Bereits vier europäische Aufsichtsbehörden – die britische, griechische, französische und italienische – haben gegen das US-Unternehmen Clearview AI, Inc. Bußgelder wegen mehrerer Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) verhängt. Mindestens ein weiteres Bußgeld droht in Österreich.
Hintergrund der Bußgelder
Clearview AI Inc. ist ein 2017 in den USA gegründetes Unternehmen mit Sitz in New York City, welches Gesichtserkennungssoftware entwickelt und vertreibt. Laut eigenen Angaben führt Clearview die weltweit größte Datenbank hierzu mit mehr als 20 Milliarden Gesichtsbildern. Diese Bilder sammelte Clearview auf öffentlich zugänglichen Websites und in sozialen Medien weltweit.
Durch die abgegriffenen Bilder werden die Software weiter trainiert und die Datenbank angereichert. Allerdings hat Clearview hierbei zahlreiche Grundsätze der DSGVO, so zum Beispiel den Informationspflichten, dem Nachkommen von Betroffenenanfragen oder auch überhaupt dem Erfordernis einer Rechtsgrundlage keinerlei Rechnung getragen. Die Quittung folgte nunmehr anhand der Bußgelder.
Anwendungsbereich der DSGVO
Vor der Darlegung der konkreten Begründung der Bußgelder stellt sich zunächst die Frage, wie ein US-Unternehmen Bußgelder europäischer Behörden auferlegt bekommen kann. Dies liegt an sogenannten Marktortprinzip der DSGVO nach Art. 3: Die DSGVO findet auch Anwendung auf jene Verantwortliche mit Niederlassung außerhalb der EU bzw. des EWR, die personenbezogene Daten über in der EU ansässige Personen verarbeiten, wenn die Verarbeitungstätigkeit im Zusammenhang mit der Überwachung des Verhaltens der betroffenen Personen erfolgt.
Darüber hinaus ist es doch eher ungewöhnlich, dass ein Unternehmen von mehreren europäischen Aufsichtsbehörden Bußgelder erhält. Dies ergibt sich aber auch aus der DSGVO: Art. 55 und 56 legen fest, dass für den Fall, dass ein Verantwortlicher mit Sitz außerhalb der EU bzw. des EWR eine grenzüberschreitende Verarbeitung durchführt, jedoch keine Hauptniederlassung oder gar keine Niederlassung in der Union hat, das Verfahren des One-Stop-Shops nach Art. 60 DSGVO nicht zur Anwendung kommt. Folglich ist jede nationale Aufsichtsbehörde für die Überwachung der Einhaltung der DSGVO im eigenen Hoheitsgebiet zuständig.
Da Clearview keine Niederlassung in der EU hat, sind die jeweiligen Aufsichtsbehörden für den eigenen Hoheitsbereich zuständig. So können sich Betroffene in der EU auch nur an die Aufsichtsbehörden des eigenen Landes wenden, welche dann die Verstöße untersuchen und gesondert ahnden.
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Die einzelnen Bußgelder gegen Clearview
Was nun Clearview von den einzelnen Aufsichtsbehörden vorgeworfen und mit Bußgeldern geahndet wurde bzw. wird, können Sie den folgenden Analysen unserer Expertinnen entnehmen.
Hier halten wir Sie auch auf dem Laufenden, sofern weitere Bußgelder wie zum Beispiel aus Österreich hinzukommen und ob Clearview sich gegen die Bußgelder wehrt.
“Frankreich: 20 Mio. Euro Bußgeld”
Analyse von Vera Wallasch
Die französische Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) verhängte nunmehr eine Geldbuße in Höhe von 20 Mio. Euro gegen die Clearview AI, Inc., nachdem diese die unrechtmäßige Sammlung und Verwendung personenbezogener Daten in Frankreich nicht eingestellt hatte und den im Mahnschreiben formulierten Anordnungen nicht nachgekommen war.
Bereits im Mai 2020 erhielt die CNIL erste Beschwerden von betroffenen Personen über die Gesichtserkennungssoftware von Clearview. Die französische Datenschutzbehörde leitete daraufhin eine Untersuchung für ihr Hoheitsgebiet Frankreich ein, da das Unternehmen keine Niederlassung in Europa hat und die Benennung eines EU-Vertreters bislang nicht erfolgt ist, obwohl offenkundig Daten von EU-Bürgern verarbeitet werden. Schließlich meldete auch der Verband Privacy International die Verstöße des Unternehmens gegenüber der CNIL im Mai 2021.
