Der Kryptobörse Coinbase droht ein ernsthafter Rechtsstreit in Illinois, nachdem mehrere Nutzer das Unternehmen wegen angeblicher Verstöße gegen das Biometric Information Privacy Act (BIPA) verklagt haben. Die Sammelklage wirft Coinbase vor, biometrische Daten der Nutzer ohne deren ausdrückliche schriftliche Zustimmung gesammelt, gespeichert und an Dritte weitergegeben zu haben. Dabei stehen insbesondere die strengen Anforderungen des BIPA im Mittelpunkt, welches Nutzern umfassende Kontrollrechte über ihre biometrischen Informationen gewährt. Die Kläger kritisieren, dass Coinbase seine Know Your Customer (KYC)-Prozesse nutzt, um Gesichtsdaten wie sogenannte Gesichtsdrucke (faceprints) einzusammeln, ohne die Nutzer entsprechend zu informieren oder ihre Erlaubnis einzuholen. Die Bedeutung biometrischer Daten als besonders schützenswerte Informationen hat sich in den letzten Jahren zunehmend durchgesetzt.
Im Gegensatz zu herkömmlichen personenbezogenen Daten wie Name oder Geburtsdatum sind biometrische Identifikatoren wie Gesichtsprofile, Fingerabdrücke oder Iris-Scans einzigartig und unersetzlich. Ein Missbrauch oder unerlaubter Zugriff kann ernsthafte Folgen für die Privatsphäre und persönliche Sicherheiten der Betroffenen haben. In diesem Kontext hat Illinois mit dem Biometric Information Privacy Act eines der strengsten Datenschutzgesetze der Vereinigten Staaten geschaffen, das besonders hohe Anforderungen an Unternehmen stellt, die solche Daten erfassen. Die Kläger in dem Fall gegen Coinbase bemängeln, dass das Unternehmen weder transparent aufgeklärt noch eine schriftliche Zustimmung eingeholt hat, wie es BIPA vorschreibt. Der Hintergrund der Klage ist die Identitätsprüfung bei Coinbase, die Nutzer zum Hochladen eines amtlichen Ausweisdokuments und eines Selfies verpflichtet.
Diese Bilder werden dann mittels Software von Drittanbietern analysiert, die sogenannte Gesichtserkennungstechnologien einsetzen, um die Authentizität der Nutzer zu prüfen. Der Prozess extrahiert biometrische Merkmale wie die Gesichtgeometrie und speichert diese Daten. Die Einbeziehung mehrerer Drittanbieter zur Verifikation der Nutzer – darunter bekannte Unternehmen wie Jumio, Onfido, Au10tix und Solaris – wirft zusätzliche Fragen hinsichtlich der Weitergabe und des Schutzes der sensiblen Daten auf. Die Kläger behaupten, dass Coinbase diese Daten ohne Einwilligung an die externen Anbieter übermittelt hat, was ebenfalls einen Verstoß gegen das biometrische Datenschutzgesetz darstellt. Darüber hinaus kritisieren die Kläger, dass Coinbase keine Informationen über den Zweck der Datenerhebung, den Speicherungszeitraum und das Verfahren zur endgültigen Löschung biometrischer Daten bereitstellt.
Das Fehlen dieser Angaben verstößt laut der Klage ebenfalls gegen BIPA und entzieht Kunden die Möglichkeit, die Verwendung ihrer biometrischen Informationen kontrolliert und nachvollziehbar mitzuverfolgen oder zu hinterfragen. Diese fehlende Transparenz stellt in einem sensiblen Bereich wie der biometrischen Identifikation ein erhebliches Risiko für die Nutzer dar und widerspricht modernen Datenschutzanforderungen. Neben den Verletzungen des Biometric Information Privacy Acts erhebt die Klage auch Vorwürfe wegen Verbraucherbetrugs nach dem Illinois Consumer Fraud and Deceptive Business Practices Act. Durch die mangelnde Aufklärung und die vermeintlich unrechtmäßige Verarbeitung biometrischer Daten sollen die Nutzer hinters Licht geführt und geschädigt worden sein. Die Kläger fordern deshalb Schadensersatz in Höhe von mehreren Tausend US-Dollar pro Verstoß – sowohl für vorsätzliche als auch fahrlässige Übertretungen – sowie eine gerichtliche Anordnung, die Coinbase zu einem transparenten Umgang mit biometrischen Daten verpflichtet.
