Staaten schließen weiterhin Lücken in der Datenschutzgesetzgebung: Das Biometriegesetz von Illinois gewinnt an Bedeutung und dient anderen Staaten als Vorbild
Das 2008 verabschiedete Gesetz zum Schutz biometrischer Daten in Illinois (740 ILCS 14/1 oder BIPA) verpflichtet Unternehmen grundsätzlich dazu, die Zustimmung einer Person einzuholen, bevor sie deren „biometrische Identifikatoren” oder „biometrische Daten” erfassen, speichern oder erwerben. Seit Ende 2015 wurden mindestens sechs Klagen unter Berufung auf dieses Gesetz eingereicht, und der ersteVergleich im Rahmen des Gesetzes über den Schutz biometrischer Daten ( )wurde am 1. Dezember 2016 in Höhe von 1,5 Millionen Dollar genehmigt. Während Illinois und Texas derzeit die einzigen Bundesstaaten sind, in denen solche Gesetze in Kraft sind, befinden sich in fünf weiteren Bundesstaaten biometrische Gesetze in der Prüfung durch den Ausschuss.
Die Zunahme der in den letzten 14 Monaten eingereichten Klagen und mögliche neue Gesetze in anderen Bundesstaaten legen nahe, dass Unternehmen die biometrischen Daten, die ihre Produkte oder Dienstleistungen erfassen, überprüfen sollten, da möglicherweise Aktualisierungen der Richtlinien und Praktiken in Bezug auf Benachrichtigungen, Einwilligungen und Datenaufbewahrung erforderlich sind.
Jüngste Entwicklungen in der Rechtsprechung
Die meisten Fälle, in denen es um BIPA-Klagen ging, wurden auf der Grundlage entschieden, ob die fraglichen Informationen „biometrische Identifikatoren“ oder „biometrische Informationen“ im Sinne des Gesetzes darstellen oder ob die Behauptungen der Kläger ausreichend sind, um eine Klagebefugnis gemäß Artikel III zu begründen. Eine kürzlich ergangene Entscheidung des Northern District of Illinois, in der die Definition von „biometrischen Identifikatoren“ ausgelegt wird, lässt eine Sammelklage gegen Google Inc. zu. Siehe Rivera v. Google Inc., Nr. 1:16-cv-02714 (N.D. Ill. 27. Februar 2017).
Während Google argumentierte, dass die fraglichen Bilder vom BIPA ausgenommen seien, da sie aus Fotos stammen und nur persönlich durchgeführte Gesichtsscans als biometrische Identifikatoren gelten, wies das Gericht diese Argumentation zurück und erklärte: „Wenn Google die Fotos lediglich erfasst und gespeichert und keine Messungen und Scans der Gesichtsgeometrie vorgenommen hätte, läge kein Verstoß gegen das Gesetz vor.“ Rivera, Slip Op. auf Seite 15. Nachdem die Kläger eine zweite geänderte Klage eingereicht hatten, beantragte Google am 9. März beim Northern District, seine Entscheidung vom 27. Februar 2017 zu ändern und das Verfahren auszusetzen, während der Seventh Circuit über die Zulassung der Berufung von Google entscheidet.
Im Januar wies ein Bezirksgericht in New York eine Klage im Zusammenhang mit dem BIPA ab und stellte fest, dass die Verfahrensverstöße gegen die Bestimmungen zur Benachrichtigung und Einwilligung allein nicht ausreichen, um eine Klagebefugnis zu begründen. Siehe Vigil v. Take-Two Interactive Software, Inc., Nr. 15-8211 (S.D.N.Y. 30. Januar 2017). Die Begründung des Gerichts in Vigil ähnelte den Schlussfolgerungen in McCollough v. Smarte Carte, Inc. Nr. 16 C 03777, 2016 WL 4077108, bei *4 (N.D. Ill. 1. August 2016), in dem das Gericht dem Antrag des Beklagten auf Abweisung der Klage wegen fehlender Klagebefugnis stattgab und feststellte, dass die Nicht-Einholung einer vorherigen schriftlichen Einwilligung zur Speicherung von Fingerabdruckdaten keinen konkreten Schaden darstellte.