Im Rahmen der gegenseitigen Amtshilfe gemäß Art. 61 DSGVO erhielt die CNIL zudem nützliche Informationen von den europäischen Kollegen, die ebenfalls Beschwerden von Betroffenen im Zusammenhang mit den Verarbeitungen in Italien, Großbritannien und Griechenland erhalten hatten.
Im Rahmen der eingeleiteten Ermittlungen wurden mehrere schwerwiegende Verstöße gegen die DSGVO festgestellt:
- Verstoß gegen 6 DSGVO: Die unrechtmäßige Verarbeitung personenbezogener und sensibler (biometrischer) Daten, da die Erhebung und Verwendung dieser ohne Rechtsgrundlage erfolgt,
- Verstöße gegen Art. 12, 15 und 17 DSGVO: Verletzung der Informationspflichten und keine ausreichende und wirksame Berücksichtigung von Betroffenenrechten auf Auskunft und Löschung.
Die Betroffenen hatten offensichtlich Schwierigkeiten ihre Rechte gegenüber dem Unternehmen wahrzunehmen. Das Unternehmen hatte:
- die Ausübung des Auskunftsrechts auf Daten beschränkt, die in den letzten 12 Monaten vor dem Antrag gesammelt wurden,
- die Ausübung des Auskunftsrechts ohne Begründung auf zweimal im Jahr beschränkt,
- bestimmte Anträge auf Auskunft erst nach einer übermäßigen Anzahl von Anträgen derselben betroffenen Person beantwortet und
- Anträge auf Auskunft und Löschung der Daten nur teilweise oder gar nicht beantwortet.
Infolgedessen erließ die CNIL am 26. November 2021 zunächst einen Mahnbescheid gegen Clearview und forderte auf:
- die rechtswidrige Erhebung und Verwendung personenbezogener Daten von Personen in Frankreich mittels der betriebenen Gesichtserkennungssoftware einzustellen, solange keine Rechtsgrundlage vorliegt und
- Betroffenenrechte gemäß den Anforderungen der DSGVO zu bearbeiten.
Da das Unternehmen nicht innerhalb der ihm auferlegten zweimonatigen Frist auf die Mahnung der CNIL reagierte, insbesondere den zugesandten Kontrollfragebogen nur sehr unvollständig beantwortete und das Mahnschreiben der CNIL ebenfalls unbeantwortet ließ, sah die CNIL hierin zusätzlich einen Verstoß gegen die Verpflichtung zur Zusammenarbeit mit der Aufsichtsbehörde (Art. 31 DSGVO). Die CNIL beschloss nunmehr zu sanktionieren und die maximale Geldbuße gemäß Art. 83 Abs. 5 DSGVO in Höhe von 20 Mio. Euro gegen das Unternehmen zu verhängen.
Mit Berücksichtigung der großen Risiken für die Grundrechte betroffener Personen wurde Clearview nochmals ausdrücklich untersagt, ohne Rechtsgrundlage Daten von Personen in Frankreich zu verarbeiten und angewiesen, die bereits erhobenen Daten dieser Personen innerhalb von zwei Monaten zu löschen. Die Geldbuße solle sich auf weitere 100.000 Euro pro Verzugstag erhöhen, sofern das Unternehmen nicht zahlt oder anderweitig reagiert.
Datenschutzrechtliche Einschätzung des Bußgeldes
Rechtsgrundlage
Um rechtmäßig zu sein, muss eine Verarbeitung personenbezogener Daten auf einer der in Art. 6 der DSGVO genannten Rechtsgrundlagen beruhen. Die Verarbeitung personenbezogener Daten, insbesondere sensibler Daten wie in Rede stehender biometrischer Daten (hier: Gesicht) zur eindeutigen Identifizierung einer natürlichen Person ist gemäß Art. 9 Abs. 1 DSGVO verboten und nur in den in Absatz 2 des Art. 9 genannten Ausnahmetatbeständen, wie etwa bei ausdrücklicher Einwilligung, erlaubt.
