Zum Inhalt springen
iDiscovery Solutions, Illinois' Oberster Gerichtshof, Illinois, Biometric Information Privacy Act (BIPA), Biometric Information Privacy Act, BIPA, Biometrische Informationen, BIPA-Fall, Illinois Biometric Information Privacy Act

Der Oberste Gerichtshof von Illinois hat kürzlich eine Entscheidung getroffen Cothron gegen White Castle System, Inc., was erhebliche Auswirkungen auf die Prozesslandschaft und das Geschäftsumfeld des Staates haben könnte. Der Fall betraf eine mutmaßliche Verletzung des Biometric Information Privacy Act (BIPA) von Illinois durch White Castle, eine Fast-Food-Restaurantkette, im Zusammenhang mit der Verwendung von Fingerabdruck-Scanning-Technologie für Mitarbeiterzeiterfassungszwecke.

BIPA verlangt von Unternehmen, dass sie eine informierte schriftliche Zustimmung von Einzelpersonen einholen, bevor sie ihre biometrischen Informationen wie Fingerabdrücke oder Gesichtsscans sammeln, verwenden oder speichern. Darüber hinaus sieht das Gesetz besondere Melde- und Vorratsdatenspeicherungspflichten sowie ein Privatklagerecht vor, das es Einzelpersonen ermöglicht, bei Verletzung ihrer Rechte Schadensersatz zu verlangen.

Im Fall Cothron behauptete die Klägerin, dass White Castle gegen BIPA verstoßen habe, indem sie es versäumt habe, eine ordnungsgemäße Mitteilung zu machen und ihre Zustimmung einzuholen, bevor sie ihre Fingerabdruckdaten erfasst und gespeichert habe. Das erstinstanzliche Gericht wies den Fall ab, aber das Berufungsgericht hob es auf und verwies es zur weiteren Verhandlung zurück. White Castle legte gegen die Entscheidung Berufung beim Obersten Gerichtshof von Illinois ein, der die Entscheidung des Berufungsgerichts schließlich bestätigte.

Die Entscheidung des Obersten Gerichtshofs in Cothron gegen White Castle System, Inc. könnte erhebliche Auswirkungen auf Unternehmen haben, die in Illinois geschäftlich tätig sind.

Erste, wird klargestellt, dass ein Kläger keinen tatsächlichen Schaden oder Schaden nachweisen muss, um einen BIPA-Anspruch geltend zu machen. Stattdessen reicht ein Verstoß gegen die gesetzlichen Hinweis- und Zustimmungspflichten aus, um Klagebefugnis zu begründen. Dies könnte potenziell weiteren BIPA-Klagen Tür und Tor öffnen, da Kläger möglicherweise eher bereit sind, zu klagen, selbst wenn sie keinen tatsächlichen Schaden erlitten haben.

Zweitebetont die Entscheidung, wie wichtig es ist, die Benachrichtigungs- und Zustimmungserfordernisse des BIPA einzuhalten. Das Gericht wies das Argument von White Castle zurück, dass der Anspruch des Klägers gegenstandslos sei, weil das Unternehmen nach Einreichung der Klage ordnungsgemäß informiert und seine Zustimmung eingeholt habe. Das Gericht entschied, dass der Verstoß bereits stattgefunden hatte, als die Daten ohne ordnungsgemäße Benachrichtigung und Zustimmung erhoben wurden, und dass der Kläger berechtigt war, Schadensersatz für diesen Verstoß zu verlangen.

Dritte, verdeutlicht die Entscheidung den Anwendungsbereich der gesetzlichen Schadensersatzregelung. BIPA erlaubt Schadensersatz in Höhe von 1 TP4T1.000 pro fahrlässiger Verletzung oder $5.000 pro vorsätzlicher oder rücksichtsloser Verletzung. Das Gericht entschied, dass diese Schäden keiner Obergrenze oder Begrenzung unterliegen, was möglicherweise zu einer erheblichen Haftung für Unternehmen führen könnte, die gegen das Gesetz verstoßen.

