Aufsichtsbehörden haben Jahre damit verbracht, große Technologieunternehmen für die Art und Weise bezahlen zu lassen, wie sie Benutzerdaten sammeln und manchmal missbrauchen. Ein Staat lässt sie unterdessen buchstäblich bezahlen – und direkt an die Verbraucher auszahlen.
Illinois ist einer von nur wenigen Staaten in den Vereinigten Staaten, die ein Gesetz haben, das Unternehmen dazu verpflichtet, die Zustimmung der Verbraucher einzuholen, bevor sie ihre biometrischen Daten an sich reißen Die 2008 verabschiedete Regel gilt als die härteste der Nation. Das Gesetz, genannt Biometric Information Privacy Act (BIPA), erzwingt nicht nur Unternehmen müssen die Erlaubnis von Personen einholen, bevor sie biometrische Daten wie Fingerabdrücke oder Scans der Gesichtsgeometrie sammeln. Es legt auch Regeln fest, wie Unternehmen solche Informationen schützen müssen, verbietet es Unternehmen, biometrische Daten von Einwohnern von Illinois zu verkaufen, und erlaubt es Einwohnern von Illinois, Unternehmen wegen angeblicher Gesetzesverstöße zu verklagen. In den fast 15 Jahren seit seiner Verabschiedung haben sich Dienste, die biometrische Daten verwenden – von der Handabdruckerkennung zum Einkaufen von Lebensmitteln bis hin zu Gesichtserkennungssoftware zum Entsperren Ihres Smartphones – stark verändert werden immer häufiger. Aber die Gesetzgebung in den Vereinigten Staaten hat nicht Schritt gehalten. Es gibt keine Bundesgesetzgebung zu diesem Thema, und unter den wenigen ausgewählten Staaten, die Maßnahmen ergriffen haben, wird das Gesetz von Illinois als einzigartig effektiv angesehen.
„Es ist das Goldstandardgesetz“, sagte Chad Marlow, ein hochrangiger politischer Berater der American Civil Liberties Union.
Infolgedessen ist Illinois zum Maßstab für die Regulierung biometrischer Technologien wie Gesichtserkennungssoftware geworden. Gruppen wie die ACLU und einzelne Verbraucher haben das Gesetz genutzt, um eine wachsende Liste prominenter Unternehmen von Facebook bis Snapchat zu verklagen und in einigen Fällen das Verhalten von Technologieunternehmen einzudämmen, die Produkte und Dienstleistungen im Staat anbieten. Dabei hat sie eine Botschaft über die Bedeutung des Schutzes personenbezogener Daten gesendet, die weit nachhallt über Illinois hinaus. Lesen Sie mehr
Wie es begann
In Illinois entstand BIPA zumindest teilweise aufgrund von Bedenken über Daten, die von einem bankrotten Zahlungsunternehmen für Fingerabdruckscans gesammelt wurden, das dann bankrott ging. Der Gesetzgeber befürchtete, dass die von Pay By Touch gesammelten Daten, die in Jewel-Osco-Lebensmittelgeschäften im Raum Chicago erhältlich waren, nach seinem Scheitern verkauft werden könnten (das Unternehmen wurde in Teilen versteigert).
Der Anfang 2008 eingeführte Gesetzestext erwähnt Pay By Touch namentlich und weist darauf hin, dass biometrische Identifikatoren im Gegensatz zu einer Sozialversicherungsnummer „biologisch eindeutig“ sind und nicht einfach geändert werden können, wenn sie kompromittiert werden. „Die vollständigen Auswirkungen der biometrischen Technologie sind nicht vollständig bekannt“, heißt es in dem Gesetz.Das Illinois State Capitol in Springfield am 7. März 2022. (Antonio Perez/Chicago Tribune/Tribune News Service via Getty Images) Tatsächlich verfolgten damals Unternehmen in den Vereinigten Staaten biometrische Technologien, aber die Verbraucher waren nicht annähernd so vertraut mit ihnen so, wie wir es heute sind – und die Auswirkungen solcher Technologien waren nicht abzuschätzen. Erst 2010 begann Facebook mit der Verwendung von Gesichtserkennungssoftware, um beispielsweise Benutzer automatisch in Bildern zu markieren, die in das soziale Netzwerk hochgeladen wurden, und 2013 fügte Apple erstmals einen Fingerabdrucksensor zum Entsperren des Geräts in das iPhone ein. BIPA wurde 12 Jahre vor Amerikas