Das Gesichtserkennungsunternehmen Clearview AI steht in Europa vor zunehmenden Rechtsstreitigkeiten. In Österreich reichte die Datenschutzgruppe noyb am 27. Oktober eine Strafanzeige ein, ein Schritt, der den Führungskräften des Unternehmens das Risiko einer Gefängnisstrafe einbringen könnte.
Diese Klage kommt unmittelbar nach einem wichtigen Gerichtsurteil im Vereinigten Königreich. Am 7. Oktober entschied ein Obergericht, dass das Web-Scraping von britischen Einwohnern durch Clearview britischem Recht unterliegt.
Das Urteil ebnet den Weg für die britische Datenaufsichtsbehörde, eine Geldstrafe von 7,5 Millionen Pfund zu verhängen. Solche juristischen Niederlagen in Wien und London stellen eine ernsthafte neue Herausforderung für ein Unternehmen dar, das die europäischen Regulierungsbehörden oft ignoriert hat.
Das britische Gericht entscheidet, dass Clearview unter britisches Recht fällt Law
Auf der anderen Seite des Ärmelkanals fand eine separate, aber ebenso wichtige Schlacht ihr Ende. Das britische Upper Tribunal erließ am 7. Oktober ein wegweisendes Urteil, in dem es sich entschieden auf die Seite der Datenaufsichtsbehörde des Landes, The Information, stellte Commissioner’s Office (ICO).
Es hob eine frühere Entscheidung des First Tier Tribunal (FTT) auf, das sich mit der Begründung, das ICO sei nicht zuständig, auf die Seite von Clearview gestellt hatte. Das neue Urteil bestätigt, dass Clearviews massiver Daten-Scraping-Vorgang dem britischen Datenschutzrecht unterliegt.
Der rechtliche Weg von Clearview begann im Mai 2022, als das ICO erstmals eine Geldstrafe gegen das Unternehmen verhängte. Nach einer Berufung stimmte die FTT zunächst zu, dass ihre Dienstleistungen, die an Strafverfolgungsbehörden außerhalb des Vereinigten Königreichs verkauft wurden, nicht in den Geltungsbereich des britischen Rechts fielen.
Die Richter am Upper Tribunal stellte fest, dass die FTT einen „Rechtsfehler“ begangen hatte, und kam zu dem Schluss, dass die Aktivitäten von Clearview in direktem Zusammenhang mit der Überwachung des Verhaltens von Menschen im Vereinigten Königreich stehen.
Eine solche Interpretation ist von entscheidender Bedeutung, da sie feststellt, dass die Erhebung und Analyse von Daten von Einwohnern des Vereinigten Königreichs zu Identifizierungszwecken ein Unternehmen in den Geltungsbereich der britischen DSGVO bringt, unabhängig davon, wo sich seine Kunden befinden.
Seine Entscheidung setzt die ursprüngliche Geldbuße und den Vollstreckungsbescheid in Höhe von 7,5 Millionen Pfund wieder in Kraft. John Edwards, der Informationskommissar des Vereinigten Königreichs, feierte die Entscheidung.
„Die Entscheidung der UT bestätigt unsere Fähigkeit, Einwohner des Vereinigten Königreichs davor zu schützen, dass ihre Daten, einschließlich Bilder, unrechtmäßig gecrackt und dann ohne ihr Wissen in einer globalen Online-Datenbank verwendet werden.“
Er fügte hinzu: „Es ist wichtig, dass ausländische Organisationen zur Rechenschaft gezogen werden, wenn ihre Technologien die Informationsrechte und-freiheiten von Einzelpersonen im Vereinigten Königreich beeinträchtigen.“
Das Geschäftsmodell von Clearview basiert darauf, Milliarden von Bildern aus dem öffentlichen Internet zu sammeln, um eine riesige Gesichtserkennungsdatenbank aufzubauen, die angeblich über 60 Milliarden Fotos enthält.
Ein wichtiger Teil In der Entscheidung des Schiedsgerichts wird festgestellt, dass diese Aktivität eine Verhaltensüberwachung darstellt und direkt in den Geltungsbereich der britischen DSGVO fällt.
Seine Entscheidung stellt einen starken Kontrast zur breiteren Regulierungslandschaft des Vereinigten Königreichs dar, das Kritiker als „Wilden Westen“ für die Gesichtserkennung bezeichnet haben.
