noyb hat heute eine Klage gegen die Hamburger Datenschutzbehörde eingereicht. Die Behörde hält das Vorgehen der Gesichtssuchmaschine PimEyes zwar für illegal, will aber keine wirksamen Maßnahmen ergreifen, weil das Unternehmen in Dubai ansässig sei. PimEyes extrahiert systematisch biometrische Daten aus Bildern im Internet und befüllt damit eine Datenbank. Nutzer:innen können Fotos von Personen auf dieser Webseite hochladen, um über Gesichtserkennung weitere Bilder derselben Person zu finden. Ursprünglich hatte der Kläger im Juli 2020 Beschwerde gegen PimEyes bei der Hamburger Datenschutzbehörde eingereicht.
Was soll die Hamburger Datenschutzbehörde halt auch machen, wenn eine Firma in Dubai etwas tut das in Deutschland illegal wäre? Also was ist da die Erwartungshaltung bei der Klage? Klingt für mich nach gelangweilten Anwälten und Verschwendung von Steuergeldern.
Was man sich erhofft steht doch im Text…
Aber das ist doch Bullshit, Gelder in der EU einfrieren? Auf welcher Grundlage? Ich verstehe diese Rechtsauffassung nicht, die DSGVO gilt in der EU, nicht in Dubai. Soll dann Dubai auch internationale Gelder einfrieren von EU Bürgern die in ihrer Heimat gegen das dubaiische Alkoholverbot verstoßen oder so?
Ich bin ja für den Datenschutz, aber wir haben halt in Dubai keine Jurisdiktion. In manchen Ländern ist es halt erlaubt alle Gesichter aus dem Internet runterzuladen. Das muss man berücksichtigen wenn man seine Fotos bei social media hochlädt. Solange wir DSGVO nicht irgendwie auf UN Ebene haben gibt es da einfach keinen Schutz davor.
Das ist so nicht korrekt. Die DSGVO gilt ausdrücklich für alle Daten von Europäern. Auch wenn du in den USA sitzt und Daten von Europäern verarbeitest bist du davon betroffen. Das bedeutet auch, dass entsprechende Sanktionsmöglichkeiten bestehen. Es ist in der Praxis natürlich dann entsprechend schwierig, diese sauber durchzusetzen. Aber rein grundsätzlich ist es so vorgesehen, dass die Datenschutzbehörden gegen datenschutzverletzende Seiten ihre Verfahren durchführen, die Seiten zu Änderungen auffordern und im Zweifelsfall Strafen verhängen. Es ist dann natürlich eine weitere Frage, ob diese Strafen auch bezahlt werden. Aber meistens haben diese Seiten eben doch eine Verbindung in die EU. Hosten hier Inhalte, haben hier Entwickler oder die Verantwortlichen reisen hier hin und können eingeknastet werden.
Auch wenn du in den USA sitzt und Daten von Europäern verarbeitest bist du davon betroffen.
Aber auch nur weil es dafür zwischen EU und USA das Safe Harbour (Nachfolge-)Abkommen gibt, wofür die USA sich aus freien Stücken entschieden haben.
DSGVO gilt ausdrücklich für alle Daten von Europäern
Nach wessen Rechtsauffassung? Die EU entscheidet nicht darüber welche Datenschutzregelungen in Dubai gelten. Nur wenn Dubai sich der DSGVO unterwerfen würde in einem Abkommen o.ä. und dann lokale dubaiische Gerichte entsprechend so entscheiden würden, dann würde die Aussage stimmen. Ansonsten ist das halt von EU Seite vielleicht herbeigewünscht, mehr aber auch nicht. Und genau das ist doch die aktuelle Situation.
im Zweifelsfall Strafen verhängen
Wofür? Weil Dubai ein souveräner Staat mit eigenen Gesetzen ist? Ich sehe ja ein dass man Kriegstreiberei und Staatterrorismus mit Embargos und Sanktionen bekämpft und im Falle von Dubai könnte man z.B. Zwangsarbeiter nennen. DSGVO Verletzungen sind zwar ärgerlich aber Datenschutz ist ein ganz anderes Level und nicht zu vergleichen mit Terrorismus oder Zwangsarbeit o.ä
Das mag dich irritieren, aber das ist halt so:
Hieraus wird klar erkennbar, dass der EU-Gesetzgeber einen möglichst weiten Anwendungsbereich im Sinn hatte – der Schutz personenbezogener Daten soll damit umfassend garantiert werden. Denn die DSGVO gilt auch unabhängig von der Niederlassung, sofern eine Verarbeitung von Daten innerhalb der EU stattfindet oder Daten von EU-Bürgern außerhalb der EU verarbeitet werden. Durch diese zielgerichtete Erweiterung des Anwendungsbereichs sollen insbesondere Umgehungsmöglichkeiten für Unternehmen minimiert werden. Zudem soll ein einheitlicher Schutz aller in der EU verarbeiteter personenbezogener Daten sowie aller personenbezogener Daten von EU-Bürgern gleichermaßen sichergestellt werden.
Ich bin gerade nicht sicher, welchen Punkt du hier machen willst.
Es ist doch grundsätzlich nicht schlecht, zumindest dafür zu sorgen, das FALLS die Verantwortlichen sich dann doch mal z.B. in Deutschland aufhalten, dass sie dann eine saftige Rechnung dafür bekommen.