erster bekannter unrechtmäßiger Verhaftung aufgrund von Gesichtserkennung verabschiedet. Experten sagen, dass eine der mächtigsten Bestimmungen des Gesetzes darin besteht, dass es Einzelpersonen erlaubt, zu klagen, anstatt es dem Staat zu überlassen. (Texas und Washington, die ihre eigenen ähnlichen Regeln haben, überlassen die Entscheidung, rechtliche Schritte einzuleiten, den Generalstaatsanwälten ihrer Staaten). Unternehmen, bei denen festgestellt wird, dass sie „vorsätzlich oder leichtfertig“ gegen BIPA verstoßen haben, können bis zu 5.000 US-Dollar für jeden Verstoß schulden; diejenigen, die aufgrund von Fahrlässigkeit gegen das Gesetz verstoßen haben, können bis zu 1.000 US-Dollar pro Verstoß schulden. Dieses Klagerecht „war eine der einzigen Möglichkeiten, Unternehmen dazu zu bringen, Compliance ernst zu nehmen“, sagte Hayley Tsukayama, eine hochrangige Aktivistin für die Gesetzgebung von Electronic Frontier Foundation, eine Gruppe für digitale Rechte. „Und das ist natürlich einer der Gründe, warum die Leute, die es hassen, es mit brennender Leidenschaft hassen.“ Trotz der juristischen Zähne von BIPA zeigte das Gesetz erst 2015 seine volle Kraft. In jenem Jahr führte Edelson PC, die Anwaltskanzlei des in Chicago ansässigen Anwalts Jay Edelson, eine Sammelklage gegen Facebook an, in der behauptet wurde, dass das soziale Netzwerk mit der Verwendung von Gesichtserkennungssoftware gegen BIPA verstoßen habe, um Personen auf den Fotos von Benutzern zu identifizieren und Benutzern vorzuschlagen, diese Personen zu markieren namentlich. Die Klage argumentierte im Wesentlichen, dass Facebook die biometrischen Gesichtsdaten der Benutzer – Messungen ihrer Gesichtsgeometrie aus Bildern – sammelte und speicherte, ohne vorher zu fragen oder um Erlaubnis zu bitten, was gegen das Gesetz von Illinois verstößt seine biometrischen Daten verlieren, und es wäre auf der ganzen Welt“, sagte Edelson über die Entscheidung des ursprünglichen Klägers, das soziale Netzwerk zu verklagen März 2021. (Dies beläuft sich auf 397 US-Dollar pro Person, die Anspruch auf Zahlung hat, sagte Edelson – ein Betrag, der klein klingen mag, aber weit mehr ist als das, was Menschen in vielen Sammelklagen erhalten.)
Weitreichende Auswirkungen
Edelson hat seitdem an Dutzenden von BIPA-Klagen gearbeitet und schätzt, dass mehr als 500 Klagen wegen angeblicher Gesetzesverstöße eingereicht wurden. Viele der Klagen beziehen sich auf Unternehmen, die Systeme verwenden, die Mitarbeiter mit einem Fingerabdruck oder Gesicht ein- oder ausstempeln lassen, aber neben Facebook haben auch zahlreiche große Technologieunternehmen Sammelklagen im Wert von Hunderten Millionen Dollar zugestimmt. Letztes Jahr TikTok erklärte sich bereit, 92 Millionen US-Dollar für die Beilegung einer Sammelklage zu zahlen, in der behauptet wurde, es habe unrechtmäßig biometrische Daten von Benutzern gesammelt und diese dann mit anderen Unternehmen geteilt; Die Klage wurde in eine nationale Klasse und eine Ilinois-Klasse unterteilt, wobei diejenigen in der Illinois-Klasse aufgrund von BIPA bis zu sechsmal mehr Geld erhalten konnten. Google erklärte sich im April bereit, 100 Millionen US-Dollar für die Beilegung eines Rechtsstreits im Zusammenhang mit einer Fotogruppierungsfunktion in Google Fotos zu zahlen, und die Snapchat-Muttergesellschaft Snap erklärte sich im August bereit, 35 Millionen US-Dollar für die Beilegung eines Rechtsstreits im Zusammenhang mit Filtern und Linsen in der App von Snap zu zahlen. (Keines dieser Unternehmen hat ein Fehlverhalten zugegeben.) „Im Großen und Ganzen sind es all diese Anzüge, die in Kombination miteinander agieren, was BIPA so mächtig macht“, sagte Marlow. Die Ergebnisse sind nicht immer auf Geld beschränkt an die Verbraucher ausgezahlt werden, und die Auswirkungen der Klagen können über die Staatsgrenzen von