Irische Datenschutzbehörde: Bußgeld gegen Meta verhängt
Die irische Datenschutzkommission (DPC) hat festgestellt, dass Meta Platforms Ireland Ltd. (ehemals Facebook Ireland Ltd.) keine angemessenen technischen und organisatorischen Maßnahmen getroffen hat, um Daten von EU-Nutzern zu schützen. Mit Zustimmung der anderen Datenschutzbeauftragten der europäischen Mitgliedstaaten) wurde ein Bußgeld in Höhe von 17 Mio. EUR verhängt.
Die italienische Datenschutzbehörde (Garante per la Protezione dei Dati Personali – GPDP) hat gegen das US-Unternehmen Clearview AI eine einstweilige Verfügung (v. 10.2.2022 – 9751362) wegen rechtswidriger Gesichtserkennung bzw. unerlaubter Verwendung biometrischer Daten erlassen (macht u.a. 20 Mio.).
Zuerst nach Irland:
Endlich! Möchte man ausrufen. Im Rahmen einer auf Grund von zwölf Meldungen aufgenommenen Untersuchung durch die Behörde wurde geprüft, inwieweit Meta Platforms die Anforderungen der Art. 5 Abs. 1 lit. f, Abs. 2, (grob: Rechtmäßigkeit und Sicherheit der Verarbeitung) Art. 24 Abs. 1 (unzureichende TOM) und Art. 32 Abs. 1 (und nochmal Sicherheit der Verarbeitung) DS-GVO in Bezug auf die Verarbeitung personenbezogener Daten erfüllt hat. Als Ergebnis stellte die DPC fest, dass Meta Platforms gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO verstößt. Meta verfüge nicht über geeignete technische und organisatorische Maßnahmen, die es ihr ermöglichten, die Sicherheitsmaßnahmen, die sie in der Praxis zum Schutz der Daten der EU-Nutzer im Zusammenhang mit den zwölf Verletzungen des Schutzes personenbezogener Daten ergriffen hatte, ohne weiteres nachzuweisen.
Meta vertritt den Standpunkt, dass Facebook lediglich gegen Dokumentationspflichten verstoßen habe. Die internen Abläufe würden weiterentwickelt.
Quelle: ZD-Aktuell 2022, 01096
Datenschutzbehörde Italien: Bußgeld u. Einstweilige Verfügung gegen Clearview AI
Nach Italien:
Die Behörde hat eine Strafe in Höhe von. 20 Mio. EUR verhängt und Clearview die Löschung der relevanten Daten aufgegeben sowie die weitere Erfassung und Verarbeitung durch sein Gesichtserkennungssystem untersagt.
Das Verfahren geht auf eine von Amts wegen eingeleitete Voruntersuchung zurück, nachdem Presseberichte das Vorliegen verschiedener Probleme im Zusammenhang mit Gesichtserkennungsprodukten des US-Unternehmens Clearview AI Inc. aufgedeckt hatten.
Die Datenschutzbehörde sieht in dem Gebaren von Clearview u.a. einen Verstoß gegen
Art. 5 Abs. 1 lit. a, b und e (grob ausgedrückt mangelnde Rechtmäßigkeit und Zweckbindung sowie Verstoß gegen die Speicherbegrenzug) der Verarbeitung DS-GVO.
Über eine Datenbank mit über 10 Mrd. Bildern von Gesichtern von Menschen aus der ganzen Welt, die aus öffentlichen Webquellen per Web Scraping (wie Nachrichtenseiten, soziale Medien und Online-Videos) extrahiert wurden, bietet Clearview einen hochqualifizierten Suchdienst an, das mit Künstlicher Intelligenz die Erstellung von Profilen auf der Grundlage biometrischer Daten ermöglicht, die aus den Bildern extrahiert werden, möglicherweise angereichert mit anderen damit verbundenen Informationen, wie Titel und Geolokalisierung des Fotos, Veröffentlichungswebseite.
Die Untersuchung hat ergeben, dass Clearview AI auch die Verfolgung italienischer Staatsbürger und Personen, die sich in Italien aufhalten, ermöglicht. Personenbezogene Daten, einschließlich biometrischer und Geolokalisierungsdaten, werden dabei ohne angemessene Rechtsgrundlage illegal verarbeitet. Das Unternehmen verstoße gegen Grundprinzipien der DS-GVO, wie zB Transparenzpflichten, indem es die Benutzer nicht angemessen informiert hat, die Verarbeitung, Verwendung und Speicherung der Benutzerdaten für andere Zwecke als die, für die sie online veröffentlicht wurden, nicht beschränkt hat und keine Aufbewahrungsfristen für Daten festgelegt hat.
Quelle: ZD-Aktuell 2022, 01090
