Die Illinois Biometric Data Regulation (BIPA) im Vergleich zum EU AI Act und anderen US- Bundes- und Landesgesetzen, die die Verwendung biometrischer Daten regeln
Die Regulierung biometrischer Daten wird immer wichtiger, da künstliche Intelligenz (KI) und biometrische Technologien immer weiter voranschreiten. Die USA und die Europäische Union (EU) haben jeweils einen Rahmen entwickelt, um die Erhebung und Verwendung biometrischer Daten zu regeln. Dabei gibt es unterschiedliche Ansätze, insbesondere in Bezug auf die Echtzeit- bzw. Nicht-Echtzeitverarbeitung solcher Daten, die Anwendbarkeit und die Mittel zur Durchsetzung.
1. Anwendungsbereich und Anwendbarkeit
Illinois Biometric Information Privacy Act (BIPA):
Anwendungsbereich: Illinois war 2008 der erste Staat, der ein Gesetz zum Schutz biometrischer Daten erlassen hat. Das BIPA regelt insbesondere die Erfassung, Speicherung und Handhabung biometrischer Identifikatoren, einschließlich Fingerabdrücken, Gesichtserkennungsdaten, Netzhautscans und mehr. Das BIPA unterscheidet nicht zwischen Echtzeit- und Nicht-Echtzeit-Verarbeitung biometrischer Daten. Unabhängig davon, ob biometrische Daten erfasst und sofort verwendet (Echtzeit) oder zur späteren Verwendung gespeichert werden (Nicht-Echtzeit), gelten die gleichen strengen Anforderungen. Die Unternehmen müssen eine schriftliche Einwilligung einholen, den Zweck der Datenerfassung erklären und die Aufbewahrungs- und Vernichtungsrichtlinien detailliert darlegen.
Anwendbarkeit: Das BIPA gilt für private Unternehmen, die biometrische Daten von Einwohnern des Bundesstaates Illinois erheben oder verarbeiten, unabhängig davon, wo das Unternehmen seinen Sitz hat. Die extraterritoriale Anwendung des Gesetzes bedeutet, dass auch Unternehmen außerhalb von Illinois oder den USA dem BIPA unterliegen können, wenn sie mit den biometrischen Daten von Einwohnern von Illinois arbeiten. Ausnahmen bestehen für staatliche Stellen, Finanzinstitute und öffentliche Schulen, für die andere Vorschriften gelten.
Ausnahmeregelungen und andere geltende Gesetzgebung: Die strengen Anforderungen des BIPA gelten nur für private Einrichtungen und schließen öffentliche Einrichtungen, Finanzinstitute und öffentliche Schulen aus. Diese Sektoren werden entweder durch andere spezifische Gesetze geregelt oder fallen nicht unter BIPA. Zum Beispiel:
- Öffentliche Einrichtungen: Während BIPA keine öffentlichen Einrichtungen regelt, gilt für biometrische Daten der vierte Verfassungszusatz, der vor unangemessenen Durchsuchungen und Beschlagnahmungen schützt. Darüber hinaus spielt die von Präsident Biden im Jahr 2023 erlassene Exekutivanordnung zur KI eine entscheidende Rolle bei der Gestaltung des US-Ansatzes zur KI-Governance, einschließlich der Regulierung biometrischer Daten. Die Executive Order betont die Grundsätze des Schutzes der Privatsphäre, der Bürgerrechte und des Abbaus von Verzerrungen in KI-Systemen. Sie fordert die Entwicklung von Standards und Rahmenwerken, die einen verantwortungsvollen Einsatz von KI im öffentlichen und privaten Sektor sicherstellen. Die Umsetzung dieser Executive Order hat dazu geführt, dass Bundesbehörden wie das National Institute of Standards and Technology (NIST) Richtlinien erstellt haben, die das BIPA und andere staatliche Gesetze ergänzen. Diese Richtlinien fördern Fairness, Rechenschaftspflicht und Transparenz in KI-Systemen und wirken sich darauf aus, wie biometrische Daten verwaltet werden, unabhängig davon, wann sie verarbeitet werden
- Finanzinstitute: Diese werden häufig durch den Gramm-Leach-Bliley Act (GLBA) reguliert , der den Schutz persönlicher Daten, einschließlich potenziell biometrischer Daten, im Finanzsektor vorschreibt.