Clearview holt weder die vorherige Einwilligung der betroffenen Personen ein, noch besteht laut CNIL ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) daran, die Porträtfotos im Internet abzurufen, da keine Geschäftsbeziehung zwischen Clearview und den betroffenen Personen besteht Die Betroffenen, deren Fotos oder Videos auf verschiedenen Websites und in sozialen Netzwerken zugänglich sind, erwarten vernünftigerweise nicht, dass ihre Bilder von Unternehmen verarbeitet werden, um eine Gesichtserkennungssoftware zu füttern, welche seitens Clearview ausschließlich zu kommerziellen Zwecken unter anderem an Ermittlungsbehörden vertrieben wird. Der Besitz dieser Daten durch Dritte stellt einen starken Eingriff in das Privatleben der Betroffenen dar. Hierin liegt ein grober Verstoß gegen die Grundsätze der Verarbeitung personenbezogener Daten vor (Art. 5, 6, 9 DSGVO).
Auch der öffentlich zugängliche Charakter der Daten hat bei der Prüfung des berechtigten Interesses keinen Einfluss darauf, ob personenbezogene Daten als solche eingestuft werden. Die CNIL erinnert daran, dass es keine allgemeine Erlaubnis gibt, öffentlich zugängliche personenbezogene Daten weiterzuverwenden und erneut zu verarbeiten, insbesondere ohne das Wissen der Betroffenen.
Informationspflichten
Wenn Verantwortliche beabsichtigen, personenbezogene Daten zu erheben und zu verarbeiten, müssen die Betroffenen umfassend darüber informiert werden. Für den Fall, dass die Daten nicht bei der betroffenen Person selbst, sondern wie vorliegend bei Dritten erhoben werden, verlangt Art. 14 DSGVO, dass Betroffenen bestimmte Informationen zur Verfügung gestellt werden. Diese Informationen beinhalten u. a. folgendes:
- Zwecke der Verarbeitung,
- Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
- Speicherdauer,
- berechtigte Interessen und
- Quelle, aus der die personenbezogenen Daten stammen.
Die Informationen hätten innerhalb einer angemessenen Frist, längstens jedoch innerhalb eines Monats nach Erlangung der Daten erteilt werden müssen (Art. 14 Abs. 3 DSGVO). Im konkreten Fall wurden Betroffene nicht über die Vorgehensweise des systematischen Screen Scrapings informiert. Abgesehen davon, dass keine Rechtsmäßigkeit für die Verarbeitung der personenbezogenen Daten vorliegt, hätte Clearview dieser Informationspflicht nachkommen müssen, indem es zumindest ein entsprechendes Informationsschreiben für die jeweiligen Websites erstellt und dieses überall dort zugänglich macht, wo Portraitfotos und Videos seitens Betroffenen hochgeladen werden könnten.
Tipp: Lesen Sie unsere praktische Anleitung zur Erfüllung der Informationspflichten nach DSGVO und erstellen Sie ein Informationsschreiben für Kunden mit unserem kostenlosen Generator.
Betroffenenrechte
Zudem hat ein Verantwortlicher gemäß Art. 12 Abs. 2 DSGVO Betroffenen die Ausübung ihrer Rechte nach Art. 15 bis 22 DSGVO zu erleichtern. Die Wahrnehmung dieser Rechte wurde beispielsweise durch die Beschränkung der Ausübung des Auskunftsrechts auf Daten der letzten 12 Monate vor dem Antrag oder durch die Nichtbeantwortung von Anträgen erheblich erschwert, sodass betroffene Personen keine andere Möglichkeit sahen, als sich an die französische Datenschutzbehörde zu wenden. Dies stellt eine Verletzung der Rechte betroffener Personen dar (Art. 12, 15, 17 DSGVO). In Anbetracht der hohen Bußgelder, die bei Nichtbeachtung drohen, ist es umso wichtiger für Verantwortliche Betroffenenrechte und Betroffenenanfragen ernst zu nehmen.
Tipp: Vermeiden Sie solche Fehler mit unserer Anleitung für den Umgang mit Betroffenenanfragen und implementieren Sie eine Richtlinie zum Verhalten bei Betroffenenanfragen in Ihrem Unternehmen.