Illinois hinausreichen. Zum Beispiel hatte eine Einigung mit dem umstrittenen Gesichtserkennungsunternehmen Clearview AI (die Edelson im Namen der ACLU und anderer gemeinnütziger Gruppen ehrenamtlich übernommen hat) weitreichende Auswirkungen, als sie Anfang dieses Jahres beigelegt wurde: Sie führte zu einer Einigung Das Unternehmen wird seine Software nicht an die meisten Unternehmen in den Vereinigten Staaten verkaufen – eine Entscheidung, die ihre Verwendung weitgehend auf Strafverfolgungsbehörden im Land beschränkt. Das Ergebnis der Klage „ist in unseren Augen ein totaler Wendepunkt“, sagte Edelson. Auch die Facebook-Klage könnte Auswirkungen über Illinois hinaus gehabt haben. Im November 2021, weniger als ein Jahr nachdem ein Richter den Betrag seines BIPA-Fallvergleichs erhöht hatte, sagte das Unternehmen, es werde die Verwendung von Gesichtserkennungssoftware zur automatischen Erkennung von Personen in Fotos und Videos einstellen. Es kündigte auch an, verwandte Daten zu löschen, die mit den Gesichtern von über einer Milliarde Menschen verbunden sind (es wird jedoch noch an der Gesichtserkennungstechnologie arbeiten und diese möglicherweise in seinen zukünftigen Produkten verwenden). „Ich bin mir nicht sicher, ob sie diese Entscheidung getroffen hätten, wenn das BIPA nicht gewesen wäre, aber diese Entscheidung schließt sicherlich die Möglichkeit aus, dass das BIPA die Gesichtsbilder und die Gesichtsgeometrie nicht einhält“, sagte Lior Strahilevitz, Juraprofessor bei die University of Chicago.Facebook antwortete nicht auf eine Bitte um Stellungnahme. Das Unternehmen erwähnte BIPA nicht, als es seine Entscheidung bekannt gab, die Nutzung der Technologie einzustellen. Um auch nur das Potenzial für Gesetzesverstöße zu vermeiden, sind einige Unternehmen so weit gegangen, ein Produkt nicht im Staat zu verkaufen – wie bei Sonys Aibo-Roboterhund. das nach Angaben des Unternehmens das Verhalten eines echten Haustieres nachahmt, indem es Gesichtserkennungssoftware verwendet, um sich „um vertraute Personen anders zu verhalten“. Dies war 2018 der Fall, als Google seiner Google Arts & Culture-App eine Funktion hinzufügte, mit der Menschen ein Selfie aufnehmen können, das dann mit historischen Gemälden verglichen wird, um eines zu finden, das Ihrer Tasse am ähnlichsten ist. „Das war definitiv nicht verfügbar in Illinois, und es gab eine Art Einheimischen, ‚Huh, das ist interessant. Warum können wir das nicht verwenden?'“, Sagte Strahilevitz.
Andere versuchen (und scheitern), ähnliche Regeln zu erlassen
Nach der Verabschiedung von BIPA verabschiedeten Texas und Washington 2009 bzw. 2017 ihre biometrischen Gesetze. Aber die Gesetze wurden kaum getestet (2022 verklagte Texas auch Facebook wegen Vorwürfen, es habe illegal Gesichtserkennungsdaten von Texanern erbeutet), wahrscheinlich weil es eher Sache der Bundesstaaten als einzelner Bürger ist, zu entscheiden, ob sie klagen Die Ideen hinter BIPA „scheinen mit der Stimmung der Bevölkerung übereinzustimmen“, sagte Strahilevitz, aber die Gesetzgeber in Staaten wie Kalifornien und Maine haben versucht und sind daran gescheitert, ihre eigenen Versionen der Regel zu verabschieden. Experten sagen, dass ein Teil des Grundes für dieses Scheitern diese Dynamik ist hat sich gegen solche Biometriegesetze aufgebaut, insbesondere von großen und kleinen Unternehmen, die ihre Ziele sein können.
Doch Tsukayama von der EFF, dessen Gruppe mit dem kalifornischen Senator Bob Wieckowski an dem Gesetzentwurf arbeitete, den er im Februar eingebracht hatte und der ein BIPA-ähnliches Gesetz in Kalifornien geschaffen hätte, glaubt, dass es in Zukunft wiederbelebt werden könnte, auch wenn es im Ausschuss ins Stocken geraten ist Frühling. Schließlich wies Tsukayama darauf hin, „Ich kann ein Passwort ändern, aber ich kann mein Gesicht nicht ändern.“
.
Quelle: CNN