Während die Cothron-Entscheidung mehr Schutz für die biometrische Privatsphäre von Einzelpersonen bieten könnte, Es kann auch eine abschreckende Wirkung auf Unternehmen haben, die in Illinois tätig sind. Das Potenzial für erhebliche Schäden, kombiniert mit dem Fehlen einer Schadensvoraussetzung, könnte die Anwälte der Kläger dazu anregen, weitere BIPA-Klagen einzureichen. Dies könnte zu erhöhten Prozesskosten für Unternehmen führen, was wiederum zu höheren Preisen für Verbraucher und einem schwierigeren Geschäftsumfeld für in Illinois ansässige Unternehmen führen könnte.

Darüber hinaus könnte die Entscheidung andere Staaten dazu ermutigen, ähnliche Gesetze und Auslegungen zu verabschieden, was möglicherweise zu einem Flickenteppich verschiedener biometrischer Datenschutzgesetze im ganzen Land führen könnte. Dies könnte Unternehmen mit Niederlassungen in mehreren Bundesstaaten vor Compliance-Herausforderungen stellen und das Risiko von Rechtsstreitigkeiten erhöhen.

Insgesamt unterstreicht die Cothron-Entscheidung, wie wichtig es ist, dass Unternehmen proaktive Schritte unternehmen, um das BIPA und andere Gesetze zum Schutz biometrischer Daten einzuhalten. Dies kann die Implementierung robuster Datensicherheits- und Aufbewahrungsrichtlinien, das Einholen einer informierten schriftlichen Zustimmung von Einzelpersonen und die Bereitstellung klarer und auffälliger Hinweise auf Datenerfassungspraktiken umfassen. Unternehmen, die dies nicht tun, können in einer Zeit, in der Datenschutz und Sicherheit für viele Verbraucher an erster Stelle stehen, mit erheblichen rechtlichen und finanziellen Konsequenzen sowie Reputationsschäden rechnen.

Zusammenfassung rund um Compliance

Um die Einhaltung des Illinois Biometric Information Privacy Act (BIPA) sicherzustellen, sollten Unternehmen die folgenden Schritte in Betracht ziehen:

Richten Sie Richtlinien und Verfahren ein: Erstellen Sie Richtlinien und Verfahren, die beschreiben, wie biometrische Informationen gesammelt, verwendet und gespeichert werden. Dies sollte eine klare und auffällige Mitteilung an Einzelpersonen darüber beinhalten, wie ihre Informationen gesammelt, verwendet und gespeichert werden, sowie den Zweck der Sammlung.

Erhalten Sie eine informierte schriftliche Zustimmung: Holen Sie eine informierte schriftliche Zustimmung von Einzelpersonen ein, bevor Sie ihre biometrischen Informationen sammeln, verwenden oder speichern. Die Zustimmung sollte spezifisch sein und den Zweck der Sammlung, die Verwendung der Informationen und ihre Speicherung klar beschreiben.

Implementieren Sie Sicherheitsvorkehrungen: Implementieren Sie technische, administrative und physische Sicherheitsvorkehrungen zum Schutz biometrischer Informationen. Dies kann die Verschlüsselung von Daten, die Beschränkung des Zugriffs auf biometrische Informationen und die Implementierung sicherer Datenspeicherungspraktiken umfassen.

Entwickeln Sie Aufbewahrungsrichtlinien: Legen Sie Richtlinien fest, wie lange biometrische Informationen aufbewahrt und wann sie vernichtet werden. BIPA verlangt, dass biometrische Informationen vernichtet werden, wenn der Zweck der Sammlung erfüllt ist, oder innerhalb von drei Jahren nach der letzten Interaktion der Person mit dem Unternehmen, je nachdem, was zuerst eintritt.

Führen Sie regelmäßige Audits durch: Regelmäßige Audits durchführen, um sicherzustellen, dass das Unternehmen BIPA und andere relevante Gesetze und Vorschriften einhält. Dies kann die Überprüfung von Richtlinien und Verfahren, die Überwachung der Datenerfassungspraktiken und die Sicherstellung, dass Mitarbeiter im Umgang mit biometrischen Informationen geschult sind, umfassen.

Durch diese Schritte können Unternehmen sicherstellen, dass sie BIPA einhalten und geeignete Maßnahmen ergreifen, um die biometrischen Informationen von Einzelpersonen zu schützen. Die Nichteinhaltung des BIPA kann zu erheblichen rechtlichen und finanziellen Konsequenzen sowie zu Rufschädigungen führen. Daher ist es für Unternehmen wichtig, den biometrischen Datenschutz ernst zu nehmen und umfassende Compliance-Programme zur Risikominderung einzurichten.

