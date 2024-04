Von Anfang an scheiden sich an Worldcoin die Geister. Die einen sehen das von OpenAI-CEO Sam Altman mitgegründete Kryptoprojekt als Möglichkeit, in der kommenden KI-domnierten Welt echte Menschen eindeutig von synthetischen Avataren unterscheiden zu können. Die anderen fürchten den Missbrauch der neuen Technik oder halten sie für unsicher.

Zu Letzteren gehören viele Datenschützer, die in den vergangenen Monaten gegen die Aktivitäten von Worldcoin vorgegangen sind. Ihre Bedenken will das Startup nun zerstreuen – und bessert beim Datenschutzkonzept nach.

Was ist Worldcoin und wie funktioniert es?

Worldcoin identifiziert Menschen über einen Scan des Auges mit dem „Orb“. Die Daten aus dem Scan werden auf der Blockchain hinterlegt. Nutzer müssen für den Nachweis ihrer Identität keine anderen Daten wie etwa die Telefonnummer oder E-Mailadresse preisgeben. Mit dem Scan der Iris soll der fälschungssicherer Nachweis erbracht werden, dass es sich bei den Nutzer:innen um echte Menschen handelt.

Dieser Nachweis wird in der World ID gespeichert und soll perspektivisch als eine Art „digitaler Pass“ dienen in einer Welt, in der es immer mehr KI-Bots und -inhalte gibt. Verknüpft ist die World ID mit einer hauseigenen Kryptowährung. Als Anreiz zum Mitmachen bekommen Menschen eine gewisse Summe des Worldcoin (WLD). In Deutschland sind die Scans derzeit in Berlin, Köln, Essen, Aachen, Leverkusen, Wuppertal, Bielefeld und Nürnberg möglich.

Hinter Worldcoin steht die Worldcoin Foundation und das Startup Tools for Humanity mit Sitz in San Francisco und Berlin. Gegründet wurde es von dem deutschen Physiker Alex Blania, Sam Altman und Max Novendstern. Blania ist auch CEO des Unternehmens, der Augenscanner Orb wird in Erlangen hergestellt.

Ein knappes Jahr nachdem sie eingeführt wurde, soll die World App, also die mit der World ID verknüpfte Wallet, laut Angaben des Startups gerade die Marke von 10 Millionen Nutzer:innen überschritten haben. Offenbar wächst die Zahl rasant: Im November 2023 lag die Zahl noch bei rund vier Millionen Menschen.

Zuletzt haben vor allem europäische Länder die Aktivitäten von Worldcoin begrenzt, weil sie Probleme mit dem Datenschutz sehen. Vor zwei Woche hat die portugiesische Datenschutzaufsicht die Irisscans für 90 Tage untersagt, nachdem diese auch bei Minderjährigen ohne Einwilligung der Eltern durchgeführt worden sein sollen. Die spanische Datenschutzbehörde hat Worldcoin bereits Anfang März verboten, weiter persönliche Daten durch die Irisscans zu sammeln. Bereits erhobene Daten dürfen nicht mehr verwendet werden. Gegen die Anordnung geht Worldcoin juristisch vor. In Kenia, wo das Unternehmen seine WorldID getestet hat, wurde bereits im August 2023 ein Verbot erlassen, weil die Regierung Sicherheits- und Datenschutzbedenken hinsichtlich der „Authentizität und Legalität“ äußerte.

Auch in Deutschland gibt es Bedenken aufgrund des Datenschutzes und der Verwendung biometrischer Daten durch ein privates Unternehmen wie Worldcoin. So beobachtet die Finanzaufsicht Bafin, die Aktivitäten des Startups. Sie prüft, ob das Unternehmen ohne die notwendige Erlaubnis am deutschen Markt aktiv ist, z.B. mit einer deutschen Website oder App.

Wesentlicher dürfte aber die Untersuchung des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) sein. Das prüft bereits seit November 2022, ob Worldcoin gegen Datenschutzbestimmungen verstößt. Das BayLDA ist die federführende Aufsichtsbehörde für das Worldcoin-Projekts in der EU, weil das Startup Tools for Humanity auch von Nürnberg aus operiert.

Das BayLDA hatte bereits in der Entwicklungsphase bis Sommer 2023 eine Basisprüfung des Projekts eingeleitet. Mit dem Start der Kryptowährung Worldcoin im Juli 2023 startete das Amt dann eine noch intensivere Kontrolle. Schwerpunkte der Prüfung sind neben der grundsätzlichen datenschutzrechtlichen Zulässigkeit unter anderem „die Sicherstellung der Betroffenenrechte sowie das vorhandene Schutzniveau bei der Verarbeitung der an-fallenden biometrischen Daten“, wie es in einem Bericht der Behörde aus dem vergangenen Jahr heißt.