Ferner verstieß das Unternehmen gegen die Verpflichtung zur Zusammenarbeit mit der Aufsichtsbehörde. Allein die fehlende Zusammenarbeit mit den Dienststellen der CNIL (Artikel 31 DSGVO) und die Nichtbefolgung von Anweisungen (Art. 58 Abs. 2 DSGVO) reichten als Verstöße materieller Art für die hohe vorgesehene Geldbuße nach Art. 83 Abs. 5 DSGVO aus.
“Griechenland: 20 Mio. Euro Bußgeld”
Analyse von Vasiliki Paschou
Die griechische Aufsichtsbehörde Hellenic Data Protection Authority (HDPA) verhängte am 13. Juli 2022 gegen Clearview AI, Inc. eine Geldbuße in Höhe von 20 Millionen Euro. Clearview darf außerdem keine personenbezogenen Daten in Griechenland mehr sammeln oder verarbeiten. Die bereits gesammelten Daten griechischer Bürger sollen gelöscht werden.
Am 26. Mai 2021 reichte die gemeinnützige Datenschutzorganisation Homo Digitalis im Auftrag eines Betroffenen bei der griechischen Aufsichtsbehörde HDPA eine Beschwerde ein. Aus Sicht des Beschwerdeführers verletzte das Unternehmen Clearview AI sein Recht auf Auskunft.
Während der Bearbeitung der Beschwerde in Griechenland stellte die Behörde mehrfache Verletzungen der DSGVO (Datenschutz-Grundverordnung) durch das US-Unternehmen fest. Der Bußgeldempfänger hatte:
- das Recht auf Auskunft verletzt (Art. 15 DSGVO),
- (sensible) personenbezogene Daten nicht rechtmäßig verarbeitet (Art. 5, 6, 9 DSGVO),
- Betroffene nicht über die Verarbeitung informiert (Art. 12, 14 DSGVO) und
- keinen EU-Vertreter bestellt (Art. 27 DSGVO).
Datenschutzrechtliche Einschätzung des Bußgeldes
Verstoß gegen das Recht auf Auskunft
Homo Digitalis hatte Anfang letzten Jahres das Betroffenenrecht auf Auskunft gem. Art. 15 DSGVO einer von ihr vertreten Person gegenüber dem New Yorker Unternehmen geltend gemacht. Nachdem allerdings einen Monat später immer noch keine Rückmeldung kam, verschickte Homo Digitalis eine Erinnerungs-E-Mail an die verantwortliche Stelle.
Einige Tage später meldete sich ein Vertreter von Clearview AI und informierte, dass keine Betroffenenanfrage in ihrem Postfach eingegangen sei. Der Betroffene wurde gebeten, ein Foto beizufügen, damit er als Betroffener erkannt werden könne. Homo Digitalis wendete sich daraufhin an die griechische Aufsichtsbehörde und reichte Beschwerde ein.
Mit dem Auskunftsrecht nach Art. 15 wird in der DSGVO ein bedeutsames Betroffenenrecht garantiert. Danach können betroffene Personen von dem für die Datenverarbeitung Verantwortlichen Auskunft darüber verlangen, welche Daten dort über sie gespeichert bzw. verarbeitet werden.
Außerdem sollen Betroffene vom Verantwortlichen Informationen über die Verarbeitungszwecke, die Herkunft der Daten, über mögliche Empfänger, an die ihre Daten übermittelt werden, usw. erhalten. Durch das Auskunftsrecht werden Betroffene in die Lage versetzt, den Überblick und damit auch die Kontrolle darüber zu behalten, welche Ihrer personenbezogenen Daten verarbeitet werden.
Das Gesetz fordert, dass der Verantwortliche eine Antwort erteilen muss, und zwar spätestens innerhalb eines Monats.
Betroffenenanfragen sollten Sie ernst nehmen, denn bei Verletzung des Auskunftsrechts drohen Unternehmen gemäß Art. 83 Abs. 5 b) DSGVO Bußgelder in Höhe von bis zu 20 Mio. Euro oder 4 % ihres gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs – je nachdem welcher der Beträge höher ist.
Tipp: Lesen Sie dazu auch unsere Anleitung zum Umgang mit Betroffenenanfragen.
