Wer hätte gedacht, dass ein unscheinbarer Verkaufsautomat so viel Aufregung auslösen und eine regelrechte „Datenschutz-Demonstration“ von Studierenden hervorrufen könnte? Überwachtes Naschen, Gewichtskontrolle, oder etwa doch „nur“ Gesichtskontrolle?
Einblicke in die süße Welt der Gesichtserkennung
Am Campus der Universität Waterloo in Kanada sorgten im Februar diesen Jahres Verkaufsautomaten von Mars, der Muttergesellschaft von M&M’s, für Wirbel, die verdächtigt wurden, Gesichtserkennungsdaten von Studierenden gesammelt zu haben. Eine entdeckte Windows-Fehlermeldung auf einem dieser Automaten enthüllte eine „Invenda.Vending.FacialRecognitionApp.exe“ (wer auch immer mit dieser Bezeichnung ganz echt was anfangen kann 😉) – und damit eine „beunruhigende“ Technologie hinter den bunten Süßigkeiten.
Darum geht’s
Ein aufmerksamer Student bemerkte die besagte Fehlermeldung und postete sie prompt auf Reddit mit dem aus dem Englischen übersetzten Titel: „Hey, also warum haben die dummen M&M’s-Automaten Gesichtserkennung?“. Dies führte zu einer Berichterstattung in der Universitätszeitung „mathNEWS“ und war der Startschuss für eine breite Diskussion.
Wofür braucht ein Automat Gesichtserkennung?
Diese Automaten sind mit Kameras und entsprechender Software ausgestattet, die erkennen, wenn jemand davorsteht, um den Verkaufsmodus zu aktivieren. Darüber hinaus schätzt die Software das Alter und Geschlecht der Person, um gezielte Werbung auf einem großen Bildschirm anzuzeigen. Diese Technik soll helfen, die Kundenbedürfnisse besser zu verstehen und passende Produkte zu bewerben. Wow, ein Automat, der auch gleich ein Profiler ist!
Gegenteilige Stellungnahmen
Während der kanadische Betreiber Adaria Vending Service behauptet, es handele sich nur um einen Bewegungssensor, betont der Schweizer Hersteller Invenda, dass die demografische Erkennungssoftware lokal arbeitet und keine Bilder oder personenbezogenen Daten gespeichert oder übertragen werden. Laut Invenda erfüllt die Software die Anforderungen der europäischen Datenschutz-Grundverordnung (DSGVO). Sicher, das glauben wir doch alle 😉
Länderübergreifende Datenschutzfakten
Laut DSGVO gehört die Gesichtserkennung zur Verarbeitung biometrischer Daten, sie unterliegen als „sensible Daten“ einem besonders hohen Schutzniveau. Eine Verarbeitung ist im Normalfall nur mit Einwilligung erlaubt. Ähnliche Regelungen wie in der DSGVO und dem Schweizer DSG normiert gelten auch in Kanada. Das kanadische Datenschutzgesetz, also der Personal Information Protection and Electronic Documents Act (PIPEDA) fordern eine ausdrückliche Zustimmung (opt-in consent), BEVOR biometrische Daten wie Gesichtserkennungsdaten erfasst werden DÜRFEN. Wie sollte das nun beim Stillen der Sucht nach Süßem funktionieren? Gar nicht natürlich!
Reaktionen und Konsequenzen
Nach den Protesten der Studierenden und der Drohung, eine Beschwerde beim Informations- und Datenschutzkommissar von Ontario einzureichen, sollte keine Lösung gefunden werden, hat die Universität von Waterloo beschlossen, alle 29 betroffenen Verkaufsautomaten zu entfernen. Die Universität forderte den Hersteller auf, die Gesichtserkennungssoftware zu deaktivieren, bis die Geräte entfernt sind. Ob dies inzwischen jedoch umgesetzt wurde, ist uns nicht bekannt. Eventuell werden die Proteste ja noch größer, wenn es KEINE Automaten mehr mit Süßkram drinnen gibt? 😉
MeineBerater-Tipp
Gesichtserkennungstechnologie wird mittlerweile in vielen Bereichen eingesetzt, wie beispielsweise in Geschäftsräumlichkeiten für den Zugang zu gesicherten Gebäudeabschnitten oder Serverräumen und sogar bei der Zeiterfassung der Mitarbeitenden. Sollten Sie über den Einsatz solcher Software nachdenken, denken Sie an folgende Maßnahmen.
- Information: Klare und verständliche Informationen an betroffene Personen über Zweck, Rechtsgrundlage und Speicherfrist der Datenverarbeitung
- Einwilligung: Beweisbare Zustimmung der Betroffenen zur Datenverarbeitung einholen
- Dokumentation: Sorgfältige Dokumentation im Verarbeitungsverzeichnis
- Datenschutzfolgeabschätzung (DSFA): Neue Technologien und sensible Daten = Verpflichtung eine DSFA durchzuführen
- Auftragsverarbeitung: Vertrag mit externen Dienstleistern abschließen
Diese Maßnahmen sind gesetzlich VORGESCHRIEBEN. Der Schutz der Privatsphäre ist hier in besonderem Umfang notwendig, da sensible Daten verarbeitet werden. Kontaktieren Sie uns bei Fragen oder für Unterstützung – wir stehen Ihnen gerne mit Rat und Tat zur Seite! 😉
Copyright M&M’s-Bild: SquidKid47 auf Reddit r/uwaterloo