Wie Charlie Whelton von Liberty zuvor sagte: „Das Vereinigte Königreich hinkt bei der Regulierung der Gesichtserkennungstechnologie massiv hinterher, insbesondere im Vergleich zu Europa.“ und in den USA, wo bereits Beschränkungen eingeführt wurden. target=”_blank”>Die österreichische Datenschutzgruppe noyb hat eine Strafanzeige gegen Clearview AI eingereicht.
Die Beschwerde geht über Verwaltungsstrafen hinaus und greift auf Abschnitt 63 von Österreichisches Datenschutzgesetz.
Diese Bestimmung ermöglicht in einzigartiger Weise strafrechtliche Sanktionen für die kommerzielle Datennutzung ohne Einwilligung, ein Weg, der sich als weitaus härter erweisen könnte als typische DSGVO-Strafen.
Ein solcher neuartiger Ansatz könnte Clearview-Führungskräfte persönlicher Haftung aussetzen, einschließlich möglicher Reiseverbote oder sogar Gefängnisstrafen, eine Bedrohung, die sich von Unternehmensstrafen unterscheidet und ignoriert werden kann im Ausland.
Max Schrems, der Gründer von noyb, betonte den Ernst der Lage. „Wir führen sogar grenzüberschreitende Strafverfahren wegen gestohlener Fahrräder und hoffen daher, dass die Staatsanwaltschaft auch dann eingreift, wenn die persönlichen Daten von Milliarden Menschen gestohlen wurden.“
Noybs Beschwerde argumentiert, dass die unbefugte Erhebung und Verarbeitung biometrischer Daten durch Clearview zu Profitzwecken nicht nur ein Verstoß gegen die Vorschriften, sondern eine Straftat nach österreichischem Recht ist.
Die Einreichung einer Strafanzeige markiert einen strategischen Wandel für Befürworter der Privatsphäre. Es umgeht den oft langsamen und schwierigen Prozess der Durchsetzung administrativer DSGVO-Bußgelder über internationale Grenzen hinweg, eine große Lücke, die Clearview ausgenutzt hat.
Stattdessen bindet es Staatsanwälte und das gesamte Gewicht des Strafjustizsystems ein.
Ein Muster des Trotzes stößt auf neue Hürden
Seit Jahren operiert Clearview AI scheinbar ungestraft Europa. Clearview hat von Aufsichtsbehörden in Frankreich, Griechenland und Italien Bußgelder in Höhe von etwa 100 Millionen Euro verhängt, die alle weitgehend ignoriert wurden.
Ein solches Misstrauensmuster hat europäische Behörden und Datenschutzbefürworter gleichermaßen frustriert. Wie Max Schrems von noyb es ausdrückte: „Clearview AI scheint die Grundrechte der EU einfach zu ignorieren und den EU-Behörden einfach ins Gesicht zu spucken.“
Eine Geschichte rechtlicher Verstrickungen ist für das Unternehmen nichts Neues, das wegen seiner Praktiken mit zahlreichen Klagen und Vergleichen konfrontiert war.
Die bisherige Rechtsstrategie von Clearview bestand oft darin, die Zuständigkeit der EU-Regulierungsbehörden in Frage zu stellen. Der General Counsel von Clearview hat Branchenberichten zufolge einmal die Berufung des ICO im Vereinigten Königreich als „unbegründet“ beschrieben.
Allerdings Das endgültige Urteil des Vereinigten Königreichs und die neue kriminelle Bedrohung in Österreich stellen eine weitaus größere Herausforderung für diesen Ansatz dar. Sein britisches Urteil schließt eine wichtige Rechtslücke, während der österreichische Fall das Risiko einer persönlichen, strafrechtlichen Haftung für Unternehmensleiter mit sich bringt.
Obwohl das Vereinigte Königreich für sein langsames Tempo bei neuen Rechtsvorschriften im Vergleich zum umfassenden KI-Gesetz der EU kritisiert wurde, haben die bestehenden Datenschutzgesetze immer noch Bestand, wie das Urteil des Obergerichts zeigt.
Eine Kombination aus einer finanziell erheblichen und durchsetzbaren Geldbuße im Vereinigten Königreich und dem persönlichen Rechtsschutz Das Risiko für Führungskräfte in Österreich könnte endlich eine Verhaltensänderung von Clearview erzwingen und einen starken Präzedenzfall für die gesamte Gesichtserkennungsbranche schaffen.
