Clearview ahnte, dass dieser Tag kommen würde. "Wir geben zu, dass mächtige Werkzeuge immer das Potenzial haben, missbraucht zu werden", schrieb das Unternehmen Ende Januar auf seiner Webseite. Es stelle seine Gesichtserkennung nur Strafverfolgungsbehörden und ausgewählten Sicherheitsexperten zu Verfügung. "Wir nehmen diese Bedrohung sehr ernst."
Ganz so ernst kann es Clearview damit nicht gewesen sein. Fünf Wochen, nachdem das Unternehmen öffentlich beschwichtigte, deckt die New York Times (NYT) auf: Die zentrale Aussage des Blogeintrags war eine Lüge. Neben Tausenden Behörden und Organisationen konnten auch etliche Privatleute Clearviews Datenbank durchsuchen, in der mehr als drei Milliarden Fotos von Gesichtern gespeichert sein sollen - Milliardäre, Investoren und Geschäftspartner.
Man wolle die Welt zu einem besseren Ort machen, indem man Straftaten verhindere, schreibt das Unternehmen in seinem Verhaltenskodex ( PDF). Deshalb dürfe die Technik nicht für private Zwecke eingesetzt werden. Doch genau das geschieht: Im Oktober 2018 sah John Catsimatidis seine Tochter in Begleitung eines Mannes, den er nicht kannte. Der Eigentümer der Lebensmittelkette Gristedes bat den Kellner des Restaurants, das Date seiner Tochter zu fotografieren. Sekunden später wusste Catsimatidis, dass der Mann ein Risikokapitalgeber aus San Francisco war.
"Ich rechne damit, dass mein Vater verrückte Dinge tut", sagte seine Tochter der NYT. "Er kennt sich sehr gut mit Technik aus." Tatsächlich musste Catsimatidis gar keine verrückten Dinge tun, um den Unbekannten zu identifizieren. Er lud lediglich das Foto in der Clearview-App hoch, die er auf seinem Smartphone nutzte. Die Software glich das Bild mit seiner gigantischen Datenbank ab und spuckte eine Reihe andere Aufnahmen sowie persönliche Informationen über den Mann aus.
Der Milliardär hatte Clearview bereits davor getestet, um Ladendiebe in einer seiner Filialen zu identifizieren. "Sie klauten unser Häagen Dazs", sagte er der NYT. "Es war ein großes Problem." Wer im Blog von Clearview nachliest, kommt nicht sofort auf die Idee, dass der Dienst genutzt wird, um Menschen zu überführen, die Eiscreme mitgehen lassen, die dort zwischen 1,59 Dollar (kleine Portion) oder 5,99 Dollar (große Portion) kostet. "[Unsere] investigativen Werkzeuge haben Strafverfolgern geholfen, Tausende schwere Verbrechen aufzuklären, darunter Mord, sexueller Missbrauch, häusliche Gewalt und Fälle von Kindesmissbrauch", brüstet sich das Unternehmen.
Clearview gibt zu, dass Investoren Zugriff hatten
Catsimatidis war nicht die einzige Privatperson, die Werkzeuge des Unternehmens anders einsetzte, als es Verhaltenskodex vermuten lassen. Im Januar war bekannt geworden, dass Clearview Milliarden Fotos aus öffentlich zugänglichen Quellen abgesaugt und damit eine gigantische Datenbank mit menschlichen Gesichtern gespeist haben soll. Entgegen der öffentlichen Beteuerungen hätten die Clearview-Gründer neben Behörden auch privaten Kunden und Freunden Zugriff auf die mächtige Suchfunktion gegeben, berichtet die NYT. Diese sollen die App auf Partys, Dates und Geschäftstreffen eingesetzt haben.
