Das britische Berufungsgericht Upper Tribunal (UT) hat eine wegweisende Entscheidung im Fall der seit Jahren umstrittenen, auf biometrische Gesichtserkennung spezialisierten US-Firma Clearview AI getroffen. Die Londoner Richter bestätigten in einem Urteil die Zuständigkeit der britischen Datenschutzbehörde für den Fall. Das Information Commissioner’s Office (ICO) ist demnach für die Verhängung einer Geldstrafe in Millionenhöhe und eine Anweisung zu deren Durchsetzung gegen das Unternehmen zuständig.
Weiterlesen nach der Anzeige
Clearview entnahm durch sogenanntes Scraping Milliarden von Fotos aus dem Internet und von sozialen Medien. Davon sind auch zahlreiche britische Bürger betroffen. Das Start-up lud die Bilder in eine globale, kommerziell genutzte Gesichtserkennungsdatenbank. Diese bietet es zur Identifizierung und zur Überwachung des Verhaltens von Personen unter anderem Strafverfolgungsbehörden an.
Im Mai 2022 sanktionierte das ICO Clearview mit einer Geldbuße in Höhe von knapp 7,6 Millionen Pfund (8,75 Millionen Euro). Die Aufsichtsinstanz wies die Firma zugleich an, ihr Verhalten zu unterlassen. Clearview legte Berufung ein, woraufhin der Fall durch die Instanzen ging. Jetzt entschied das Upper Tribunal zugunsten der Datenschutzbehörde und stellte klar: Die Verarbeitung personenbezogener Daten durch Clearview dient der Überwachung des Verhaltens von in Großbritannien ansässigen Personen.
Clearview zur Rechenschaft ziehen
Weiter heben die Berufungsrichter hervor: Clearview fällt nicht aus dem Anwendungsbereich des britischen Datenschutzrechts heraus, nur weil es seine Dienste hauptsächlich ausländischen Strafverfolgungs- und Regierungsbehörden anbietet. Die Vorinstanz, das First-tier Tribunal (FTT), hatte gemeint, die britischen, an die Datenschutz-Grundverordnung (DSGVO) angelehnten Vorschriften griffen in so einem Fall nicht.
Die Entscheidung des UT ist für künftige Fälle mit ähnlichen Zuständigkeitsfragen rechtsverbindlich. Sie bestätigt den territorialen und sachlichen Geltungsbereich der „UK-DSGVO„. Der britische Datenschutzbeauftragte John Edwards begrüßt das Urteil. Es gewährleiste die Handlungsfähigkeit der Behörde, Bürger vor dem unrechtmäßigen Sammeln ihrer personenbezogenen Informationen zu schützen – unabhängig davon, wo Verantwortliche ihren Sitz haben. Auch ausländische Organisationen, deren Technologien die Freiheiten von Personen in Großbritannien beeinträchtigen, müssten zur Rechenschaft gezogen werden.
Implikationen und internationale Dimension
Weiterlesen nach der Anzeige
Das UT arbeitete heraus, dass die Aktivitäten von Clearview eine „Verhaltensüberwachung“ darstellen. Es entschied sich für eine weitreichende Interpretation dieses Begriffs, die auch die automatisierte Verarbeitung von Daten klar umfasst. Die Bürgerrechtsorganisation Privacy International unterstreicht, dass mit dem Beschluss ein „Outsourcen“ tief in die Grundrechte einschneidender Überwachungsmaßnahmen an private Akteure nicht mehr möglich sei.
Der Streit geht nun zurück an die niedere Instanz, um die Eingaben von Clearview auf Basis der nun geklärten Zuständigkeit des ICO noch einmal zu prüfen. Das Unternehmen kann noch Berufung gegen das UT-Urteil einlegen. Auch die Datenschutzbehörden von EU-Ländern wie Frankreich, Italien, den Niederlanden, Österreich und Griechenland werteten Clearviews Praktiken bereits als Verstoß gegen die DSGVO. Sie verhängten Geldbußen in Höhe von insgesamt 65,2 Millionen Euro. Privacy International zufolge hat die Firma die Strafen aber noch nirgends bezahlt.
(dahe)
Dieser Link ist leider nicht mehr gültig.
Links zu verschenkten Artikeln werden ungültig,
wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden.
Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung!