Anthropic verlangt von ausgewählten Claude-Nutzern erstmals die Vorlage eines staatlichen Lichtbildausweises samt Selfie – ein Novum in der KI-Branche, das gerade für europäische Nutzer weitreichende Datenschutzfragen aufwirft.
Anthropic führt Ausweispflicht für Claude ein – Datenschutzfragen häufen sich
Wer zuletzt aus Datenschutzbedenken von ChatGPT zu Claude gewechselt ist, sieht sich nun mit einer neuen Anforderung konfrontiert: Anthropic hat damit begonnen, von bestimmten Nutzern eine Verifizierung per staatlichem Lichtbildausweis und Selfie zu verlangen. Das Unternehmen ist damit der erste große KI-Anbieter, der ein solches KYC-Verfahren (Know Your Customer) einführt.
Was Anthropic konkret verlangt
Die Identitätsverifikation wird über den Drittanbieter Persona abgewickelt und betrifft bislang offenbar nicht alle Nutzer gleichermaßen. Betroffene werden aufgefordert:
- einen Reisepass oder Personalausweis hochzuladen
- ein Selfie zur biometrischen Abgleichung einzureichen
Anthropic hat sich bisher nicht detailliert dazu geäußert, nach welchen Kriterien einzelne Accounts zur Verifikation aufgefordert werden oder wie lange die erhobenen Daten gespeichert werden.
Timing sorgt für Diskussionsbedarf
Der Schritt kommt zu einem bemerkenswerten Zeitpunkt. Im Zuge der öffentlichen Debatte um OpenAIs überarbeitete Datenschutzbedingungen hatten zahlreiche Nutzer in den vergangenen Wochen ChatGPT verlassen und Claude als Alternative gewählt – unter anderem mit dem expliziten Argument, Anthropic gehe sorgsamer mit persönlichen Daten um.
Die nun eingeführte Ausweispflicht dürfte dieses Bild zumindest teilweise korrigieren.
Anthropic positioniert sich seit der Gründung als auf Sicherheit und Vertrauenswürdigkeit ausgerichtetes Unternehmen. Die Einführung biometrischer Verifikationsverfahren passt konzeptionell zu einer Strategie, Missbrauch auf der Plattform zu reduzieren – wirft aber gleichzeitig Fragen auf, die das Unternehmen bislang nicht öffentlich beantwortet hat.
Regulatorischer Kontext und DSGVO-Relevanz
Für europäische und insbesondere deutsche Nutzer stellen sich damit konkrete rechtliche Fragen. Die Verarbeitung von Ausweisdokumenten und biometrischen Daten fällt unter die besonders sensiblen Datenkategorien gemäß Artikel 9 DSGVO.
Ob und wie Anthropic diese Anforderungen für europäische Nutzer erfüllt, ist derzeit unklar.
Der Einsatz eines US-amerikanischen Drittanbieters wie Persona für die Verarbeitung solcher Daten dürfte zudem Fragen zur Drittlandübermittlung aufwerfen. Grundsätzlich ist die Tendenz zu stärkerer Nutzeridentifikation bei KI-Plattformen kein Einzelfall: Behörden und Regulierer in der EU diskutieren im Rahmen des AI Acts ebenfalls, welche Anforderungen an die Nutzerverifizierung bei Hochrisiko-KI-Systemen gestellt werden sollten.
Breiteres Muster in der KI-Branche
Anthropic ist nicht das einzige Unternehmen, das sich in Richtung stärkerer Zugangskontrolle bewegt. Der kommerzielle Druck, Plattformen vor automatisiertem Missbrauch zu schützen, wächst mit der Verbreitung leistungsfähiger Sprachmodelle. KYC-Verfahren, bislang vor allem aus dem Fintech- und Krypto-Bereich bekannt, halten zunehmend Einzug in die KI-Infrastruktur.
Einordnung für deutsche Unternehmen
Unternehmen, die Claude im Rahmen ihrer Prozesse einsetzen oder evaluieren, sollten die Entwicklung genau beobachten. Sobald eine Ausweispflicht auch für API-Zugänge oder Business-Accounts verbindlich wird, entstehen neue Compliance-Anforderungen. Konkret empfehlenswert:
- Vertragliche Vereinbarungen mit Anthropic auf Auftragsverarbeitungsklauseln prüfen
- Datenschutzbeauftragte frühzeitig einbinden
- Weitergabe von Mitarbeiterdaten an Drittanbieter außerhalb der EU bewerten
Die Frage, welche Daten KI-Plattformen über ihre Nutzer erheben dürfen, wird in den kommenden Monaten regulatorisch weiter an Schärfe gewinnen.
Quelle: Decrypt AI