Das britische Tribunal sagt, dass ICO kein Recht hat, im Fall Clearview AI zu entscheiden

Ein britisches Gericht entschied gestern, dass der US-Selfie-Scraper Clearview AI keine Datenschutzstrafe in Höhe von 7.5 Millionen Pfund (9 Millionen US-Dollar) zahlen muss.

Das Gericht entschied, dass das Information Commissioner's Office (ICO), die britische Datenregulierungsbehörde, nicht befugt sei, Geldbußen gegen ClearView zu verhängen, das das öffentliche Internet nach Bildern durchsucht, auf deren Grundlage KI-Produkte trainiert werden.

Der Wachhund verhängte die Strafe wieder Mai letztes Jahr, mit der Behauptung, das amerikanische Unternehmen habe gegen die DSGVO des Vereinigten Königreichs verstoßen, indem es „die für biometrische Daten erforderlichen höheren Datenschutzstandards nicht eingehalten“ habe; es fehlt ein rechtmäßiger Grund für die Erhebung; und es fehlt ein Verfahren, um zu verhindern, dass die Daten „auf unbestimmte Zeit“ gespeichert werden.

Aber obwohl das dreiköpfige Tribunal akzeptiert Angesichts der Größe des Landes und des Umfangs der Internet- und Social-Media-Nutzung im Vereinigten Königreich „im Vergleich zu anderen Ländern, in denen die Internetnutzung nicht so verbreitet ist“, sei es eine vernünftige Schlussfolgerung, dass die Datenbank von ClearView Bilder von Einwohnern des Vereinigten Königreichs enthält, hieß es Die Datenverarbeitung des KI-Unternehmens erfolgte „außerhalb des räumlichen Geltungsbereichs der Verordnungen, mit der Folge, dass das ICO nicht für die Herausgabe der Mitteilungen zuständig war.“

Bei der Berufung gegen die Geldbuße hatte ClearView argumentiert, dass es sich bei seinem Dienst um „einen Internet-Suchmaschinendienst handelt, der ausschließlich ausländischen Strafverfolgungs- und nationalen Sicherheitsbehörden (d. h. außerhalb des Vereinigten Königreichs/der EU) und deren Auftragnehmern zur Unterstützung der Entlastung angeboten wird.“ ihre jeweiligen Strafverfolgungs- und nationalen Sicherheitsfunktionen, die gemäß Artikel 2 dieser Verordnungen außerhalb des sachlichen Anwendungsbereichs der Verordnungen liegen.“

Artikel 2 bezieht sich auf Artikel 2(2)(a) der britischen DSGVO (immer noch in der aktuellen britischen Datenschutzgesetzgebung, wenn auch durch die Haut seiner Zähne), in dem es heißt, dass die Handlungen eines ausländischen Staates – und insbesondere die „Verarbeitung personenbezogener Daten durch eine zuständige Behörde zu Strafverfolgungszwecken“ – nicht in den Anwendungsbereich fallen.

Dies bedeutet im Wesentlichen, dass die australischen Strafverfolgungsbehörden, wenn sie beispielsweise einen Briten wegen eines Verstoßes gegen ein australisches Gesetz verfolgen, die Daten der britischen Person außerhalb des „Anwendungsbereichs“ der britischen DSGVO verarbeiten können.

Das Trio betonte vorsichtig, dass es nicht wisse, ob der Selfie-Scraper gegen die DSGVO des Vereinigten Königreichs oder gegen die DSGVO der Europäischen Union verstoßen habe, und dass es sich dabei lediglich um die „gerichtliche Anfechtung der Bekanntmachungen“ handele.