- Andere U.S.-Gesetzgebung: Auf Bundesebene gibt es keine umfassende Gesetzgebung, die dem BIPA entspricht. Allerdings können sektorspezifische Gesetze wie der Health Insurance Portability and Accountability Act (HIPAA) Anwendung finden, wenn biometrische Daten im Gesundheitswesen verwendet werden. Außerdem könnte der im Entstehen begriffene American Data Privacy Protection Act (ADPPA) allgemeinere Datenschutzregeln für verschiedene Sektoren einführen.
Welche anderen U.S.-Bundesstaaten haben derzeit Gesetze zum Schutz biometrischer Daten?
- Texas und Washington haben ebenfalls weitreichende Gesetze zum Schutz der biometrischen Daten, aber keiner von beiden schafft ein privates Klagerecht wie BIPA. Darüber hinaus haben Kalifornien, Colorado, Connecticut, Utah, Rhode Island, Vermont - obwohl der Gouverneur kürzlich sein Veto eingelegt hat - und Virginia umfassende Gesetze zum Schutz der Privatsphäre von Verbrauchern erlassen, die, sobald sie in Kraft treten, ausdrücklich die Verarbeitung biometrischer Daten regeln werden. Und noch mehr Staaten haben Gesetze zur Meldung von Datenschutzverletzungen erlassen, die biometrische Daten ausdrücklich in ihren Geltungsbereich einschließen.
- Verschiedene Gemeinden, wie New York City und Portland, Ore., haben ebenfalls maßgeschneiderte Maßnahmen zum Schutz der biometrischen Daten erlassen. Das New York City's Biometric Information Privacy Law, das für bestimmte kommerzielle Einrichtungen gilt, sieht ein privates Klagerecht vor.
- Da immer mehr Bundesstaaten ähnliche Gesetze wie das BIPA einführen, haben Versicherer begonnen, die Deckung für biometrische Daten ausdrücklich aus ihren Policen auszuschließen, was die Risiken, die durch die Nichteinhaltung biometrischer Datenschutzgesetze entstehen, weiter erhöht.
EU-Gesetz über künstliche Intelligenz (KI) im Vergleich
Anwendungsbereich: Das EU-KI-Gesetz regelt KI-Systeme, insbesondere solche, die als „hochriskant“ eingestuft werden, einschließlich biometrischer Datensysteme wie Gesichtserkennung. Das Gesetz unterscheidet zwischen biometrischer Identifizierung in Echtzeit, wie z.B. Live-Gesichtserkennung im öffentlichen Raum, und Nicht-Echtzeit- Verarbeitung, wobei erstere aufgrund ihrer unmittelbaren Auswirkungen auf die Privatsphäre und die bürgerlichen Freiheiten strengeren Kontrollen unterworfen wird.
Anwendbarkeit: Das KI-Gesetz gilt für Anbieter, Nutzer und Vertreiber von KI-Systemen innerhalb der EU sowie für solche außerhalb der EU, wenn ihre Systeme Menschen in der EU betreffen. Diese Regelung gilt sowohl für staatliche als auch für private Anwendungen, wobei je nach Anwendungskontext unterschiedliche Regeln gelten.
2. Anforderungen an Zustimmung und Transparenz:
BIPA:
Zustimmung: Das BIPA schreibt vor, dass vor der Erhebung oder Verwendung biometrischer Daten eine ausdrückliche und informierte schriftliche Zustimmung vorliegen muss. Die Personen müssen über den Zweck und die Dauer der Datennutzung informiert werden. Diese Anforderung gilt unabhängig davon, ob die biometrischen Daten in Echtzeit oder nicht in Echtzeit erfasst werden.
Transparenz: Die Unternehmen müssen ihre Richtlinien zur Datenspeicherung und - vernichtung öffentlich bekannt geben. Biometrische Daten müssen vernichtet werden, sobald der ursprüngliche Zweck erfüllt ist oder innerhalb von drei Jahren nach der letzten Interaktion mit der Person.