Zusammenfassung rund um Discovery & Datenquellen

Was sind übliche Datenquellen, die im Rahmen eines BIPA-Rechtsstreits aufgedeckt werden?

In einem Rechtsstreit nach dem Biometric Information Privacy Act (BIPA) können je nach Umfang des Falls und den gesuchten Informationen eine Reihe von Datenquellen entdeckt werden. Einige gängige Datenquellen, die in einem BIPA-Fall entdeckt werden können, sind:

Biometrische Daten: Dies sind die primären Daten, die Gegenstand von BIPA-Rechtsstreitigkeiten sind, und können Fingerabdrücke, Gesichtsscans und andere biometrische Informationen umfassen, die ein Unternehmen von Einzelpersonen sammelt. Diese Daten können auf physischen Geräten wie Scannern oder in elektronischen Datenbanken gespeichert werden.

Mitarbeiterakten: Mitarbeiterakten können offengelegt werden, wenn sie Informationen im Zusammenhang mit der Erfassung biometrischer Daten enthalten, wie z. B. Einverständniserklärungen, Richtlinien und Verfahren in Bezug auf die Erfassung und Speicherung von Daten sowie Schulungsmaterialien für Mitarbeiter.

Technische Spezifikationen: Technische Spezifikationen in Bezug auf die Erfassung und Speicherung biometrischer Daten können in einem BIPA-Fall relevant sein, einschließlich Details über die Hardware und Software, die zum Erfassen, Speichern und Schützen der Daten verwendet werden.

IT-Systeme: IT-Systeme können in einem BIPA-Fall aufgedeckt werden, einschließlich Datenspeichersysteme, Backup-Systeme und Datenzugriffsprotokolle. Diese Informationen können verwendet werden, um zu zeigen, wie Daten gesammelt, verwendet und geschützt werden und ob Verstöße oder unbefugter Zugriff aufgetreten sind.

E-Mail und andere elektronische Kommunikation: E-Mails und andere elektronische Mitteilungen können in einem BIPA-Fall relevant sein, wenn sie Diskussionen im Zusammenhang mit der Erfassung, Speicherung oder Handhabung biometrischer Daten enthalten. Dies kann E-Mails zwischen Mitarbeitern, E-Mails an Anbieter oder Auftragnehmer und Mitteilungen im Zusammenhang mit der Entwicklung oder Implementierung biometrischer Datensysteme umfassen.

Lieferanten- und Auftragnehmerverträge: Lieferanten- und Auftragnehmerverträge können in einem BIPA-Fall relevant sein, wenn sie Bestimmungen zur Erfassung und Speicherung biometrischer Daten enthalten. Diese Informationen können verwendet werden, um festzustellen, ob das Unternehmen geeignete Maßnahmen zum Schutz biometrischer Daten ergriffen hat und ob Lieferanten oder Auftragnehmer ordnungsgemäß überprüft und verwaltet wurden.

Es ist wichtig zu beachten, dass die Datenquellen, die in einem BIPA-Fall aufgedeckt werden können, je nach den Besonderheiten des Falls und den gesuchten Informationen variieren. Daher sollten Unternehmen einen umfassenden Ansatz für die Datenerfassung, -speicherung und -verarbeitung verfolgen und geeignete Richtlinien und Verfahren zum Schutz biometrischer Daten und zur Minimierung des Risikos von Rechtsstreitigkeiten festlegen.

Wenn Sie einen Anruf mit einem unserer Experten vereinbaren möchten, um zu besprechen, wie sich diese Informationen auf einen Ihrer Kunden oder Fälle auswirken könnten, besuchen Sie bitte iDSinc.com


iDS bietet Unternehmen und Anwaltskanzleien auf der ganzen Welt beratende Datenlösungen, die ihnen einen entscheidenden Vorteil verschaffen – sowohl innerhalb als auch außerhalb des Gerichtssaals. Unsere Fachexperten und Datenstrategen sind darauf spezialisiert, Lösungen für komplexe Datenprobleme zu finden und sicherzustellen, dass Daten als Vermögenswert und nicht als Belastung genutzt werden können.

de_DEDE