Der Entscheidungsentwurf des BayLDA soll nun bald veröffentlicht werden. Im Rahmen des „One-Stop-Shop“-Mechanismus der europäischen Datenschutzgrundverordnung (DSGVO) würde seine Einschätzung in der gesamten EU gelten.

Die bisherigen Aktivitäten von Worldcoin passen aus vier Gründen nicht gut zum europäischen Datenschutzverständnis:

1. Einmal gescannt, konnten Nutzer:innen ihre Daten bislang nicht mehr löschen. Die DSGVO sieht aber ein Recht auf Vergessen werden vor. Einzelpersonen können Unternehmen auffordern, ihre personenbezogenen Daten zu löschen, und diese müssen dem Wunsch innerhalb von 30 Tagen nachkommen.

2. Nutzer:innen konnten bei Worldcoin ihre Zustimmung zur Verwendung ihrer personenbezogenen Daten nicht einfach widerrufen. Die DSGVO sieht jedoch vor, dass Verbraucher:innen ihre Zustimmung zur Verarbeitung von Daten ebenso einfach wieder entziehen können, wie sie eingewilligt haben. Wird die Einwilligung widerrufen, dürfen Daten nicht mehr verarbeitet werden.

3. Die personenbezogenen Daten von Kindern wurden erfasst – obwohl deren Daten durch die DSGVO besonders geschützt sind.

4. Den Nutzern werden nicht genügend Informationen über die Nutzung, Speicherung und Weiterverarbeitung der Daten zur Verfügung gestellt. So verlangt die DSGVO unter anderem Informationen darüber, wie, wo und an wen Daten weitergegeben werden und ob sie außerhalb der EU übermittelt, automatisch verarbeitet oder zum Profiling genutzt werden.

Was ändert Worldcoin jetzt?

Worldcoin versucht jetzt, sich DSGVO-kompatibler aufzustellen, indem Nutzer:innen unter anderem die Möglichkeit bekommen, World IDs durch permanente Löschung des Iris-Codes zu entwerten. Die Inhaber:innen sollen so mehr persönliche Kontrolle über ihre Daten bekommen.

Zudem wird eine persönliche Altersüberprüfungen eingeführt, um sicherzustellen, dass Worldcoin nur für Menschen ab 18 Jahren verfügbar ist. Interessent:innen müssen vor dem Scannen der Iris ihr Alter mit einem Ausweis nachweisen, gespeichert werden diese Daten weiterhin nicht. Die Verbesserungen beruhen laut Worldcoin auf vorläufigen Bewertungen von Datenschutzbehörden, darunter auch des BayLDA.

Bereits Ende März hatte das Unternehmen bekannt gegeben, künftig biometrische Daten seiner Kunden nicht mehr in der Cloud oder auf Firmenservern speichern zu wollen. Stattdessen führt Worldcoin das Konzept einer „persönlichen Daten-Aufbewahrung“ („Personal Data Custody“) ein, mit dem die Daten nur noch verschlüsselt auf den Smartphones der Anwender:innen gespeichert werden.

Andere Sicherheitsbedenken bleiben jedoch bestehen. So ist es beispielsweise denkbar, dass Hacker durch eine Hintertür Daten abgreifen könnten. Auch die Smartphones der Nutzer:innen, auf denen die World ID gespeichert ist, könnten gehackt oder schlicht geklaut werden. Wie könnten Nutzer:innen in diesen Fällen dann wieder Kontrolle über ihre einzigartige digitale Identität gelangen?

Kryptowährung WLD steigt

Der Kurs der mit der World ID verknüpften Kryptowährung WLD ist Anfang des Jahres stark gestiegen, kurzfristig auf über 10 Dollar, zeigt sich aber auch sehr volatil. So löste Sam Altmans zeitweises Ausscheiden als CEO von OpenAI und sein Wechsel zu Microsoft im August 2023 extreme Kursschwankungen aus. Die Kryptowährung wird seit dem 24. Juli 2023 offiziell gehandelt. Ein Token kostete zum Start 1,92 US-Dollar, aktuell liegt der Preis bei 6,47 Dollar.

Mit den Token werden Nutzer:innen belohnt, die ihre Iris scannen lassen, auch die Betreiber der „Orbs“ werden seit November in WLD bezahlt, die Währung wird aber auch über einige Kryptobörsen gehandelt. Sie kann in Währungen wie Euro oder Dollar umgetauscht werden.

Wozu die World ID künftig ganz praktisch eingesetzt werden könnte, zeigen die jüngsten Partnerschaften, die Tools for Humanity mit Unternehmen wie Shopify und Reddit geschlossen hat. Onlineshops und soziale Netzwerke könnten die Identität der Kunden mit der Technologie überprüfen und so auch Betrugsversuche vereiteln.