Der Fall gegen Coinbase ist keine Einzellage: Seit dem vergangenen Jahr mehren sich Klagen gegen große Technologie- und Finanzunternehmen, die biometrische Daten nutzen, ohne ausreichende Zustimmung einzuholen oder transparente Informationen bereitzustellen. Betreiber von Krypto- und Finanzplattformen sehen sich zunehmend einem regulatorischen Druck und juristischen Risiken ausgesetzt. Die Sensibilität der biometrischen Daten erfordert dabei weitreichende Sicherheitsmaßnahmen sowie klare und nachvollziehbare Prozesse für Nutzerinformationen und -einwilligung. Unternehmen, die diese Anforderungen nicht erfüllen, riskieren nicht nur kostspielige Klagen, sondern auch einen Vertrauensverlust bei ihren Kunden. Interessanterweise hatte bereits im Mai 2023 eine ähnliche Klage gegen Coinbase stattgefunden.
Damals wurde das Verfahren jedoch ausgesetzt und das Verfahren ohne Präjudiz fallen gelassen, nachdem Coinbase und die Kläger sich auf eine außergerichtliche Einigung einigen konnten, die ein Schiedsverfahren vorsah. Die erneute Sammelklage demonstriert, dass die Problematik weiterhin brisant ist und die Nutzer weiterhin Unzufriedenheit über Coinbase’ Umgang mit biometrischen Daten zeigen. Dies verdeutlicht die anhaltende Herausforderung für Unternehmen, die Balance zwischen effektiver Identitätsprüfung und dem Schutz der Privatsphäre zu finden. Neben der aktuellen BIPA-Klage hat Coinbase außerdem mit weiteren Rechtsstreitigkeiten zu kämpfen. So kam es kurz nach Bekanntwerden von Korruptionsvorwürfen gegen einige Kundensupport-Mitarbeiter zu mindestens sechs weiteren Klagen.
In diesen Fällen geht es um mutmaßliche Bestechungen und Datenlecks, die das Ansehen des Unternehmens stark beschädigen. Die Summe der Klagen lässt darauf schließen, dass Coinbase sich in einer angespannten Phase befindet, in der regulatorische und vertrauensbasierte Herausforderungen sich überschneiden. Für die Kryptoindustrie ist die Klage gegen Coinbase ein wichtiger Weckruf. Die Einhaltung geltender Datenschutzgesetze ist essenziell, um das Vertrauen der Nutzer zu sichern und regulatorischen Konsequenzen vorzubeugen. Im Umgang mit biometrischen Daten steht die Branche besonders unter Beobachtung, da diese Informationen hochsensibel und schwer rückgängig zu machen sind.
Unternehmen müssen daher sicherstellen, dass sie nicht nur rechtliche Vorschriften einhalten, sondern auch ethisch verantwortungsvoll und transparent handeln. Dazu gehört eine klare Kommunikation mit den Nutzern, die Einholung von informierter Zustimmung sowie eine restriktive Datenverwendung und -löschung. Aus Sicht der Nutzer zeigt die Klage, wie wichtig es ist, die eigenen Rechte und die Datenschutzpraktiken von Unternehmen sorgfältig zu prüfen. Biometrische Daten sind Teil der digitalisierten Identität und können bei Missbrauch zu erheblichen Nachteilen führen. Verbraucher sollten aktiv nachfragen und bei Bedenken einschlägige Beratungsstellen oder rechtliche Unterstützung in Anspruch nehmen.
Ebenso ist das Bewusstsein für rechtliche Rahmenbedingungen wie das BIPA zu stärken, um sich effektiv gegen Datenschutzverletzungen wehren zu können. Abschließend steht der Fall vor einem bundesgerichtlichen Verfahren, das wegweisend für den Datenschutz im US-Finanzsektor sein könnte. Die Ergebnisse könnten weitreichende Auswirkungen auf die Gestaltung von KYC-Prozessen und die Nutzung biometrischer Identifikatoren in der Krypto-Industrie haben. Für Coinbase bedeutet der Rechtsstreit nicht nur finanzielle Risiken, sondern auch eine Chance, den Umgang mit sensiblen Nutzerdaten zu überdenken und die Sicherheits- sowie Transparenzstandards zu verbessern. Die Entscheidung könnte zudem weiteren Staaten und Unternehmen als Orientierung dienen, wie biometrischer Datenschutz rechtskonform und nutzerfreundlich umgesetzt werden kann.
Die Auseinandersetzung verdeutlicht, dass Datenschutz und innovative Technologien im Einklang stehen müssen, um langfristig erfolgreich und vertrauenswürdig zu sein.