Verstoß gegen die Grundsätze der Verarbeitung
Jahrelang hat Clearview AI besonders sensible Daten – vor allem auch biometrische Daten – der betroffenen Personen gesammelt, zusammengeführt und verarbeitet, ohne dafür eine Rechtsgrundlage aufweisen zu können.
Ein wesentlicher Grundsatz der DSGVO ist die Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Dafür muss immer eine Rechtsgrundlage gem. Art. 6 DSGVO oder Art. 9 DSGVO vorliegen. Je nach Zweck der Verarbeitung kann die verantwortliche Stelle die Rechtmäßigkeit dabei auf verschiedene Tatbestände stützen.
Die DSGVO stuft biometrische Daten nach Art. 4 Nr. 13 und 14 DSGVO in die sogenannten besonders schützenswerte Kategorie personenbezogener Daten ein, denn sie machen einen Menschen so eindeutig identifizierbar, dass der Schutzbedarf als besonders hoch angesehen wird.
Das bedeutet, dass diese Daten nur unter den strengen Voraussetzungen des Art. 9 DSGVO verarbeitet werden dürfen. Danach ist die Verarbeitung biometrischer Daten in der Regel untersagt, wenn keine Rechtsgrundlage besteht, etwa weil die betroffene Person in die Verarbeitung der biometrischen Daten für einen bestimmten Zweck eingewilligt hat (Art. 9 Abs. 2 lit. a) DSGVO).
In Abwesenheit einer anderen einschlägigen Rechtsgrundlage hätte Clearview AI demnach die ausdrückliche Einwilligung der betroffenen Personen einholen müssen – und zwar unter Beachtung von Art. 7 DSGVO.
Verstoß gegen die Informationspflichten
Zudem hatte Clearview AI die betroffenen Personen über die Erfassung und Verarbeitung ihrer Daten gar nicht informiert.
Die DSGVO sieht jedoch konkrete Informationspflichten vor, damit die Betroffenen ihr Recht auf Schutz personenbezogener Daten wahrnehmen überhaupt können.
Die DSGVO unterscheidet dabei zwischen zwei Fällen:
- Zum einen, wenn personenbezogene Daten bei dem Betroffenen direkt erfasst werden ( 13 DSGVO) und
- zum anderen, wenn diese nicht bei der betroffenen Person erhoben werden ( 14 DSGVO).
Für Clearview AI wäre der zweite Fall einschlägig, da die Daten aus Online-Quellen gesammelt worden sind.
Inhaltlich treffen den Verantwortlichen bei dieser Art der Erhebung die gleichen Informationspflichten wie im Fall von Art. 13 DSGVO. Ausnahme bildet dabei nur die Information über die Verpflichtung zur Bereitstellung, da der Verantwortliche nicht selbst über diese entscheiden kann. Außerdem trifft ihn die Pflicht darüber zu informieren, aus welcher Quelle die Daten stammen und ob es sich dabei um eine öffentlich zugängliche handelt.
Den Informationspflichten ist als Verantwortlicher in präziser, transparenter, verständlicher und leicht zugänglicher Form nachzukommen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden. Der Verordnungsgeber sieht in Erwägungsgrund 60 DSGVO weiterhin die Möglichkeit vor, dass die Informationen auch in Kombination mit standardisierten Bildsymbolen (Icons) bereitgestellt werden können, um einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln.
Tipp: Lesen Sie dazu auch unsere Anleitung zu Ihren Informationspflichten.
Verstoß gegen die Pflicht zur Bestellung eines EU-Vertreters
Clearview AI behaupte zunächst, dass es gar nicht in den Anwendungsbereich der DSGVO fällt, da es ein US-Unternehmen ist.
Da Clearview AI jedoch personenbezogene Daten von betroffenen Personen verarbeitet, die sich in der EU befinden und die Verarbeitung im Zusammenhang mit der Beobachtung des Verhaltens der Betroffenen steht, findet die DSGVO sehr wohl Anwendung (Art. 3 Abs. 2 lit. b DSGVO).
Die griechische Behörde forderte deshalb von Clearview AI, einen Vertreter in der EU zu benennen, damit EU-Bürger ihre Rechte leichter wahrnehmen können und einen Ansprechpartner in der EU haben. Die Funktion des EU-Vertreters besteht im Wesentlichen darin, als externe Anlaufstelle für Aufsichtsbehörden und Betroffene zur Verfügung zu stehen.
