Ein KI-Unternehmen muss drei Millionen Gesichtsfotos löschen, die eine Dating-Plattform ohne Nutzerwissen für Gesichtserkennungsmodelle bereitstellte – der FTC-Vergleich mit Clarifai und OkCupid markiert einen neuen Höhepunkt in der Regulierung biometrischer KI-Trainingsdaten.
FTC erzwingt Löschung von drei Millionen Nutzerdaten aus KI-Training
Der US-amerikanische KI-Anbieter Clarifai hat rund drei Millionen Fotos gelöscht, die die Dating-Plattform OkCupid ohne ausdrückliche Zustimmung der Nutzer für das Training von Gesichtserkennungsmodellen bereitgestellt hatte. Grundlage ist ein Vergleich mit der Federal Trade Commission (FTC), der die fragwürdigen Datenpraktiken beider Unternehmen ins Licht der Öffentlichkeit rückt.
Interessenkonflikt aus dem Jahr 2014
Laut Gerichtsdokumenten begann die Zusammenarbeit zwischen Clarifai und OkCupid bereits 2014. Clarifai bat die Dating-Plattform damals um die Übermittlung von Nutzerdaten – zu einem Zeitpunkt, als führende OkCupid-Manager gleichzeitig als Investoren bei Clarifai engagiert waren. Dieser Interessenkonflikt stand im Mittelpunkt der behördlichen Untersuchung. OkCupid gehört heute zur Match Group, dem börsennotierten Mutterkonzern mehrerer bekannter Dating-Dienste.
Die betroffenen Nutzer wurden seinerzeit nicht darüber informiert, dass ihre Profilfotos an einen externen KI-Anbieter weitergegeben und für das Training von Gesichtserkennungsalgorithmen verwendet wurden. Genau darin sah die FTC den zentralen Verstoß:
Die Weitergabe sensibler biometrischer Daten ohne informierte Einwilligung der Betroffenen widerspricht grundlegenden Verbraucherschutzprinzipien.
Vergleich mit Auflagen statt strafrechtlicher Verfolgung
Im Rahmen des FTC-Vergleichs verpflichtete sich Clarifai zur vollständigen Löschung der betreffenden Bilddaten sowie der daraus abgeleiteten Modellparameter. Finanzielle Strafen wurden nach aktuellem Kenntnisstand nicht öffentlich kommuniziert. Dennoch setzt das Verfahren ein klares Signal:
US-Behörden sind zunehmend bereit, den Einsatz von Nutzerdaten für KI-Training aktiv zu sanktionieren, wenn transparente Einwilligungsverfahren fehlen.
Biometrische Daten im Fokus der Regulierung
Der Fall steht exemplarisch für ein wachsendes regulatorisches Risiko im KI-Bereich. Gesichtserkennung und andere biometrische Anwendungen zählen zu den sensibelsten Einsatzfeldern maschinellen Lernens. In den USA fehlt bislang ein einheitliches Bundesgesetz zum Schutz biometrischer Daten, weshalb die FTC auf allgemeine Verbraucherschutzregeln zurückgreift. Einzelne Bundesstaaten wie Illinois, Texas und Washington haben hingegen bereits spezifische Gesetze erlassen.
Einordnung für deutsche Unternehmen
Für Unternehmen im deutschsprachigen Raum ist der Fall ein Hinweis auf Entwicklungen, die unter der Datenschutz-Grundverordnung (DSGVO) bereits geltendes Recht darstellen. Die DSGVO klassifiziert biometrische Daten als besondere Kategorie personenbezogener Daten gemäß Artikel 9 und stellt damit hohe Anforderungen an Einwilligung und Zweckbindung.
Wer Nutzerdaten – auch aus Drittquellen – für das Training von KI-Modellen nutzt, muss eine belastbare Rechtsgrundlage nachweisen können. Die Aufsichtsbehörden in Deutschland und Österreich haben in der Vergangenheit bereits deutlich gemacht, dass pauschale Einwilligungen in allgemeinen Nutzungsbedingungen für derart sensible Datenverarbeitungen nicht ausreichen.
Unternehmen sollten ihre KI-Trainingsprozesse und die dabei verwendeten Datensätze auf datenschutzrechtliche Konformität prüfen – bevor regulatorischer Druck entsteht.
Quelle: TechCrunch AI