Neben Catsimatidis zählt dazu etwa der Risikokapitalgeber David Scalzo und der texanische Geschäftsmann Hal Lambert. Beide bestätigten der Zeitung, dass sie Clearview privat genutzt haben. Lambert zeigte die App Freunden und Geschäftspartner, die beeindruckt gewesen seien und wissen wollten, wie sie Zugang bekommen könnten. Scalzo ließ seine Töchter damit herumspielen. Der Milliardär Peter Thiel, der ebenfalls zu den frühen Unterstützern von Clearview zählt, Anteile am Unternehmen hält und in Facebooks Aufsichtsrat sitzt, reagierte nicht auf eine Anfrage.
Andere Kapitalgeber sollen mit privaten Zugängen geködert worden sein, die wieder blockiert wurden, als sie entschieden, doch nicht in Clearview zu investieren. "Wir haben Testkonten für potenzielle und aktuelle Investoren und andere strategische Partner zu Verfügung gestellt, damit sie die Technik ausprobieren können", sagte Clearview-Gründer Hoan Ton-That. Diese Information hatte das Unternehmen bislang verschwiegen.
Globale Expansion, geklaute Kundenlisten, gefährliches Sicherheitsverständnis
Ohnehin verschweigt Clearview so einiges. Das Start-up agierte jahrelang im Verborgenen und bemühte sich um Geheimhaltung. Doch in den vergangenen Wochen haben US-Medien wie Buzzfeed, Gizmodo, OneZero und die NYT kontinuierlich recherchiert und vieles aufgedeckt, dass Gründer Ton-That lieber unerwähnt gelassen hatte.
Unter anderem wurde bekannt, dass Clearview seine Dienste mitnichten nur in den USA und Kanada anbietet, sondern global expandieren wollte. Zu den mehr als 2200 Kunden zählen auch Behörden und Organisationen in autokratischen Regimen wie Saudi-Arabien und den Vereinigten Arabischen Emiraten. Eine Analyse der Android-App offenbarte, dass Clearview mit dem Unternehmen Vuzix zusammenarbeiten wollte, das auf Augmented Reality spezialisiert ist. Damit könnte Clearview Brillen anbieten, die in Echtzeit Menschen identifizieren, die sich im Sichtfeld des Trägers befinden. Eine mittlerweile deaktivierte Webseite zeugt davon, dass Clearview auch Überwachungskameras entwickelte, die das Unternehmen als "smarteste Sicherheitskamera der Welt" pries.
"Sicherheit ist Clearviews oberste Priorität", behauptete das Unternehmen - nachdem es sich seine Kundenliste stehlen ließ. Datenpannen seien nun einmal "Teil des Lebens im 21. Jahrhundert", beschwichtigte ein Anwalt. Wenn Clearview selbst davon ausgeht, früher oder später gehackt zu werden, erinnern die angeblich drei Milliarden gespeicherten Fotos an eine tickende Zeitbombe. Dieser Datenbank will es alle Fahndungsfotos hinzufügen, die in den vergangenen 15 Jahren in den USA aufgenommen wurden.
Widerspruch auf eigene Gefahr
Auch einige der angeblichen Erfolgsgeschichten, die Clearview als Testimonials auf seiner Webseite anpreist, sind offenbar falsch. Terroristen, deren Überführung sich Clearview auf die Fahnen schreibt, wurden mit anderen Methoden identifiziert, sagen Polizisten. Grundsätzlich scheint die Technik aber gut zu funktionieren. Im Oktober bat Ton-That einen befreundeten Experten für künstliche Intelligenz, die App zu testen. Dieser legte der Software Gesichter von 834 Politikern vor - Clearview soll jeden einzelnen erkannt haben.
In Deutschland scheint Clearview noch nicht eingesetzt zu werden. Zumindest sind bislang keine Kooperationen mit Behörden bekannt. Wer wissen will, ob sein Gesicht in der Datenbank auftaucht, muss ein Formular ausfüllen und dabei ein Foto sowie seinen Personalausweis hochladen. Angeblich werden die Dokumente später gelöscht. Bei einem Unternehmen, das sich seine Kundenliste klauen lässt, Leaks als unvermeidliche Schicksalsschläge abtut und lügt, ist das allerdings keine gute Idee.