Die Iris-Scan-Identitätstechnologie World wurde in einigen europäischen Ländern aus Datenschutzgründen bereits verboten.
World, ein von Sam Altman von OpenAI mitbegründetes Projekt zur Identifizierung biometrischer Daten, wurde mitgeteilt, dass es nicht den europäischen Datenschutzbestimmungen entspreche, und wurde mit einer Korrekturmaßnahme belegt.
Das Unternehmen, früher bekannt als Worldcoin, scannt Iris und Gesichter und nutzt diese Daten, um ein Mittel zur persönlichen Identifizierung zu erstellen, das für Online-Aktivitäten verwendet werden kann und beweist, dass der Benutzer ein Mensch und kein Bot mit künstlicher Intelligenz (KI) ist.
Das in San Francisco ansässige Unternehmen Tools for Humanity baut die Technologie von World, bei der es sich um ein kugelförmiges Gerät namens „Orb“ handelt, das die Augen scannt. Der europäische Hauptsitz und die Produktionsstätte von World befinden sich jedoch im deutschen Bundesland Bayern.
Die deutsche Datenschutzbehörde, das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), hat am Donnerstag eine monatelange Untersuchung gegen World abgeschlossen und festgestellt, dass deren Identifizierungsverfahren „eine Reihe grundlegender Datenschutzrisiken für eine Vielzahl von Daten mit sich bringt“. Personen“, die nicht der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union entsprechen.
Die Behörde hat Word angewiesen, ein Datenlöschungsverfahren einzuleiten, das den DSGVO-Regeln entspricht.
„Mit der heutigen Entscheidung setzen wir europäische Grundrechtsstandards zugunsten der betroffenen Personen in einem technologisch anspruchsvollen und rechtlich hochkomplexen Fall durch“, sagte BayLDA-Präsident Michael Will.
„Alle Nutzer, die ‚Worldcoin‘ ihre Irisdaten zur Verfügung gestellt haben, haben künftig die uneingeschränkte Möglichkeit, ihr Recht auf Löschung durchzusetzen“, fügte er in einer Stellungnahme hinzu.
World hat gegen die Entscheidung Berufung eingelegt und die Regulierungsbehörden aufgefordert, gerichtliche Klarheit darüber zu schaffen, ob die von World Network eingesetzten Prozesse und insbesondere die Privacy Enhancing Technologies (PETs) der gesetzlichen Definition für Anonymisierung in der EU entsprechen.
Damien Kieran, Chef-Datenschutzbeauftragter von Tools for Humanity, sagte gegenüber The European Circle Next, dass Michael Will „zwischen einem Felsen und einem harten Ort feststeckt“.
„Ich möchte ihm (Will) keine Worte in den Mund legen, aber ich denke, er denkt, dass wir technisch gesehen etwas ziemlich Gutes gemacht haben, aber ich denke, er steht unter großem Druck, weil ich denke, dass es ein kompliziertes Umfeld ist, ein leitender Vorgesetzter zu sein „Ich habe derzeit keine Autorität in der EU“, sagte Kieran.
Kieran sagte, dass Datenanonymisierung und Datenlöschung „wesentlich dafür sind, dass Menschen sich online als Mensch verifizieren und gleichzeitig völlig privat bleiben können“.
„Ohne eine klare Definition der Anonymisierung verlieren wir jedoch unser vielleicht mächtigstes Instrument im Kampf um den Schutz der Privatsphäre im Zeitalter der KI“, fügte er hinzu.
Wie es funktioniert
Kieran sagte auch, dass der Zeitraum, auf den sich die BayLDA bezieht, eine Zeit ist, in der World Iris-Codes sammelte und in einer Datenbank speicherte, was nach Angaben der Behörde nicht DSGVO-konform war.
„Das machen wir nicht mehr“, sagte er gegenüber The European Circle Next.
Kieran sagte, dass World nun nicht mehr Eigentümer der durch die Iris-Codes bereitgestellten personenbezogenen Daten sei und diese aus ihren Systemen gelöscht würden. Was passiert, ist, dass ein kryptografisches Protokoll angewendet wird, sodass der Code zerschnitten wird, um drei neue Codeteile zu erstellen.
Diese drei Codes, die äußerst schwer zu knacken sind, werden dann in Datenbanken gespeichert, die Eigentum Dritter sind, darunter die Universität Berkeley, Zürich, die Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) und NeverMind.
World ist derzeit in Argentinien, Österreich, Chile, Kolumbien, Ecuador, Deutschland, Japan, Mexiko, Peru, Polen, Singapur, Südkorea und den USA verfügbar.
Kieran sagte, dass man plant, die Technologie später in Irland, Großbritannien, Frankreich und Italien einzuführen.
Das Unternehmen hofft auch, Spanien und Portugal zu erreichen. Allerdings haben beide Länder Anfang des Jahres als Reaktion auf Beschwerden über den Datenschutz vorübergehende Verbote für World erlassen.