Die Bestellung zum EU-Vertreter durch den Verantwortlichen muss gemäß Art. 27 Abs. 1 DSGVO schriftlich erfolgen. Weiterhin sind die Betroffenen gem. Art. 13 und 14 DSGVO über das Vorhandensein eines Vertreters zu informieren. Das bedeutet, dass die Kontaktdaten des EU-Vertreters in jeder relevanten Datenschutzerklärung angegeben werden müssen. Zudem muss der EU-Vertreter im Verzeichnis von Verarbeitungstätigkeiten gem. Art 30 DSGVO benannt sein.
Die Benennung eines EU-Vertreters ist demnach besonders wichtig und erforderlich für Unternehmen, die in einem Drittland, wie z.B. den USA oder der Schweiz, niedergelassen sind. Bei einem fehlenden EU-Vertreter drohen gem. Art. 83 Abs. 4 lit. a) DSGVO hohe Bußgelder.
“Großbritannien: 7,5 Mio. Pfund Bußgeld”
Analyse von Elke Fenk
Die britische Aufsichtsbehörde Information Commissioner’s Office (ICO) verhängte eine Geldstrafe in Höhe von 7,5 Mio. GBP gegen Clearview Al Inc. wegen der Verwendung von Bildern und anderen Informationen aus dem Internet für ihre Gesichtserkennungs-App. Die Geldstrafe folgt auf eine gemeinsame Untersuchung des ICO und des der australischen Datenschutzaufsicht Office of the Australian Information Commissioner (OAIC), die im Juli 2020 begann.
Cleaview Al Inc. bietet seine Dienste im Vereinigten Königreich nicht mehr an, die App wird jedoch weiterhin in anderen Ländern genutzt und die Daten von Einwohnern des Vereinigten Königreichs befinden sich weiterhin in der Datenbank.
Begründung des Bußgeldes
Im Juli 2020 begannen das OAIC und die ICO ihre gemeinsame Untersuchung der App von Clearview Al Inc. und konzentrierten sich auf das Scraping öffentlich zugänglicher personenbezogener Daten und die Verwendung biometrischer Daten zur Gesichtserkennung.
Als Ergebnis der Untersuchung stellte die ICO fest, dass Clearview Al Inc. gegen die folgenden Anforderungen der Datenschutzgesetze, insbesondere gegen die britische Datenschutzgrundverordnung, welche bisweilen der EU-DSGVO entspricht, verstoßen hat:
- Unterrichtung der betroffenen Personen über die Erhebung und Verwendung ihrer Daten unter Verstoß gegen Art. 13 und 14 UK GDPR;
- Bereitstellung einer Rechtsgrundlage für die jeweilige Verarbeitung im Widerspruch zu Art. 6 und 9 UK GDPR;
- Speicherbeschränkungen für die verarbeiteten Daten gemäß Art. 5 Abs. 1 lit. e UK GDPR;
- Die Einhaltung der Standards von Art. 9 UK GDPR in Bezug auf die verarbeiteten biometrischen Daten; und
- Erfüllung der Wünsche der betroffenen Person, insbesondere des Rechts auf Auskunft und Löschung gemäß Art. 15 und 17 UK GDPR. In diesem Fall bat Clearview Al Inc. um zusätzliche persönliche Informationen, insbesondere um weitere Bilder der betroffenen Person, um deren Identität zu klären. Das ICO stellte fest, dass dies auf Personen, die die Erhebung und Verwendung ihrer Daten hinterfragen wollen, abschreckend wirken könnte.
Daher verhängte die ICO gegen Clearview Al Inc. eine Geldstrafe in Höhe von insgesamt 7.552.800 Pfund, umgerechnet ca. 8.580.000 Euro. Zudem erließ die ICO gegen Clearview Al. Inc. auch einen Vollstreckungsbescheid, mit den Aufforderungen, erstens die Verwendung der Daten von im Vereinigten Königreich ansässigen Personen einzustellen und zweitens alle Daten von im Vereinigten Königreich ansässigen Personen aus den Systemen des Unternehmens zu löschen.