EU AI Act:
Zustimmung: Das KI-Gesetz enthält keine spezifische Einwilligungsvorschrift für biometrische Daten und stützt sich stattdessen auf den Einwilligungsrahmen der Datenschutz-Grundverordnung. Für „risikoreiche“ KI-Systeme, einschließlich solcher, die biometrische Daten verarbeiten, gibt es jedoch zusätzliche Anforderungen an Transparenz, Rechenschaftspflicht und Risikomanagement, insbesondere für Echtzeitsysteme.
Transparenz: KI-Systeme mit hohem Risiko müssen in ihrer Funktionsweise transparent sein. Bei biometrischen Echtzeitsystemen wie der Gesichtserkennung in der Öffentlichkeit müssen strenge Maßnahmen sicherstellen, dass die Benutzer verstehen, wie und warum ihre Daten verarbeitet werden.
3. Datenschutz und Sicherheitsanforderungen
BIPA:
Datenschutz: Das BIPA schreibt zwar keine spezifischen technischen Maßnahmen vor, 8 verlangt aber, dass biometrische Daten im Einklang mit den Industriestandards geschützt werden. Dies gilt sowohl für die Echtzeit- als auch für die Nicht-Echtzeit-Datenverarbeitung.
Sicherheitsanforderungen: Obwohl das BIPA sich nicht ausdrücklich zu Sicherheitsprotokollen äußert, impliziert das Gesetz die Notwendigkeit eines robusten Schutzes gegen unbefugten Zugriff. Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, die mit den Praktiken der Branche übereinstimmen.
EU AI Act:
Datenschutz: Das KI-Gesetz verlangt hohe Standards für Datenqualität, Genauigkeit und Sicherheit, insbesondere für Systeme mit hohem Risiko. Dazu gehören auch strenge Anforderungen an biometrische Echtzeitsysteme,
Sicherheitsanforderungen: KI-Systeme mit hohem Risiko, insbesondere solche, die biometrische Daten verarbeiten, müssen strengen Tests unterzogen werden und menschliche Kontrollmechanismen enthalten, um Missbrauch zu verhindern.
Selbstzertifizierung: Unternehmen können sich selbst zertifizieren, um sich an internationale Sicherheitsstandards wie ISO 27001 zu halten. Der endgültige Entwurf für einen internationalen Standard zur Regelung der künstlichen Intelligenz - Datenqualität für Analysen und maschinelles Lernen (ML) - Teil 2: Datenqualitätsmaßnahmen. (ISO/IEC FDIS 5259-2) befindet sich derzeit in der Genehmigungsphase und sollte in naher Zukunft zur Verfügung gestellt werden.
4. Risiken der Nichteinhaltung
BIPA: Die Nichteinhaltung von BIPA kann zu schweren finanziellen Strafen führen. Einzelpersonen haben das Recht, Organisationen wegen Verstößen zu verklagen, was zu einem gesetzlichen Schadensersatz von 1.000 $ pro Verstoß bei fahrlässigen Verstößen und 5.000 $ bei vorsätzlichen Verstößen führt. Mehrere prominente Sammelklagen, in denen Verstöße gegen das BIBA geltend gemacht werden, haben bereits Präzedenzfälle geschaffen und zeigen die Risiken, die mit der Nichteinhaltung verbunden sind:
Zunächst entschied der Oberste Gerichtshof von Illinois im Jahr 2019 in der Rechtssache Rosenbach gegen Six Flags Enterteinment Corp., dass ein Kläger als „geschädigte Person“ im Sinne des Gesetzes angesehen werden kann und „Anspruch auf Schadensersatz und Unterlassungsansprüche“ hat, ohne eine tatsächliche Verletzung geltend machen zu müssen. Im Mai 2020 stellte der U.S. Court of Appeals for the Seventh Circuit in der Rechtssache Bryant v. Compass Group USA, Inc. klar, dass eine solche Person eine tatsächliche Verletzung erlitten hat, die ausreicht, um eine Klagebefugnis gemäß BIPA Section 15(b) zu begründen.
