Das Krypto- und ID-Projekt World (ehemals Worldcoin) muss beim Datenschutz weiter nachbessern. Die Bayerische Datenschutzbehörde (BayLDA) hat am Donnerstag nach einer umfangreichen Untersuchung Mängel bei der Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) festgestellt. Doch die Macher hinter dem Projekt wollen gegen den Bescheid klagen.

Die Idee von World ist eine Antwort auf ein Problem, das sich in der neuen KI-Welt stellt: Weil man nicht mehr wissen kann, ob man es im Netz mit einem täuschend echt aussehenden Bot oder doch mit einem echten Menschen zu tun hat, braucht es künftig einen „Proof of Personhood“, einen eindeutigen Nachweis der Menschlichkeit. Und den sollen die von Tools for Humanity (TFH) erfundenen Orbs erstellen.

Die futuristisch aussehenden Geräte scannen die Iris und stellen so einen fälschungssicheren Nachweis her, dass es sich bei den Nutzer:innen um echte Menschen handelt. Er wird mit der World ID verknüpft und soll als eine Art Pass in der digitalen Welt dienen. Wer sich scannen lässt, bekommt als Belohnung die Kryptowährung Worldcoin in seine Wallet (World App). Soweit die Ambition von Mitgründer Sam Altman und Alex Blania, CEO von Tools for Humanity.

Kritische Nachfragen zur Verwendung der Iris-Scans begleiten das Projekt von Anfang an. Die portugiesische Datenschutzaufsicht untersagte die Iris-Scans, nachdem diese Berichten zufolge auch bei Minderjährigen ohne Einwilligung der Eltern durchgeführt worden waren. In Spanien stellte World sein Angebot nach Kritik von Datenschützern ein. In Kenia erließ die Regierung im August 2023 ein Verbot wegen Sicherheits- und Datenschutzbedenken hinsichtlich der „Authentizität und Legalität“.

Die Bayerische Datenschutzbehörde schloss nun eine Untersuchung zu World ab, die seit Anfang 2023 läuft. Sie ist die federführende Aufsichtsbehörde für das World-Projekt in der EU, da das Startup Tools for Humanity in München sitzt. Die Einschätzung der Behörde gilt in der gesamten EU. Bereits in der Entwicklungsphase führte die BayLDA eine Basisprüfung des Projekts durch. Mit dem Start der Kryptowährung Worldcoin im Juli 2023 intensivierte das Amt die Kontrolle.

Ein Datenschutzproblem betrifft das sogenannte „Recht auf Vergessenwerden“. Nutzer:innen können von Unternehmen fordern, ihre personenbezogenen Daten zu löschen. Nach dem Iris-Scan durch die Orbs war das lange nicht möglich. Zudem konnten Nutzer:innen ihre Zustimmung zur Verwendung ihrer personenbezogenen Daten nicht widerrufen. Das BayLDA fordert World daher auf, innerhalb eines Monats nach dem Bescheid ein „den Regelungen der DSGVO entsprechendes Löschverfahren“ bereitzustellen.

Bereits im April ist TFH auf die Kritik der Datenschützer eingegangen und hatte unter anderem die Möglichkeit zur permanenten Löschung des Iris-Codes bereits eingeführt. Die biometrischen Daten werden auch nicht mehr in der Cloud oder auf Firmenservern gespeichert, sondern ausschließlich verschlüsselt auf dem Gerät des Nutzers.

Das grundsätzliche Problem mit der DSGVO will das Unternehmen lösen, indem Daten anonymisiert werden. Die Logik dahinter: Wenn die Daten von einer Person entkoppelt werden, gelten sie nicht mehr als persönliche Daten und die DSGVO greift nicht mehr. Daher setzt Tools for Humanity auf ein neues Verfahren zur Datenanonymisierung, das eine „effektive Anonymisierung” ermöglichen soll. Ob das den Datenschutzbehörden reicht, oder ob diese doch auf einer echten und vollständigen Anonymisierung bestehen, ist jedoch ungewiss.

Die BayLDA übt jedenfalls in ihrem Beschluss noch weitere Kritik: Auch nach den erfolgten Anpassungen seien weitere Änderungen erforderlich, um die Datenverarbeitung des Unternehmens in Einklang mit den geltenden Vorschriften – also der DSGVO – zu bringen. So muss World für bestimmte Schritte bei der Datenverarbeitung die ausdrückliche Einwilligung der Nutzer:innen einholen. Außerdem wird von Amts wegen die Löschung „bestimmter, bisher ohne ausreichende Rechtsgrundlage erhobener Datensätze angeordnet“. Auch diese Anordnung betrifft jedoch Datensätze, die in der Startphase im Sommer 2023 bis zum Frühjahr dieses Jahres angelegt wurden, als „World“ seine Änderungen vorgenommen hat.

Gegen die Entscheidung will TFH trotzdem juristisch vorgehen, um „gerichtliche Klarheit“ darüber zu erlangen, ob die Prozesse und Technologien der gesetzlichen Definition für Anonymisierung in der EU entsprechen. „Bestehendes europäisches Recht gibt keinen klaren Standard dafür, was Anonymisierung ausmacht, und weder der Europäische Gerichtshof noch die EU-Datenschutzbehörden haben sich auf Leitlinien geeinigt“, heißt es in einem Blogeintrag des Unternehmens. Das mache es extrem schwierig, in Bezug auf Datenschutz sichere Systeme aufzubauen.

Der Streit mit den Datenschützern ist ein Bremsklotz für die ehrgeizigen Expansionspläne des Projekts. Der Name wurde von ehemals Worldcoin vor Kurzem auf „World“ verkürzt, darunter sind das Verifizierungsverfahren World ID, die World-App, die World Chain und die Kryptowährung Worldcoin gebündelt. World will seine Dienste auch in der EU ausbauen, plant bis 2025 in weitere europäische Märkte zu expandieren. Derweil verändert sich das World-Projekt ziemlich stark.

Bei World ID als zentralem Element des Projekts soll sich nicht nur der Datenschutz aufgrund der Anonymisierung der Informationen verbessern. Nutzer:innen sollen auch bald ihren Reisepass, Führerschein oder nationale Ausweise mit der World ID verknüpfen können. So könnte das Alter eines Nutzers verifiziert werden, ohne weitere Details offenzulegen. Außerdem führt TFH ein System namens World ID Deepface ein, das verifizieren soll, ob ein Nutzer tatsächlich die Person ist, die er vorgibt zu sein.

Auch die futuristischen Orbs bekommen ein Make-over, um die Iris-Scans günstiger und zugänglicher zu machen. Derzeit sind rund 1.300 aktive Orbs weltweit im Einsatz, und der Scan muss von Menschen durchgeführt werden. Die nächste Generation der Orbs wird dagegen wohl vom Nutzer selbst zu bedienen sein. Künftig sollen sie wie Geldautomaten in öffentlichen Räumen wie Cafés oder Einkaufszentren platziert werden oder man soll sie sich „wie eine Pizza“ nach Hause bestellen können.

Mit sogenannten Mini-Apps von Drittanbietern sollen Nutzer:innen viele Dinge direkt in der App erledigen können – etwa Direktzahlungen an Freunde, Spenden, Umfragen oder Chats. Vorbild ist hier offensichtlich die chinesische Super-App Wechat.

Über eine Milliarde Menschen will Tools for Humanity so künftig im World-Netzwerk miteinander verbinden. Doch bis dahin ist es noch ein langer Weg. Bislang haben sich rund neun Millionen Menschen als „einzigartig“ identifizieren lassen, über 20 Millionen nutzen die App.