Italienische Staatsanwaltschaft verhängt 20 Mio. Euro Bußgeld gegen Clearview AI

Die italienische Staatsanwaltschaft verhängte kürzlich ein Millionenbußgeld in Höhe von 20 Millionen Euro gegen Clearview AI. Das Verfahren wurde eingeleitet, da in der Presse vermehrt Artikel über die Probleme mit Gesichtserkennungssoftware berichtet wurde. Der Anbieter dieser Software Clearview AI mit Hauptstandort in New York (USA) ist ein US-amerikanisches Start-up, das sich mit Hilfe sehr großer Bilddatenmengen und von maschinellem Lernen auf die Gesichtserkennung mit Computersystemen spezialisiert hat.

MEHRERE VERSTÖßE GEGEN DIE GRUNDSÄTZE DER DATENSCHUTZGRUNDVERORDNUNG

Auch in der deutschen Medienlandschaft wurde bereits über Clearview AI berichtet. So warnte der Spiegel vor potentieller Überwachung von Mitarbeitern durch den Softwareanbieter.

Die italienische Aufsichtsbehörde ermittelte mehrere Verstöße:

Grundsätze der Verarbeitung gem. Art. 5 Abs. 1 lit. a, b & e DSGVO
Rechtmäßigkeit der Verarbeitung gem. Art. 6 DSGVO
Verarbeitung besonderer Kategorien gem. Art. 9 DSGVO
Informationspflichten gem. Artt. 13 & 14 DSGVO
Vertreter von nicht in der Union niedergelassenen Verantwortlichen gem. Art. 27 DSGVO

Die Verarbeitung der personenbezogenen biometrischen Daten erfolgte somit in den Grundsätzen bereits unrechtmäßig und wurde zudem ohne ausreichende Garantien in ein unsicheres Drittland übermittelt. Darüber hinaus verstieß das Unternehmen gegen die Grundsätze der Transparenz, Zweckbindung und Speicherbegrenzung. Auch wurden die Betroffenen nicht über ihre Informationspflichten und ihre Rechte gem. DSGVO aufgeklärt bzw. informiert.

BUßGELD UND VERBOT DER VERARBEITUNG

Zusätzlich zur Millionenstrafe sanktionierte die Behörde das Unternehmen mit einem Verarbeitungsverbot entsprechender Metadaten von Betroffenen Personen, welche sich auf italienischem Hoheitsgebiet aufhalten. Außerdem ordnete die Behörde das Löschen der bereits erfassten Daten einschließlich aller biometrischer Daten an, welche von natürlichen Personen auf italienischem Hoheitsgebiet erhoben wurden. Außerdem ist das Unternehmen aufgefordert worden seinen Informationspflichten gem. Artt. 13 & 14 DSGVO nachzukommen und alle Betroffenenrechtsanfragen gem. Art. 15-22 DSGVO zu beantworten.