Im Jahr 2020 kam die Facebook BIPA-Sammelklage Patel v. Facebook Inc. zum Abschluss, als Facebook einem Vergleich in Höhe von 650 Millionen Dollar zustimmte, einem der größten Vergleiche zum Schutz der Privatsphäre von Verbrauchern in der Geschichte der USA, um Vorwürfe auszuräumen, dass es biometrische Daten von Nutzern ohne deren Zustimmung erhoben hat.
Im Oktober 2022 wurde das erste Urteil in einer BIPA-Sammelklage in der Sache Rogers v. BNSF Railway Company gefällt. Obwohl das beklagte Unternehmen ankündigte, gegen die Entscheidung des Bezirksgerichts für den nördlichen Bezirk von Illinois Berufung einzulegen, könnte der Erfolg der Kläger auf der Gerichtsebene Einzelpersonen ermutigen, ihre eigenen BIPA-Klagen zu verfolgen.
Im Februar 2023 entschied der Oberste Gerichtshof von Illinois in der Rechtssache Cathron gegen White-Castle Systems, Inc. dass jedes Mal, wenn ein privates Unternehmen den biometrischen Identifikator oder die biometrischen Daten einer Person scannt oder überträgt und damit gegen das Gesetz verstößt, ein separater Anspruch gemäß BIPA entsteht. Das Gericht stellte außerdem fest, dass BIPA-Schadensersatz nach eigenem Ermessen und nicht zwingend ist. Anfang desselben Monats entschied das Gericht in der Rechtssache Tims v. Black Horse Carriers, Inc. dass eine fünfjährige Verjährungsfrist für alle Ansprüche aus dem BIPA gilt.
EU AI Act: Das KI-Gesetz sieht hohe Bußgelder für die Nichteinhaltung vor. Bei schweren Verstößen wie der unerlaubten Nutzung von KI-Systemen mit hohem Risiko können die Strafen bis zu 30 Millionen Euro oder 6 % des weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist. Für weniger schwerwiegende Verstöße gelten niedrigere Bußgelder. Das Gesetz ist am 1. August 2024 in Kraft getreten und die ersten Bestimmungen werden ab Februar 2025 für Unternehmen verbindlich sein. Weitere wichtige Regelungen werden in den folgenden Monaten folgen, bis das gesamte Gesetz, mit Ausnahme bestimmter KI-Systeme mit hohem Risiko, ab dem 1. August 2026 anwendbar ist und alle Bestimmungen im August 2027 vollständig in Kraft treten.
5. Durchsetzung und Rechtsstreitigkeiten:
Durchsetzung des BIPA: Die Durchsetzung erfolgt in erster Linie durch private Rechtsstreitigkeiten, die eine wichtige Triebkraft für die Einhaltung der Vorschriften waren. Das Potenzial für Sammelklagen schafft einen erheblichen Anreiz für Unternehmen, sich an das Gesetz zu halten.
Durchsetzung des EU AI Act:: Das AI-Gesetz wird von den nationalen Behörden der EU-Mitgliedstaaten durchgesetzt, wobei die Europäische Kommission die grenzüberschreitende Einhaltung über das AI-Büro überwacht. Im Gegensatz zum BIPA sieht das AI-Gesetz derzeit kein privates Klagerecht vor, aber die GDPR-Bestimmungen könnten einige private Ansprüche im Zusammenhang mit Datenschutzverletzungen ermöglichen. Sammelklagen für EU-Bürger werden derzeit durch das Recht der EU-Mitgliedstaaten geregelt und sind unterschiedlich. Das Europäische Parlament und der Rat haben jedoch bereits eine Haftungsrichtlinie im Rahmen des KI- Gesetzes eingeführt, die darauf abzielt, die außervertraglichen zivilrechtlichen Haftungsregeln für Künstliche Intelligenz zu harmonisieren, was sich jedoch nicht auf bestehende Rechtsbehelfe für private Ansprüche auswirken soll.
