20 Mio. Euro Bußgeld wegen unrechtmäßiger Verarbeitung sensibler Daten

Nach der französischen, britischen und italienischen verhängte nun auch die griechische Aufsichtsbehörde Hellenic Data Protection Authority (HDPA) am 13. Juli 2022 gegen Clearview AI, Inc. eine Geldbuße in Höhe von 20 Millionen Euro. Clearview darf außerdem keine personenbezogenen Daten in Griechenland mehr sammeln oder verarbeiten. Die bereits gesammelten Daten griechischer Bürger sollen gelöscht werden.

Hintergrund des DSGVO-Bußgeldes

Am 26. Mai 2021 reichte die gemeinnützige Datenschutzorganisation Homo Digitalis im Auftrag eines Betroffenen bei der griechischen Aufsichtsbehörde HDPA eine Beschwerde ein. Aus Sicht des Beschwerdeführers verletzte das Unternehmen Clearview AI sein Recht auf Auskunft.

Clearview AI ist ein 2017 gegründetes Unternehmen, das Gesichtserkennungssoftware entwickelt. Es gibt an, die größte bekannte Datenbank mit über zehn Milliarden Gesichtsbildern zu führen, die es von sozialen Netzwerken und anderen öffentlichen Internetquellen aus aller Welt sammelt. Die gesammelten Gesichtsbilder werden mit der Gesichtserkennungssoftware von Clearview AI abgeglichen, um die Datenbank des Unternehmens zu füttern. Den Zugang zu dieser Datenbank verkauft Clearview schließlich an Unternehmen und Strafverfolgungsbehörden auf der ganzen Welt.

Seit Mai 2021 reichte eine internationale Koalition bekannter Datenschutzorganisationen, bestehend aus Homo Digitalis, Privacy International, Hermes Center und noyb bei den zuständigen Behörden in Großbritannien, Italien, Österreich, Frankreich und Griechenland Beschwerden gegen das Unternehmen Clearview AI ein.

Während der Bearbeitung der Beschwerde in Griechenland stellte die Behörde mehrfache Verletzungen der DSGVO (Datenschutz-Grundverordnung) durch das US-Unternehmen fest. Der Bußgeldempfänger hatte:

  • das Recht auf Auskunft verletzt (Art. 15 DSGVO),
  • (sensible) personenbezogene Daten nicht rechtmäßig verarbeitet (Art. 5, 6, 9 DSGVO),
  • Betroffene nicht über die Verarbeitung informiert (Art. 12, 14 DSGVO) und
  • keinen EU-Vertreter bestellt (Art. 27 DSGVO).

Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!

Datenschutzrechtliche Einschätzung des Bußgeldes

Verstoß gegen das Recht auf Auskunft

Homo Digitalis hatte Anfang letzten Jahres das Betroffenenrecht auf Auskunft gem. Art. 15 DSGVO einer von ihr vertreten Person gegenüber dem New Yorker Unternehmen geltend gemacht. Nachdem allerdings einen Monat später immer noch keine Rückmeldung kam, verschickte Homo Digitalis eine Erinnerungs-E-Mail an die verantwortliche Stelle.

Einige Tage später meldete sich ein Vertreter von Clearview AI und informierte, dass keine Betroffenenanfrage in ihrem Postfach eingegangen sei. Der Betroffene wurde gebeten, ein Foto beizufügen, damit er als Betroffener erkannt werden könne. Homo Digitalis wendete sich daraufhin an die griechische Aufsichtsbehörde und reichte Beschwerde ein.

Mit dem Auskunftsrecht nach Art. 15 wird in der DSGVO ein bedeutsames Betroffenenrecht garantiert. Danach können betroffene Personen von dem für die Datenverarbeitung Verantwortlichen Auskunft darüber verlangen, welche Daten dort über sie gespeichert bzw. verarbeitet werden.

Außerdem sollen Betroffene vom Verantwortlichen Informationen über die Verarbeitungszwecke, die Herkunft der Daten, über mögliche Empfänger, an die ihre Daten übermittelt werden, usw. erhalten. Durch das Auskunftsrecht werden Betroffene in die Lage versetzt, den Überblick und damit auch die Kontrolle darüber zu behalten, welche Ihrer personenbezogenen Daten verarbeitet werden.

Das Gesetz fordert, dass der Verantwortliche eine Antwort erteilen muss, und zwar spätestens innerhalb eines Monats.

Betroffenenanfragen sollten Sie ernst nehmen, denn bei Verletzung des Auskunftsrechts drohen Unternehmen gemäß Art. 83 Abs. 5 b) DSGVO Bußgelder in Höhe von bis zu 20 Mio. Euro oder 4 % ihres gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs – je nachdem welcher der Beträge höher ist.

Tipp: Lesen Sie dazu auch unsere Anleitung zum Umgang mit Betroffenenanfragen.

Verstoß gegen die Grundsätze der Verarbeitung

Jahrelang hat Clearview AI besonders sensible Daten – vor allem auch biometrische Daten – der betroffenen Personen gesammelt, zusammengeführt und verarbeitet, ohne dafür eine Rechtsgrundlage aufweisen zu können.

Ein wesentlicher Grundsatz der DSGVO ist die Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Dafür muss immer eine Rechtsgrundlage gem. Art. 6 DSGVO oder Art. 9 DSGVO vorliegen. Je nach Zweck der Verarbeitung kann die verantwortliche Stelle die Rechtmäßigkeit dabei auf verschiedene Tatbestände stützen.

