Drücken Sie Play, um diesen Artikel anzuhören
Gesprochen von künstlicher Intelligenz.
LONDON – Großbritanniens oberste Datenschutzbehörde hat keine Befugnis, Sanktionen gegen ein in den USA ansässiges KI-Unternehmen zu verhängen, das ohne Zustimmung der Benutzer große Mengen persönlicher Fotos für seine Gesichtserkennungssoftware gesammelt hat, hat ein Richter entschieden.
Die New York Times berichtete im Jahr 2020, dass Clearview AI ohne Zustimmung der Nutzer Milliarden von Social-Media-Bildern gesammelt habe. Nachdem das Unternehmen in den Datenschutzskandal verwickelt war, zog es sich aus dem Vereinigten Königreich und mehreren anderen europäischen Märkten zurück.
Das Information Commissioner’s Office (ICO) ging letztes Jahr gegen Clearview vor und behauptete, das Unternehmen habe unrechtmäßig Daten britischer Staatsbürger zu Zwecken der Verhaltensüberwachung gesammelt. Das Unternehmen wurde mit einer Geldstrafe von 7,5 Millionen Pfund belegt und zudem angewiesen, die Daten von Einwohnern des Vereinigten Königreichs aus seinem Bestand an mehr als 20 Milliarden Gesichtsbildern zu löschen.
Es ist jedoch unklar, ob Clearview die Daten jemals gelöscht hat. Anwälte haben darauf hingewiesen, dass das Unternehmen nicht verpflichtet war, die Bilder von Briten aus seiner Datenbank zu löschen, bis über die Berufung entschieden wurde – und das gestrige Urteil galt nicht nur für die Geldbuße, sondern auch für die Löschanordnung.
Der Gerichtsfall
Die Identitätsabgleichstechnologie, die auf Fotos basiert, die ohne Erlaubnis von Social-Media-Plattformen und anderen Internetseiten gescraped wurden, wurde zunächst einer Reihe von Geschäftsanwendern sowie Strafverfolgungsbehörden zur Verfügung gestellt.
Nach einer Klage der American Civil Liberties Union aus dem Jahr 2020 bietet das Unternehmen seine Dienstleistungen nun nur noch Bundesbehörden und Strafverfolgungsbehörden in den USA an. Das gestrige Urteil ergab, dass es auch Kunden in Panama, Brasilien, Mexiko und der Dominikanischen Republik hat.
Das ICO behauptete, dass Clearview in vielfältiger Weise gegen das britische Datenschutzrecht verstoßen habe, insbesondere durch die mangelnde Rücksichtnahme auf die Einholung der Einwilligung des Nutzers, außerdem durch „das Fehlen eines Prozesses, um die unbefristete Aufbewahrung der Daten zu verhindern“ und die Vereitelung der Bemühungen einzelner Personen um herauszufinden, ob sie in der Datenbank des Unternehmens enthalten sind.
Großbritannien ist bei weitem nicht das einzige Land, das von den Datenpraktiken des Unternehmens beunruhigt ist. Auch in Italien, Frankreich, Kanada und Australien wurden Vollstreckungsmaßnahmen eingeleitet.
Obwohl die Technologie von der Metropolitan Police, dem Verteidigungsministerium und der National Crime Agency getestet wurde, hat das Unternehmen keine Kunden mehr im Vereinigten Königreich
Dieser Umstand erwies sich als entscheidend für den Erfolg der Berufung.
Das Urteil des dreiköpfigen Schiedsgerichts des First-tier Tribunal stimmte mit der Behauptung von Clearview überein, dass das ICO in diesem Fall nicht zuständig sei, da die fragliche Datenverarbeitung im Auftrag ausländischer Regierungsbehörden durchgeführt worden sei.
Das ICO ist gescheitert, „nicht weil es keine Überwachung darstellt und auch nicht, weil es unter anderen Umständen möglicherweise nicht gegen die britische DSGVO verstößt, sondern weil es sich um ausländische Strafverfolgungsbehörden handelt.“ Es liegt außerhalb des Geltungsbereichs des EU-Rechts und ist daher nicht anwendbar“, sagte James Moss, Partner für Datenschutz und Datenschutz bei der Anwaltskanzlei Bird & Bird.
„Wenn dies zu kommerziellen Zwecken geschehen wäre, wäre das Ergebnis möglicherweise anders ausgefallen; Wenn dies von den britischen Strafverfolgungsbehörden genutzt worden wäre, wäre es möglicherweise anders ausgefallen.“
Ein ICO-Sprecher sagte gegenüber POLITICO, dass die Regulierungsbehörde ihre nächsten Schritte „sorgfältig abwägen“ werde.
„Es ist wichtig anzumerken, dass dieses Urteil dem ICO nicht die Möglichkeit nimmt, gegen international ansässige Unternehmen vorzugehen, die Daten von Personen im Vereinigten Königreich verarbeiten, insbesondere Unternehmen, die Daten von Personen im Vereinigten Königreich abschöpfen, sondern stattdessen eine spezifische Ausnahme für die Strafverfolgung im Ausland abdeckt.“ ,” Sie sagten.
„Wir freuen uns über die Entscheidung des Tribunals, die rechtswidrige Anordnung des britischen ICO gegen Clearview AI aufzuheben“, sagte Jack Mulcaire, General Counsel bei Clearview, in einer Erklärung.
Im vergangenen Monat haben das Vereinigte Königreich und die USA eine Vereinbarung getroffen, um den Datentransfer zwischen britischen und amerikanischen Firmen zu erleichtern, nachdem die USA einer Reihe von Maßnahmen zugestimmt hatten, um die Möglichkeiten ausländischer Datensubjekte zu stärken, gegen die Überwachung durch amerikanische Strafverfolgungs- und Geheimdienste Berufung einzulegen.
Der Deal trat letzte Woche in Kraft.