Bis dahin werden Unternehmen die Grauzonen jedoch weiter nutzen. Auf EU-Ebene scheint sich jedenfalls gegenüber einer automatisierten Gesichtserkennung eine gewisse Skepsis zu manifestieren. Der gegenwärtigen Entwurf der einer neuen EU KI-Verordnung lässt sich so interpretieren. Darin ist ein Verbot der Verwendung biometrischer Echtzeit-Identifizierung in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken vorgesehen. Eine Reihe von Ausnahmen sind darin jedoch vorgesehen, über die sicherlich weiter intensiv diskutiert werden wird.
Über den Autor: Dr. Thomas Fischl ist Rechtsanwalt und Partner der globalen Wirtschafts- und Anwaltskanzlei Reed Smith und Mitglied der Entertainment & Media Group. Als anerkannter Experte auf dem Gebiet des Rechts der Informationstechnologie berät er deutsche und internationale Unternehmen zu allen rechtlichen Fragestellungen rund um Digitalisierung, Digital Media, IoT, Virtual Reality, Social Media und Data Economy. Regelmäßig beschäftigt er sich mit Themen wie Datenschutz, Cybersecurity, Risk Management und Compliance.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/4d/0d/4d0d39e269de9de8f4e42006ec3bec1e/0128602505v2.jpeg "Die Führungsetage ist verantwortlich für das Risikomanagement. Sie muss die potenziellen Bedrohungen verstehen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren und die Resilienz des Unternehmens zu stärken. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/80/d2/80d2f021fd7b857615cdc90ea6ec40ff/0128893725v1.jpeg "In dieser Folge von IT ImPuls sprechen Natalie Forell und Mihriban Dincel über das brisante Thema NIS2. (Bild: Carin Böhm )")
:quality(80)/p7i.vogel.de/wcms/b0/87/b08746321b6cfef57c5bff16ab6994e2/0128603799v2.jpeg "Künstliche Intelligenz verändert Arbeitsprozesse und Kompetenzanforderungen in immer mehr Berufsgruppen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/be/03/be03b4159ffcde7c26d822dc13537ee6/0128018541v1.jpeg "Enthalten KI-Modelle Sicherheitslücken, können sie durch Prompt-Injection-Angriffe dazu gebracht werden, versteckte Befehle auszuführen, Sicherheitsmechanismen zu umgehen und dabei unbemerkt persönliche Daten, gespeicherte Chats und andere sensible Informationen preiszugeben. (©Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/ed/4aedcc54c3302939b1296a75a80dcf02/0128867288v1.jpeg "Eine ganze Reihe neuer Gaming-Notebooks aus den Serien Raider, Stealth und Crosshair stellte MSI auf der CES in Las Vegas vor, teilweise mit Intels Panther-Lake-Prozessor. (Bild: MSI)")
:quality(80)/p7i.vogel.de/wcms/37/7f/377f9576a9914d8619e67ece12968cc2/0128602629v2.jpeg "Die Bedrohungslage verschärft sich weiter. MSP und Systemhäuser müssen 2026 laut Riedel verstärkt auf automatisierte und ganzheitliche Sicherheitslösungen setzen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/2d/b0/2db024a7c100b93fe4e2183a526c4b1d/0128646643v2.jpeg "2026: KI denkt mit, handelt selbstständig – und verändert, wie wir arbeiten. (Bild: Reply)")
:quality(80)/p7i.vogel.de/wcms/9f/dd/9fdd85894bed1e083d823c08adbf0840/0128747016v2.jpeg "Das Unternehmen XGIMI präsentiert mit MemoMind seine erste KI-Brille. (Bild: © XGIMI )")
:quality(80)/p7i.vogel.de/wcms/db/b7/dbb7f1a221f31e00281e92dac2fb4e5c/0128874056v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/68/e6/68e65d6a3bdb7/1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers.png "1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers (www.mike-bergmann.com/hd-snt25)")
:quality(80)/p7i.vogel.de/wcms/a8/f7/a8f7b921dfc07af46b80f24119163765/0123745610v1.jpeg "Wer die KI DeepSeek nutzt, sollte sich früher oder später fragen: Was macht DeepSeek mit meinen Daten? (Bild: Viz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/f3/a6f353a9bf57dcd11ef373ba90eefa71/0127811672v1.jpeg "Die neuen Protokollierungspflichten des EU-KI-Gesetzes sollen KI-Systeme transparenter machen, erweitern aber zugleich die Angriffsfläche und stellen Sicherheitsarchitekturen auf die Probe. (Bild: © deimos.az - stock.adobe.com)")