Es hat viel länger gedauert als ursprünglich erwartet, aber eine entscheidende Datenschutzentscheidung Das hängt über Sam Altmans Welt (auch bekannt als Worldcoin) ist vor Monaten endlich angekommen, durch eine Entscheidung der bayerischen Datenschutzbehörde Ende Dezember zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO), eines umfassenden Datenschutzrahmens, der Sanktionen von bis zu 4 % des weltweiten Jahresumsatzes vorsieht.
Obwohl eine Entscheidung über eine im April 2023 begonnene Untersuchung erst kurz vor den Feiertagen 2024 – endgültig – fiel, sieht das Ergebnis nicht so aus, wie es sich das kryptografische Identitätsunternehmen mit Augenscan erhofft hatte: Es wurde eine korrigierende Anordnung dazu erlassen verlangt auf Wunsch eine umfassende Löschung der Nutzerdaten.
„Alle Nutzer, die ‚Worldcoin‘ ihre Irisdaten zur Verfügung gestellt haben, haben künftig die uneingeschränkte Möglichkeit, ihr Recht auf Löschung geltend zu machen“, teilte das Bayerische Landesamt für Datenschutzaufsicht Michael Will in einer Mitteilung mit. Pressemitteilung.
Dem biometrischen Unternehmen wurde ab dem Datum der Entscheidung der bayerischen Behörde ein Monat Zeit gegeben, ein Opt-out-Verfahren einzuführen, „das den Bestimmungen der DSGVO entspricht“ – merken Sie sich also Anfang 2025 vor.
Ein weiterer Bestandteil der bayerischen Anordnung erfordert, dass Worldcoin eine ausdrückliche Zustimmung für das einholt, was in der Pressemitteilung (lose) als „bestimmte zukünftige Verarbeitungsschritte“ beschrieben wird.
Wir haben um weitere Einzelheiten gebeten, aber das deutet darauf hin, dass der globale Integrationsprozess den Nutzern in der EU mehr Informationen zur Verfügung stellen muss, bevor Augenuntersuchungen durchgeführt werden können. Auch die Löschung „bestimmter zuvor ohne hinreichende Rechtsgrundlage erhobener Datensätze“ sei angeordnet worden, heißt es in der Stellungnahme.
Zusätzlich zu unseren Fragen zum Inhalt der Anordnung haben wir die bayerische Behörde gefragt, warum keine Strafen für eine Reihe von Verstößen gegen die DSGVO verhängt wurden, und werden diesen Bericht mit etwaigen Antworten aktualisieren.
World reagierte auf die Korrekturanordnung mit der Aussage, sie werde Berufung einlegen.
Heikle Frage
Warum erscheint die Anforderung, dass Benutzer die Löschung ihrer Daten beantragen können, ein Recht, das in der europäischen Verordnung als Teil der DSGVO-Reihe individueller Datenzugriffsrechte enthalten ist, für World(coin) so kompliziert? Das Problem mit dem Proof-of-Humanity-Blockchain-Projekt besteht darin, dass es ein System unveränderlicher und eindeutiger IDs aufbaut, um die Identität aus der Ferne zu überprüfen. Wenn also eine Person alle ihre Spuren aus ihrem Register einfach auf Anfrage bearbeiten kann, stellt dies eine Herausforderung für ihren Ehrgeiz dar, eine globale Autorität für menschliche Verifizierung zu werden.
Rebecca Hahn, Sprecherin von Tools for Humanity (TfH), die für die Organisation verantwortlich ist, die Worldcoin entwickelt, sagte, ihre Berufungsgründe würden sich auf Behauptungen konzentrieren, dass die technische Architektur von Worldcoin „die Privatsphäre schützt“ und dass dies zur Anonymität der Benutzerdaten führe.
Dies hat zur Folge, dass die DSGVO-Datenzugriffsrechte (z. B. die Möglichkeit, eine Löschung zu beantragen) nicht gelten sollten, da wirklich anonyme Daten außerhalb des Geltungsbereichs des Gesetzes liegen.
Damien Kieran, Chief Privacy Officer bei TfH, antwortete gegenüber TechCrunch auch auf die Frage, warum World so zögerlich ist, Benutzern das Löschen von Daten zu erlauben: „Unser Ziel ist es, das Vertrauen in digitale Interaktionen zu stärken.“ Zu diesem Zweck haben wir den weltweit ersten anonymen digitalen Reisepass zum Nachweis der Menschlichkeit geschaffen. Das bedeutet, dass eine Person auf einer Plattform wie X anonym verifizieren kann, dass sie ein echter Mensch ist (was zufällig der Fall ist). Kierans ehemaliger Arbeitgeber) Probleme wie Bots ein für alle Mal lösen.