Anhängige Gesetzgebung in anderen Bundesstaaten
Da Illinois im Gegensatz zum Gesetz von Texas, das nur eine Durchsetzung durch den Generalstaatsanwalt zulässt, eine private Klagebefugnis vorsieht, dient das BIPA als Vorbild für andere Bundesstaaten, die Gesetze zur Biometrie erlassen. Zu den anderen Bundesstaaten, die solche Gesetze in Erwägung ziehen, gehören:
|
Staat |
Zusammenfassung |
|
Ähnlich wie BIPA verbietet der Gesetzentwurf die Erhebung biometrischer Daten einer Person ohne ordnungsgemäße Benachrichtigung und Einwilligung, verlangt die rechtzeitige Löschung der Daten, sobald diese nicht mehr benötigt werden, und sieht ein privates Klagerecht vor.
| |
|
Dieser Gesetzentwurf verfolgt einen ganz anderen Ansatz als der BIPA und konzentriert sich ausschließlich auf das Verbot der Verwendung von Gesichtserkennung zu Marketingzwecken.
| |
|
Illinois hat kürzlich eine Gesetzesänderung vorgeschlagen, die es Unternehmen verbieten würde, von einer Person oder einem Kunden die Angabe biometrischer Identifikatoren/Informationen als Voraussetzung für die Bereitstellung von Waren oder Dienstleistungen zu verlangen, außer in dem Umfang, der für die Durchführung von Hintergrundüberprüfungen oder die Umsetzung von Sicherheitsprotokollen erforderlich ist.
Die Änderung würde nicht für Unternehmen gelten, die medizinische Dienstleistungen erbringen, sowie für Strafverfolgungsbehörden und Regierungsbehörden.
| |
|
Wenn das Gesetz in Kraft tritt, verbietet es privaten Unternehmen, biometrische Daten einer Person ohne deren Zustimmung zu erheben, zu speichern und zu verwenden, und legt Verfahren für den Verkauf, die Offenlegung, den Schutz und die Löschung biometrischer Daten fest.
| |
|
Wie das BIPA würde der Gesetzentwurf die Erfassung, Speicherung und Verwendung biometrischer Daten durch Einzelpersonen und private Einrichtungen regeln. Der Gesetzentwurf gewährt geschädigten Personen ein privates Klagerecht.
| |
|
Obwohl der Kernzweck ähnlich wie bei BIPA erscheint, schränken mehrere Einschränkungen die Gesamtwirkung des Gesetzentwurfs ein. So sieht der Gesetzentwurf beispielsweise eine Ausnahme von allen Benachrichtigungs- und Einwilligungsanforderungen vor, wenn biometrische Daten „zur Förderung eines Sicherheitszwecks“ erhoben und gespeichert werden.
Der Gesetzentwurf sieht außerdem vor, dass die Verbote der Offenlegung und Speicherung biometrischer Identifikatoren nicht für die Offenlegung oder Speicherung biometrischer Identifikatoren gelten, „die abgemeldet wurden“ (ein Begriff, der anonymisierte oder deidentifizierte biometrische Daten suggeriert). Wie in Texas würde der Gesetzentwurf kein privates Klagerecht vorsehen.
|
Wichtige Auswirkungen für Unternehmen
Das BIPA wurde unter anderem verabschiedet, weil der Gesetzgeber von Illinois davon ausging, dass Unternehmen zunehmend biometrische Daten zur Erleichterung von Finanztransaktionen nutzen würden, die im Gegensatz zu anderen personenbezogenen Daten im Falle eines Diebstahls realistisch gesehen nicht geändert werden können. Die Vorhersagen des Gesetzgebers waren zutreffend, da biometrische Daten nicht nur zur Abwicklung von Finanztransaktionen verwendet werden, sondern auch für den Zugang zu Autos und Gebäuden, zur Passage der Sicherheitskontrollen an Flughäfen und zur Anmeldung bei Konten auf Mobilgeräten.
Obwohl der Gesetzesentwurf noch in keinem der fünf Bundesstaaten verabschiedet wurde, zeichnet sich ein klarer Trend zur Einführung biometrischer Gesetze auf Bundesstaatsebene ab. Daher müssen Unternehmen sicherstellen, dass ihre Richtlinien und Verfahren in Bezug auf Benachrichtigung, Einwilligung und Datenlöschung mit den derzeit geltenden Gesetzen übereinstimmen und flexibel sind, damit sie aktualisiert werden können, wenn andere Bundesstaaten ähnliche biometrische Gesetze verabschieden.