Der Ausgang des OAIC-Verfahrens ist noch nicht bekannt, doch wird Clearview Al Inc. höchstwahrscheinlich auch in diesem Fall mit Geldbußen oder ähnlichen Sanktionen rechnen müssen.
Datenschutzrechtliche Einschätzung
Diese Untersuchung und ihr Ergebnis unterstreichen einmal mehr, wie wichtig die Einhaltung der Anforderungen des Datenschutzrechts ist, wenn es um die Verarbeitung personenbezogener Daten und insbesondere besonderer Kategorien personenbezogener Daten geht. Unternehmen müssen nicht nur den Zweck der Verarbeitung berücksichtigen, in diesem Fall die Schaffung einer ausreichend großen Datenbank für ihre Gesichtserkennungs-App, sondern auch die Grundsätze der rechtmäßigen Verarbeitung nach Art. 5 UK GDPR/DSGVO. Dies ist auch bei der Verarbeitung öffentlich zugänglicher Daten erforderlich.
Mit der DSGVO soll sichergestellt werden, dass die betroffenen Personen nach wie vor die Macht über die eigenen Daten haben und daher wissen, wer welche Daten in welchem Umfang verarbeitet. Die bloße öffentliche Zugänglichkeit stellt keine Rechtsgrundlage oder Erlaubnis dar, die Daten für eigene, weitergehende Zwecke zu verarbeiten. Dies würde dem soeben erläuterten Ziel des Datenschutzes widersprechen.
Dementsprechend sollten Sie vor der Verarbeitung (auch öffentlich zugänglicher) personenbezogener Daten stets die Zwecke der Datenverarbeitung klären, prüfen, ob eine Rechtsgrundlage die Verarbeitung erlaubt, und die betroffenen Personen unbedingt in leicht zugänglicher Form über die Verarbeitung ihrer Daten und ihre Rechte zum Schutz dieser Daten informieren.
“Italien: 20 Mio. Euro Bußgeld”
Analyse von Elke Fenk
Als erste europäische Aufsichtsbehörde legte die italienische Behörde Garante per la protezione dei dati personali dem US-Unternehmen Clearview ein Bußgeld aufgrund zahlreicher Verstöße gegen die Grundsätze der DSGVO auf. Die Höhe von 20 Mio. Euro ist dabei durchaus beachtlich. Das Bußgeld folgt einer Untersagung der französischen Aufsichtsbehörde CNIL.
Hintergrund des Bußgeldes
Eine Allianz von Organisationen, darunter die von Max Schrems gegründete Organisation nyob, sowie Privacy International, Hermes Center und Homo Digitalis, haben in fünf Ländern, Frankreich, Griechenland, Italien, Österreich und dem Vereinigten Königreich Beschwerden gegen Clearview AI Inc. eingereicht. Die französische Behörde sprach 2021 eine Untersagung der weiteren Verarbeitung von personenbezogenen Daten französischer Betroffener aus, ließ ein Bußgeld noch offen. Italien hat am Ende der eigenen Untersuchung im März 2022 als erste der fünf angefragten Behörden mit einem Bußgeld reagiert.
Begründung
Die italienische Behörde kam nach der angestellten Untersuchung zu dem Ergebnis, dass Clearview nicht nur personenbezogene Daten ohne rechtmäßige Rechtsgrundlage nach Art. 6 DSGVO verarbeitet, sondern auch gegen zahlreiche Prinzipien und Grundlagen der DSGVO verstößt. Darunter fallen das Transparenzgebot, der Zweckbindungsgrundsatz sowie das Prinzip der Speicherbegrenzung. Ergebnis dieser Verstöße ist eine Untersagung der weiteren Verarbeitung von Daten von italienischen Bürgen sowie die Verhängung eines Bußgeldes in Höhe von 20 Mio. Euro.
Fehlende Rechtsgrundlage
Zunächst bemängelte die italienische Aufsichtsbehörde die fehlende Rechtsgrundlage, welche sich aus Art. 6 DSGVO ergibt. Clearview beruft sich hierbei auf Art. 6 Abs. 1 lit. f) DSGVO, der Verarbeitung aufgrund überwiegender berechtigter Interessen. Das Interesse am Aufbau der Datenbank wurde dabei in Italien als nicht ausreichend überwiegend angesehen. Vielmehr wäre eine Einwilligung der Betroffenen nach Art. 6 bzw. 9 DSGVO notwendig.
