Italienische Datenschutzbehörde: 20 Mio. EUR DSGVO-Bußgeld gegen Clearview wegen rechtswidriger Gesichtserkennung

10.03.2022

Die italienische Datenschutzbehörde erklärt in einer aktuellen Pressemitteilung,  eine DSGVO-Geldbuße von 20 Mio. EUR gegen den Anbieter Clearview AI wegen der unerlaubten Verwendung biometrischer Daten (Gesichtserkennung) verhängt zu haben. 

Clearview AI ist ein amerikanisches Unternehmen, das sich mit Hilfe sehr großer Bilddatenmengen und von maschinellem Lernen auf die Gesichtserkennung mit Computersystemen spezialisiert hat. Nach aktuellen Schätzungen hat es etwa 10 Milliarden Bilder von Gesichtern in seiner Datenbank.

Die italienische Datenschutzbehörde hat dies als massiven Verstoß gegen die DSGVO bewertet:

"Das Unternehmen – das behauptet, über eine Datenbank mit über 10 Milliarden Bildern von Gesichtern von Menschen aus der ganzen Welt zu verfügen, die aus öffentlichen Webquellen per Web Scraping (wie Nachrichtenseiten, soziale Medien und Online-Videos) extrahiert wurden – bietet einen hochqualifizierten Suchdienst an das dank künstlicher Intelligenz die Erstellung von Profilen auf der Grundlage biometrischer Daten ermöglicht, die aus den Bildern extrahiert werden, möglicherweise angereichert mit anderen damit verbundenen Informationen, wie Titel und Geolokalisierung des Fotos, Veröffentlichungswebseite.

Aus der Untersuchung (...)ging hervor, dass Clearview AI entgegen der Behauptung des Unternehmens auch die Verfolgung italienischer Staatsbürger und Personen, die sich in Italien aufhalten, ermöglicht.

Die Ergebnisse ergaben, dass die im Besitz des Unternehmens befindlichen personenbezogenen Daten, einschließlich biometrischer und Geolokalisierungsdaten, ohne angemessene Rechtsgrundlage illegal verarbeitet werden, was sicherlich nicht das berechtigte Interesse des amerikanischen Unternehmens sein kann. Das Unternehmen hat auch gegen andere Grundprinzipien der DSGVO verstoßen, wie z. B. diejenigen in Bezug auf die Transparenzpflichten, indem es die Benutzer nicht angemessen informiert hat, die Beschränkung der Zwecke der Verarbeitung, Benutzerdaten für andere Zwecke als die, für die sie online veröffentlicht wurden, verwendet zu haben und die Speicherung zu beschränken, keine Aufbewahrungsfristen für Daten festgelegt zu haben.

Die Tätigkeit von Clearview AI verletzt daher die Freiheiten der betroffenen Personen, einschließlich des Schutzes der Vertraulichkeit und des Rechts, nicht diskriminiert zu werden."

Und weiter:

"Angesichts der festgestellten Verstöße verhängte der Garant Clearview AI eine Verwaltungsstrafe in Höhe von 20 Millionen Euro. Die Behörde befahl dem Unternehmen außerdem, Daten über Personen zu löschen, die sich in Italien aufhalten, und untersagte die weitere Erfassung und Verarbeitung durch sein Gesichtserkennungssystem.

Schließlich hat der Garant Clearview AI auferlegt, einen Vertreter im Gebiet der Europäischen Union zu benennen, der als Gesprächspartner fungiert, zusätzlich zu oder anstelle des Datenverantwortlichen mit Sitz in den Vereinigten Staaten, um die Ausübung der Rechte zu erleichtern interessiert."