Ich denke, dass man a) die DSGVO (innerhalb der EU) wohl schon durchsetzen wird und b) den Datenschutzsündern zumindest in der EU das Leben schwerer machen kann.
Wenn sich die Typen weiterhin in Dubai verkriechen, können sie das bestimmt auch unbehelligt machen, aber naja, heißt dann eben auch - kein EU mehr.
Ich kann mir halt vorstellen, dass diese Klage schon auch ein Signal sein soll, die Arbeit nicht schleifen zu lassen (berechtigterweise).
Der Punkt ist das extraterritoriale Wirkung von Gesetzen halt ein gefährlicher Präzedenzfall ist. Dürfen andere Länder das dann im Gegenzug so auch von Deutschland oder der EU fordern? Wollen wir das? In Dubai ist Muslimen per Gesetz das Alkoholtrinken verboten, sollten die sowas bei uns auch durchsetzen dürfen? Ist es nicht eigentlich ein Prinzip von Rechtsstaatlichkeit und internationalen Beziehungen, dass man sich gegenseitig die Souveränität anerkennt und zugesteht?
Ich verstehe Dein Beispiel auch beim wiederholten mal nicht. Die DSGVO wird angewendet, weil EU Bürger betroffen sind. Wo sind die Bürger von Dubai betroffen, wenn bei uns Alkohol getrunken wird?
PimEyes ist auch aus dem deutschen Internet erreich- und nutzbar. Also müsste es sich auch nach deutscher Rechtsprechung an deutsche Gesetze halten. Auf dieser Rechtsgrundlage sind ja letztendlich auch DSA usw. aufgebaut.
Aus Sicht von PimEyes sind die Aktivitäten nach dubaiischer Rechtssprechung legal, soll jetzt die dubaiische Außenhandelskammer darauf hinwirken das die EU das dubaiische Recht akzeptiert?
Defacto ist das einzige was deutscher Rechtsprechung unterliegt die deutschen Internetprovider, denen kann man natürlich verbieten PimEyes zugänglich zu machen. Das wars aber auch schon.
Also normalerweise würde PimEyes einfach selbst dafür sorgen, dass ihre Services nur in Ländern verfügbar sind, in denen sie auch so legal angeboten werden können. Wenn ein Dienstbetreiber sich nicht an deutsches Recht hält, hier aber seine Dienste anbietet, kann Deutschland selbstverständlich per Rechtsgesuch das Land, in dem der Betreiber sitzt, auffordern, den Betreiber rechtlich greifbar zu machen. Das geht in der Exekutive von der Einforderung von Strafgeldern bis zur Auslieferung der Beschuldigten. Deutschland macht das ja im Umkehrschluss ebenso, solange davon ausgegangen werden kann, dass der zugrunde liegende Prozess im Anklägerland auch mit rechtsstaatlichen Mittel abläuft.
In manchen Ländern ist es halt erlaubt alle Gesichter aus dem Internet runterzuladen. Das muss man berücksichtigen wenn man seine Fotos bei social media hochlädt.
Ich hab selbst noch kein einziges Bild von mir im Internet hochgeladen, aber das andere das nicht tun ist kaum zu verhindern. Freunde die “upsi vergessen” haben dass ich in ihrer story oder dem bereal nicht sein wollte, aber vor allem fremde. Versuch mal auf irgendein Konzert oder andere Veranstaltung zu gehen ohne gefilmt oder fotografiert zu werden. Es ist leider unmöglich geworden. Früher hab ich die Leute in der tat angesprochen, dass ich nicht drauf sein will auf ihrem Film aber inzwischen müsste man da hunderte Leute ansprechen.
Für mich ist besonders gruselig, da ich mal gestalkt wurde. Damals gab es das zum Glück nicht und ich war heilfroh dass die Person nicht rausfinden konnte wo ich wohne, wo ich studiere, wo ich arbeite und wo ich meine Freizeit verbringe. Durch die Bilder anderer und unternehmen wie pimeyes wäre das heutzutage vielleicht möglich was mich wirklich wirklich gruselt.
In dem Fall würde die DSGVO auch außerhalb von der EU gelten, wenn man hier unberechtigt Daten von EU-Bürgern verarbeitet. Wie das konkret durchgesetzt wird, ist natürlich eine berechtigte Frage, aber man soll nicht so tun, als könnte man dem überhaupt nichts entgegensetzen.
Hier geht’s darum, dass nicht mal richtig versucht wird, etwas anzuleiern, obwohl es eindeutig geboten ist. Und das ist einfach zu wenig und ein falsches Signal.
Ja, gibt nicht viel Sinn. Ich tue mich auch schwer damit, diese imperialen Vorstellungen, den Ruf nach mehr Überwachung und Kontrolle, mit Vorstellungen von Privatsphäre und Bürgerrechten in Einklang zu bringen.
Das DSGVO-Rechte ein Privileg für Europäer seien, ist natürlich Unsinn. Das wäre mit üblichen Vorstellungen von Gleichheit und Diskriminierungsfreiheit kaum in Einklang zu bringen. Die Reaktionen im Ausland, würde die EU Vorrechte gegenüber den Einheimischen einfordern, will ich mir gar nicht vorstellen.
Die EU verlangt, dass sich jeder, der Dienste an Menschen in der EU anbietet, an die DSGVO hält (bezüglich “Datensubjekten” in der EU). Das heißt, die Klage läuft darauf hinaus, dass PimEyes die EU geoblocken soll.