Art. 9 DSGVO legt dabei noch eine weitere Besonderheit für die Einwilligung bei Verarbeitung von zum Beispiel biometrischen Daten, wie sie auch hier verarbeitet wurden und werden, fest, nämlich die Ausdrücklichkeit der Einwilligung. Biometrische Daten können grundlegend nicht auf Basis des überwiegend berechtigten Interesses verarbeitet werden.
Transparenzgebot
Weiter hatte die italienische Behörde die fehlende Transparenz zu bemängeln. Art. 13 und 14 DSGVO schreiben Verantwortlichen vor, Betroffene vor der geplanten Verarbeitung über diese ausreichend transparent und verständlich zu informieren. Dabei sind Angaben wie die notwendige Rechtsgrundlage, Zweck der Verarbeitung, Empfänger der Daten und ggf. stattfindende Transfers in Drittländer anzugeben. Clearview griff dabei jedoch einfach auf öffentlich zugängliche Datensätze der Betroffenen zu, ohne vorab Informationen zur geplanten Verarbeitung innerhalb der Gesichtserkennungssoftware zur Verfügung zu stellen. Betroffenen war demnach überhaupt nicht bewusst, dass ihre Daten im Netz auch für diese Software genutzt und verarbeitet werden. Eine Wahrnehmung der von der DSGVO zugesprochenen Betroffenenrechte sowie die Durchsetzung des Grundrechts auf Datenschutz und informationelle Selbstbestimmung wurde damit schlichtweg umgangen.
Zweckbindungsgrundsatz
Als weiteren Mangel zählt die Behörde in Italien die Missachtung des Zweckbindungsgrundsatzes auf. Personenbezogene Daten dürfen nach diesem DSGVO-Grundsatz demnach nur zu dem initialen, spezifischen Zweck verarbeitet werden. Zweckänderungen sind immer bekannt zu geben und gegebenenfalls über eine neue Einholung der Rechtsgrundlagen, insbesondere der Einwilligung, zu legitimieren. Zwecke der Verarbeitung bereits erhobener Daten dürfen nicht ohne Weiteres geändert werden. Die betroffenen Personen im vorliegenden Fall haben beispielsweise ihre Bilder auf soziale Netzwerke nicht zum Zwecke der Aufnahme in die Gesichtserkennungssoftware von Clearview hochgeladen. Die Verarbeitung ihrer Daten zu diesem Zweck war unbekannt und kann auch nicht erwartet werden.
Speicherbegrenzung
Darüber hinaus hat Clearview keine Speicherbegrenzung der Daten, zum Beispiel nach Zweckfortfall, festgelegt. Daten wurden von Clearview bisweilen ohne angestrebte Löschung verarbeitet. Die DSGVO schreibt jedoch in Art. 5 DSGVO als eines die Prinzipien vor, Daten, die nicht mehr erforderlich sind, zu löschen. Eine solche Löschung wurde von Clearview weder angesetzt noch angestrebt.
Lehre aus den Bußgeldern gegen Clearview für Unternehmen innerhalb und außerhalb der EU
Die gegen Clearview durch die europäischen Aufsichtsbehörden verhängten Bußgelder sollten Unternehmen innerhalb und außerhalb Europas die Notwendigkeit der Einhaltung der Grundsätze der DSGVO verdeutlichen. Art. 5 DSGVO sollte bei jeglicher Planung von Verarbeitungen personenbezogener Daten immer erster Anhaltspunkt zur Festlegung der Verarbeitungsschritte sein und eine zentrale Rolle in Unternehmen bei der Verarbeitung personenbezogener Daten spielen.
Hervorzuheben ist insbesondere, dass die DSGVO-Prinzipien und Regelungen auch für Daten, die öffentlich im Netz oder anderswo zugänglich sind, gelten. Das bloße öffentlich zur Verfügung stehen genügt als Rechtfertigung eben gerade nicht.
Prüfen Sie daher bei Ihren Verarbeitungsvorgängen Rechtsgrundlagen und DSGVO-Prinzipien besonders streng. Unsere Experten helfen Ihnen hierbei gerne.Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!