„Der Schlüssel dazu besteht darin, sicherzustellen, dass, wenn eine anonyme Person die Richtlinien einer Plattform missbraucht und die Plattform sie sperrt, diese Person ihre Welt-ID nicht löschen, eine neue erstellen und zu X zurückkehren kann, indem sie sich als neuer Mensch präsentiert. Um unser Ziel zu erreichen, das Vertrauen im Internet im Zeitalter der Intelligenz zu stärken, mussten wir sicherstellen, dass wir die zugrunde liegenden Daten anonymisieren, sodass sie nicht gelöscht werden können, und sicherstellen, dass schlechte Akteure sie nicht missbrauchen können globales Netzwerk. und andere Plattformen.“
Kieran fügte hinzu, dass World ID-Inhaber „ihre persönlichen Daten, die sich ausschließlich auf ihrem Telefon befinden, jederzeit löschen können“.
Grundlegende Kontodaten stehen jedoch nicht im Mittelpunkt dieses DSGVO-Kampfes. Dabei handelt es sich um Informationen, die zur eindeutigen Identifizierung einer Person genutzt werden können.
Anfang dieses Jahres stellte World ein sicheres Open-Source-Mehrparteien-Computersystem vor behauptet „ermöglicht die Verschlüsselung von Iris-Codes als geheime Freigaben und die Verteilung an mehrere Teilnehmer“ – ohne dass die Codes für Identitätsprüfungen entschlüsselt werden müssen.
Der Vorschlag besteht darin, dass diese technische Architektur Iris-Codes durch anschließende Verarbeitung, einschließlich Verschlüsselung und Fragmentierung, so umwandelt, dass die Risiken für die Privatsphäre des Einzelnen begrenzt werden.
Im Rahmen dieser Änderungen hat Worldcoin auch eine Funktion eingeführt Damit können Benutzer die Löschung ihrer Iris-Codes beantragen. Das Maß an Kontrolle, das es den Benutzern bietet, wurde jedoch offensichtlich als nicht den DSGVO-Standards entsprechend beurteilt, die verlangen, dass Einzelpersonen die Kontrolle über ihre Informationen haben.
Und es ist wichtig hervorzuheben, dass die DSGVO nicht nur Regeln zum Schutz der Privatsphäre der Menschen festlegt; Das Rahmenwerk soll außerdem sicherstellen, dass Einzelpersonen Autonomie über die über sie gespeicherten Informationen haben können. Es ist dieses letzte Element, das die größte Herausforderung für die Mission darstellt, die Menschlichkeit der Welt zu beweisen, da es die Unterstützung dieses Grades individueller Autonomie nicht berücksichtigt.
Grundrechte
Die bayerische Datenschutzbehörde erklärte, dass das auf Biometrie basierende Einzelverifizierungsverfahren von Worldcoin „eine Reihe grundlegender Datenschutzrisiken für zumindest eine große Anzahl betroffener Personen“ birgt. Und obwohl die Behörde in ihrer Stellungnahme auf die eingeführten „Verbesserungen“ bei der Datenverarbeitung des Unternehmens verweist, betont sie, dass „noch Anpassungen erforderlich“ seien.
Die Behörde fügte hinzu, dass sich ihre lange Untersuchung letztendlich auf die Notwendigkeit einer „umfassenden Löschung nach Widerruf der Einwilligung“ konzentriert habe; und „die damit verbundene Überprüfung des Einwilligungsprozesses“.
„Mit der heutigen Entscheidung setzen wir europäische Grundrechtsstandards zugunsten der betroffenen Personen in einem technologisch anspruchsvollen und rechtlich hochkomplexen Fall durch“, sagte Will.
Die weltweite Berufung gegen Bayerns Korrekturverfügung geht nicht direkt auf die entscheidende Frage des Datenzugriffs ein.
Stattdessen wird versucht, die Frage als technische Frage zu formulieren, nämlich wie das europäische Recht anonyme Daten definieren sollte. Daher Ihr Blogbeitrag auf der Korrekturanordnung beginnt mit dem Satz „World ID ist von Natur aus anonym.“ Aber der Versuch, eine Lobby-Dynamik dafür zu schaffen, dass die Europäer weniger individuelle Rechte verdienen, dürfte auf regionaler Ebene kaum Anklang finden.
Worldcoin hat in dieser Region bereits erlebt, wie ihm die Flügel gestutzt wurden. Durchsetzungsmaßnahmen anderer Datenschutzbehörden – auch in Portugal Und Spanien – sah, dass es Notfallmaßnahmen unterworfen war, die seine Augenscan-Operationen in seinen Märkten einstellten. Beide Datenschutzbehörden äußerten konkrete Bedenken hinsichtlich der Risiken einer unauslöschlichen Erfassung von Kinderdaten.
Gleichzeitig eröffnete Worldcoin – oder World, wie es kürzlich umbenannt wurde – seinen Betrieb in Österreich.
