Erstmals seit Inkrafttreten der DSGVO wurde seitens einer Aufsichtsbehörde das maximale Bußgeld gemäß Artikel 83 (5) DSGVO verhängt. Bei Verstößen gegen die im Artikel 83 (5) genannten Bestimmungen der DSGVO können Geldbußen von bis zu 20.000.000 Euro oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Im vorliegenden Fall wurde seitens der Aufsicht von der ersten Möglichkeit Gebrauch gemacht.
Im vorliegenden Fall wurde von der französischen Datenschutz-Aufsichtsbehörde (CNIL) das Bußgeld von 20 Millionen Euro gegenüber der Firma Clearview.ai verhängt. Die Firma Clearview.ai ist in den USA ansässig. Warum kam es zu dem hohen Bußgeld? Bereits im vergangen Jahr hatte die Firma eine entsprechende Abmahnung erhalten. Aufgrund der fehlenden Rechtsgrundlage enthielt die Abmahnung weiterhin die Unterlassungsanordnung, Daten über Personen in Frankreich nicht länger zu erheben und zu verwenden. Hierauf erfolgte keine Reaktion. Auch im folgenden Sanktionsverfahren soll Clearview nicht in einer angemessenen Form mit der Aufsichtsbehörde zusammengearbeitet haben.
Die CNIL stellte im Rahmen der Ermittlungen fest, dass Clearview biometrische Daten ohne Rechtsgrundlage verarbeitet, weder die Einwilligung der betroffenen Person liegt vor, noch kann eine andere Rechtsgrundlage in Anspruch genommen werden. Da es sich bei biometrischen Daten um besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO handelt, könnte die Rechtmäßigkeit nur mit einem der Erlaubnistatbestände aus dem Artikel 9 Abs. 2 DSGVO dargestellt werden. Weiterhin stellte die CNIL fest, dass die betroffenen Personen ihre Rechte wie etwa Recht auf Auskunft oder ein Löschbegehren nicht zufriedenstellend wahrnehmen können.
Interessierte können den kompletten Bescheid vom 17. Oktober hier nachlesen.