Gerade erleben wir, wie das Internet und dessen Nutzung quasi den Bach herunter geht. KI-Anbieter Anthropic verlangt nun von neuen Claude-Nutzern, dass sie ihre Identität mit einem amtlichen Lichtbildausweis und einem Live-Selfie bestätigen. Und dieser Identitätsnachweis erfolgt über die US-Firma Persona, die schon in anderem Zusammenhang aufgefallen ist. Hier kann man nur jedem Nutzer raten: Finger weg von diesem Konstrukt.
Ich hatte die Information bereits vergangene Woche bei Mike Kukets in seinem Social Media Kanal (ich meine, es war Mastodon) gesehen. Die Tage ist mir das Thema wieder in nachfolgendem Tweet untergekommen.
Die Botschaft ist klar: KI-Anbieter Anthropic verlangt nun von neuen Claude-Nutzern, dass sie ihre Identität mit einem amtlichen Lichtbildausweis und einem Live-Selfie bestätigen. Es gebe kein Gesetz, das KI-Unternehmen wie dieses zu einer vollständigen Identitätsprüfung verpflichtet. Dies scheint eine eigenständige Entscheidung von Anthropic zu sein, heißt es in obigem Tweet. Und dann hat mich die Information, dass dieser Identitätsnachweis über die US-Firma Persona erfolgt, sofort getriggert.
Ich hatte kürzlich im Blog-Beitrag LinkedIn Verifizierung mit Persona als Sozius – auf dem Weg zu "open data"? etwas zu diesem Thema. Microsofts LinkedIn nutzt ebenfalls Persona, um Benutzer eindeutig zu identifizieren. Persona (offiziell Persona Identities Inc.) ist ein US-amerikanisches Tech-Unternehmen aus San Francisco, das eine flexible Identity-Verification-Plattform anbietet.
Die Identitätsverifizierung bei Persona erfolgt dann über einen NFC-fähigen Reisepass oder ein unterstütztes ID-Dokument, dessen Daten erfasst werden. Die Identifizierung umfasst laut Angaben im Internet typischerweise den Scan oder ein Anfertigen des Fotos des Ausweisdokuments, die Anfertigung eines Selfie zur Gesichtserkennung (Liveness-Check, um Deepfakes etc. zu verhindern).
Es stellt sich natürlich sofort die Frage: Soll ich wirklich höchst sensitive Ausweisdaten zu einem unbekannten Anbieter in den USA hochladen? Persona gibt zwar an, dass biometrische und FaceID-Daten sofort nach der Verarbeitung gelöscht würden. Andere Daten werden bis zu 30 Tage aufbewahrt und dann gelöscht. Es gibt aktuell aber die Kritik in Medien und Communities (z. B. auf Reddit, Mashable, Social Media Today), dass Persona angeblich viele zusätzliche Checks (Cross-Referenzen mit anderen Datenquellen) durchführt. Und die Privacy Policy von Persona erlaubt in manchen Fällen das Teilen von Daten mit Subprozessoren oder Partnern.
Der oben erwähnte LinkedIn-Artikel thematisiert dann den Alptraum Datenschutz, weil LinkedIn auf Persona als Dienstleister zurück greift. Der Autor seziert, wo seine Daten über Persona überall landen: Sein Gesicht bzw. die biometrischen Daten werden zum AI-Training genutzt, und die Liste der "Subprozessoren" führt alles auf, was an Datenkraken, von Anthropic über Google Cloud bis hin zu Snowflake und Stripe genutzt werden könnte. Manches ist "Mandatory", also Pflicht, anderes wird von Persona von Fall zu Fall (Conditional) zum Abgleich genutzt.
In obigem Tweet gibt jemand in einer Antwort zu bedenken: Was passiert, wenn deine Daten in eine solche (Persona-)Datenbank landen und diese in fünf Jahren in falsche Hände gerät oder sich politische Verhältnisse ändern. Ein Alptraum.
MVP: 2013 – 2016