Die DSGVO stuft biometrische Daten nach Art. 4 Nr. 13 und 14 DSGVO in die sogenannten besonders schützenswerte Kategorie personenbezogener Daten ein, denn sie machen einen Menschen so eindeutig identifizierbar, dass der Schutzbedarf als besonders hoch angesehen wird.

Das bedeutet, dass diese Daten nur unter den strengen Voraussetzungen des Art. 9 DSGVO verarbeitet werden dürfen. Danach ist die Verarbeitung biometrischer Daten in der Regel untersagt, wenn keine Rechtsgrundlage besteht, etwa weil die betroffene Person in die Verarbeitung der biometrischen Daten für einen bestimmten Zweck eingewilligt hat (Art. 9 Abs. 2 lit. a) DSGVO).

In Abwesenheit einer anderen einschlägigen Rechtsgrundlage hätte Clearview AI demnach die ausdrückliche Einwilligung der betroffenen Personen einholen müssen – und zwar unter Beachtung von Art. 7 DSGVO.

Verstoß gegen die Informationspflichten

Zudem hatte Clearview AI die betroffenen Personen über die Erfassung und Verarbeitung ihrer Daten gar nicht informiert.

Die DSGVO sieht jedoch konkrete Informationspflichten vor, damit die Betroffenen ihr Recht auf Schutz personenbezogener Daten wahrnehmen überhaupt können.

Die DSGVO unterscheidet dabei zwischen zwei Fällen:

  • Zum einen, wenn personenbezogene Daten bei dem Betroffenen direkt erfasst werden (Art. 13 DSGVO) und
  • zum anderen, wenn diese nicht bei der betroffenen Person erhoben werden (Art. 14 DSGVO).

Für Clearview AI wäre der zweite Fall einschlägig, da die Daten aus Online-Quellen gesammelt worden sind.

Inhaltlich treffen den Verantwortlichen bei dieser Art der Erhebung die gleichen Informationspflichten wie im Fall von Art. 13 DSGVO. Ausnahme bildet dabei nur die Information über die Verpflichtung zur Bereitstellung, da der Verantwortliche nicht selbst über diese entscheiden kann. Außerdem trifft ihn die Pflicht darüber zu informieren, aus welcher Quelle die Daten stammen und ob es sich dabei um eine öffentlich zugängliche handelt.

Den Informationspflichten ist als Verantwortlicher in präziser, transparenter, verständlicher und leicht zugänglicher Form nachzukommen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden. Der Verordnungsgeber sieht in Erwägungsgrund 60 DSGVO weiterhin die Möglichkeit vor, dass die Informationen auch in Kombination mit standardisierten Bildsymbolen (Icons) bereitgestellt werden können, um einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln.

Tipp: Lesen Sie dazu auch unsere Anleitung zu Ihren Informationspflichten.

Verstoß gegen die Pflicht zur Bestellung eines EU-Vertreters

Clearview AI behauptete zunächst, dass es gar nicht in den Anwendungsbereich der DSGVO fällt, da es ein US-Unternehmen ist.

Da Clearview AI jedoch personenbezogene Daten von betroffenen Personen verarbeitet, die sich in der EU befinden und die Verarbeitung im Zusammenhang mit der Beobachtung des Verhaltens der Betroffenen steht, findet die DSGVO sehr wohl Anwendung (Art. 3 Abs. 2 lit. b DSGVO).

Die griechische Behörde forderte deshalb von Clearview AI, einen Vertreter in der EU zu benennen, damit EU-Bürger ihre Rechte leichter wahrnehmen können und einen Ansprechpartner in der EU haben. Die Funktion des EU-Vertreters besteht im Wesentlichen darin, als externe Anlaufstelle für Aufsichtsbehörden und Betroffene zur Verfügung zu stehen.

Die Bestellung zum EU-Vertreter durch den Verantwortlichen muss gemäß Art. 27 Abs. 1 DSGVO schriftlich erfolgen. Weiterhin sind die Betroffenen gem. Art. 13 und 14 DSGVO über das Vorhandensein eines Vertreters zu informieren. Das bedeutet, dass die Kontaktdaten des EU-Vertreters in jeder relevanten Datenschutzerklärung angegeben werden müssen. Zudem muss der EU-Vertreter im Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO benannt sein.

Die Benennung eines EU-Vertreters ist demnach besonders wichtig und erforderlich für Unternehmen, die in einem Drittland, wie z.B. den USA oder der Schweiz, niedergelassen sind. Bei einem fehlenden EU-Vertreter drohen gem. Art. 83 Abs. 4 lit. a) DSGVO hohe Bußgelder.

Wenn Ihr Unternehmen keine Büros, Niederlassungen oder sonstigen Einrichtungen in der EU hat, aber Geschäfte mit Kunden in der Union macht, müssen Sie somit einen EU-Vertreter bestellen. Die Experten der activeMind.legal stehen Ihnen gerne als versierte EU-Vertreter zur Verfügung.

Fazit: Auch Unternehmen außerhalb der EU müssen die DSGVO beachten

Die von der HDPA verhängte Geldbuße in Höhe von 20 Millionen Euro gegen Clearview AI ist die höchste seit ihrer Gründung im Jahr 1997 von ihr verhängte Geldstrafe und ein klares Zeichen gegen Geschäftsmodelle, die darauf abzielen, durch die illegale Verarbeitung personenbezogener Daten finanzielle Vorteile zu erzielen.

Sie zeigt zudem, dass Unternehmen bei Datenschutzverstößen teuer zur Kasse gebeten werden können und dass auch nicht-europäische Unternehmen DSGVO-Geldbußen zahlen müssen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.