6. Fazit
Die Regulierungslandschaft für biometrische Daten in den USA und der EU spiegelt unterschiedliche Ansätze in Bezug auf KI und Datenschutz wider. Das BIPA bietet einen starken Verbraucherschutz, ohne zwischen Echtzeit- und Nicht-Echtzeit-Datenverarbeitung zu unterscheiden, und verlässt sich bei der Durchsetzung stark auf private Rechtsstreitigkeiten. Das KI-Gesetz der EU hingegen sieht aufgrund der unmittelbaren Auswirkungen auf die Privatsphäre strengere Kontrollen für biometrische Echtzeitsysteme vor, wobei die Durchsetzung in erster Linie durch Regulierungsbehörden erfolgt. Bidens Executive Order zu KI verstärkt diese Bemühungen und fördert eine umfassende KI- Governance, die biometrische Daten in allen Kontexten schützt. Zusammen bilden diese Gesetze und Vorschriften einen soliden Rahmen für den Umgang mit den Risiken und Herausforderungen, die mit biometrischen Daten in einer zunehmend von KI angetriebenen Welt verbunden sind.
Vergleich der staatlichen Gesetze zum Schutz biometrischer Daten
Merkmal | Illinois (740 ILCS 14) | Texas (Tex. Bus. & Com. Code Ann. § 503.001) | Washington (Wash. Rev. Code § 19.375.010 et seq.) |
---|---|---|---|
Anwendungsbereich des Gesetzes | Nein, das Gesetz ist nicht auf kommerzielle Zwecke beschränkt. | Ja, das Gesetz ist auf kommerzielle Zwecke beschränkt, die auch Sicherheitszwecke einschließen können. | Ja, das Gesetz ist auf kommerzielle Zwecke beschränkt, die keine Sicherheitszwecke einschließen. |
Hinweis- und Zustimmungspflichten | Sowohl Hinweis als auch Zustimmung müssen schriftlich erfolgen. Der Hinweis muss enthalten: (1) die Tatsache, dass biometrische Daten gesammelt oder gespeichert werden und (2) den spezifischen Zweck und die Dauer, für die sie gesammelt, gespeichert und verwendet werden. | Der Hinweis muss vor der Erfassung der biometrischen Kennung erfolgen. | Der genaue Hinweis und die Art der Zustimmung sind „kontextabhängig“. Der Hinweis muss „durch ein Verfahren gegeben werden, das betroffenen Personen leicht zugänglich ist“. Eine neue Nutzung oder Offenlegung erfordert eine neue Zustimmung. |
Aufbewahrungspflichten | Die Aufbewahrung ist zulässig, bis „der ursprüngliche Zweck für die Erfassung oder den Erhalt solcher Kennungen oder Informationen erfüllt ist oder innerhalb von drei Jahren nach dem letzten Kontakt mit der privaten Einrichtung, je nachdem, was zuerst eintritt.“ Der Aufbewahrungsplan muss öffentlich zugänglich sein. | Keine spezifischen Aufbewahrungspflichten festgelegt. | Es sind keine speziellen Aufbewahrungspflichten festgelegt, aber es gilt das allgemeine Prinzip der angemessenen Datenspeicherung. |
Privates Klagerecht | Ja | Nein | Nein |
Zulässige Schadensersatzansprüche | Fahrlässige Verstöße: der höhere Betrag von $1,000 oder tatsächlichen Schadensersatz. Vorsätzliche oder leichtfertige Verstöße: der höhere Betrag von $5,000 oder tatsächlichen Schadensersatz. Anwaltskosten werden ebenfalls erstattet. | Maximal $25,000 pro Verstoß. | Maximal $500,000 pro Verstoß. |
Verkauf von biometrischen Kennungen | Nein | Ja, unter bestimmten Umständen. | Ja, unter bestimmten Umständen. |
Offenlegung von biometrischen Kennungen | Ja, unter bestimmten Umständen. | Ja, unter bestimmten Umständen. | Ja, unter bestimmten Umständen. |
Weitere Artikel
Aktuelle Nachrichten über Datenschutz, GDPR, KI-Gesetzgebung und mehr