Die italienische Aufsichtsbehörde verhängt ein Bußgeld von 20 Millionen Euro gegen einen Controller außerhalb Europas | Alston und Vogel

Startseite » Die italienische Aufsichtsbehörde verhängt ein Bußgeld von 20 Millionen Euro gegen einen Controller außerhalb Europas | Alston und Vogel
Die italienische Aufsichtsbehörde verhängt ein Bußgeld von 20 Millionen Euro gegen einen Controller außerhalb Europas |  Alston und Vogel

Italienisch Garant für den Schutz personenbezogener Daten („Italian SA“) veröffentlichte eine Entscheidung vom 10. Februar 2022, in der sie einem außerhalb Europas ansässigen Unternehmen eine Geldbuße in Höhe von 20 Millionen Euro wegen Verstoßes gegen die EU-Datenschutz-Grundverordnung („DSGVO“) auferlegt.

Clearview AI ist ein in den USA ansässiges Unternehmen, das Suchmaschinendienste mit Gesichtserkennung anbietet. Das Unternehmen sammelt Bilder aus sozialen Netzwerken, Blogs und im Allgemeinen Websites, die öffentlich zugängliche Fotos und Videos enthalten, unter Verwendung von Web-Scraping-Techniken. Die Bilder werden dann verarbeitet und in der Datenbank des Unternehmens gespeichert, sodass die Suchmaschine, wenn sie eine Übereinstimmung identifiziert, alle zugehörigen Bilder aus der Datenbank abrufen kann. Diese werden dann zusammen mit den zugehörigen Metadaten und Links dem Service-Client präsentiert.

Die Untersuchung der italienischen SA geht auf mehrere Beschwerden und Warnungen über die Datenverarbeitungspraktiken von Clearview AI zurück. Da Clearview AI seinen Hauptsitz in den Vereinigten Staaten und keine Niederlassung in Europa hat, musste die italienische SA zunächst feststellen, ob die DSGVO auf die Verarbeitungstätigkeiten von Clearview AI anwendbar ist. Gemäß Artikel 3 Absatz 2 der DSGVO gilt die DSGVO für die Verarbeitung personenbezogener Daten von Personen, die sich in der Europäischen Union („EU“) befinden, durch einen Verantwortlichen oder Auftragsverarbeiter, der nicht in der EU niedergelassen ist, wenn die Verarbeitungstätigkeiten mit einem der beiden in Zusammenhang stehen die Bereitstellung von Waren oder Dienstleistungen für solche Personen, oder wenn die Aktivitäten die Überwachung des Verhaltens von Personen betreffen (soweit dieses Verhalten in der EU stattfindet). In diesem speziellen Fall bestätigte die italienische AS die territoriale Anwendbarkeit der DSGVO, da sie feststellte, dass Clearview AI neben der Überwachung ihres Verhaltens auch Dienstleistungen für Einzelpersonen in der EU erbringt.

In Bezug auf die Begründetheit des Falls kam die italienische SA zu dem Schluss, dass Clearview AI personenbezogene Daten – einschließlich biometrischer und Geolokalisierungsdaten – rechtswidrig verarbeitete, da es an einer angemessenen Rechtsgrundlage für die Verarbeitung mangelte. Die italienische SA stellte außerdem fest, dass Clearview AI gegen grundlegende DSGVO-Grundsätze verstoßen hat, einschließlich der Grundsätze der Transparenz, Zweckbindung und Speicherbegrenzung.

Angesichts dieser Verstöße verhängte die italienische SA eine Geldbuße von 20 Millionen Euro gegen Clearview AI und ordnete an, alle personenbezogenen Daten von Personen in Italien zu löschen. Die italienische AS untersagte auch jede weitere Erhebung und Verarbeitung personenbezogener Daten von Personen in Italien durch das Gesichtserkennungssystem von Clearview AI und wies Clearview AI an, einen Vertreter in der EU zu ernennen (zum Zwecke der Einhaltung von Artikel 27 der DSGVO).

Diese Entscheidung verdeutlicht, dass die europäischen Datenschutzbehörden ihre Durchsetzungsbemühungen zunehmend auf Unternehmen konzentrieren, die, obwohl sie keine physische Präsenz in Europa haben, dennoch verpflichtet sind, die DSGVO einzuhalten (gemäß Artikel 3 Absatz 2 DSGVO).

Quelle: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9751362.

[View source.]