Der Datenschutzanwalt James Castro-Edwards von Arnold & Porter sagte uns: „Clearview erbrachte Dienstleistungen nur für Strafverfolgungs- oder nationale Sicherheitsbehörden außerhalb des Vereinigten Königreichs/der EU und deren Auftragnehmer. Die britische DSGVO sieht vor, dass Handlungen ausländischer Regierungen nicht in ihren Geltungsbereich fallen; Es ist nicht Sache einer Regierung, die Aktivitäten eines anderen souveränen Staates zu binden oder zu kontrollieren.“

Er fügte hinzu: „Die Entscheidung untersucht die extraterritoriale Reichweite der britischen DSGVO, insbesondere das Ausmaß, in dem ein Unternehmen seinen Sitz außerhalb des Vereinigten Königreichs hat, aber an der Überwachung des Verhaltens von Einzelpersonen im Vereinigten Königreich beteiligt ist.“

Er bemerkte: „Während das Gericht in diesem Fall feststellte, dass die DSGVO des Vereinigten Königreichs nicht anwendbar ist, sollten nicht-britische Organisationen, die ähnliche Aktivitäten zu kommerziellen Zwecken durchführen, dennoch ihre Verpflichtungen gemäß geltendem Datenschutzrecht berücksichtigen.“

Warum haben die britischen Polizisten bisher noch kein Geld dafür ausgegeben?

Interessant ist die Frage, warum es keine Inanspruchnahme gab.

Die britischen Strafverfolgungsbehörden unterhalten große biometrische Datenbanken und geben dafür 54 Millionen Pfund (65 Millionen US-Dollar) aus, wobei IBM gerade einmal XNUMX Millionen Pfund (XNUMX Millionen US-Dollar) ausgibt vor ein paar Monaten auf einem System, das auch den Fingerabdruckabgleich umfasst.

Plus der britische Polizeiminister Chris Philp sagte Anfang des Jahres plante er, „Gesichtserkennungstechnologie in die Polizeiarbeit zu integrieren und … darüber nachzudenken, was die Regierung noch tun kann, um die Polizei dabei zu unterstützen.“

Die Richter des Tribunals stellten fest, dass Clearview seinen Dienst zwischen Juni 2019 und März 2020 Strafverfolgungs-/Regierungsorganisationen im Vereinigten Königreich „auf Probebasis“ angeboten habe. Sie fügten hinzu, dass in dieser Testphase 721 Durchsuchungen durchgeführt wurden. Die „UK-Testphase“, hieß es weiter, habe vor dem Ende der unglaublich langen Übergangszeit stattgefunden, als das Vereinigte Königreich aus der Europäischen Union austrat. Und es kam nie wieder zurück, da es „keine Hinweise darauf gibt, dass der Service seitdem Kunden mit Sitz im Vereinigten Königreich angeboten wurde“.

Das ICO informierte das Gericht über die Testphase im Vereinigten Königreich, um festzustellen, dass in der Clearview-Datenbank Bilder von Einwohnern des Vereinigten Königreichs enthalten waren – dies war nicht Teil seiner Position, in der es angebliche Verstöße behauptete.

Das Trio bemerkte:

In einer an The Reg gesendeten Erklärung sagte Jack Mulcaire, General Counsel von Clearview AI: „Wir freuen uns über die Entscheidung des Tribunals, die rechtswidrige Anordnung des britischen ICO gegen Clearview AI aufzuheben.“

Ein ICO-Sprecher sagte: „Das ICO wird eine Bilanz des heutigen Urteils ziehen und die nächsten Schritte sorgfältig prüfen. Es ist wichtig anzumerken, dass dieses Urteil dem ICO nicht die Fähigkeit entzieht, gegen international ansässige Unternehmen vorzugehen, die Daten von Personen im Vereinigten Königreich verarbeiten, insbesondere Unternehmen, die Daten von Personen im Vereinigten Königreich abschöpfen, sondern stattdessen eine spezifische Ausnahme für die Strafverfolgung im Ausland abdeckt. ”

Gehen Sie jetzt los und ersetzen Sie das Profilbild durch eines Ihrer Hunde und stellen Sie den Rest auf „privat“. ®

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://go.theregister.com/feed/www.theregister.com/2023/10/19/uk_tribunal_agrees_with_clearview/