Gesichtserkennungstechnologie: Der Fall Kmart

Heute habe ich den Untersuchungsbericht über das australische Unternehmen Kmart gelesen, einen Einzelhandelsriesen, der zwei Jahre lang Gesichtserkennungstechnologie (FRT) bei ALLEN Kunden ohne deren Zustimmung eingesetzt hat. Was passiert, wenn edle Absichten mit einem Mangel an angemessener Unternehmensführung kollidieren?

Ist das schon einmal passiert?

Ja! Im Jahr 2024 wurde festgestellt, dass auch Bunnings, eine große Baumarktkette, FRT in ihren Filialen einsetzt, dieselbe Geschichte – andere Gründe. Bei Bunnings ging es darum, die Aggression von Kunden gegenüber Mitarbeitern zu verhindern. Die Geschäftsleitung wurde gebeten, eine Erklärung zu veröffentlichen, wie genau die Technologie funktioniert – was sie auch tat.

(Quelle: https://www.bunnings.com.au/about-us/facial-recognition-technology)

Kmart nutzte die Technologie, um Betrug bei Rückerstattungen zu bekämpfen – Dinge wie die Rückgabe gestohlener Artikel oder das Austauschen von Barcodes, ein ernstes Problem: Allein in den USA waren im Jahr 2024 rund 15 % der Rückgaben mit irgendeiner Art von Betrug verbunden, was Kosten in Milliardenhöhe verursachte.

Warum entschied die Datenschutzbeauftragte, dass dies nicht in Ordnung ist?

Trotz der guten Gründe für die Entscheidung, die Technologie einzusetzen, entschied die Datenschutzbeauftragte, dass Kmart gegen das Datenschutzgesetz verstoßen hatte (in Australien gibt es keine KI-spezifische Gesetzgebung, daher werden die bestehenden Gesetze angewendet). „Nur weil eine Technologie hilfreich oder praktisch sein mag, bedeutet das nicht, dass ihre Verwendung gerechtfertigt ist“, sagte sie und brachte das Thema der Verhältnismäßigkeit zur Sprache: Der Nutzen des Einsatzes einer Technologie muss die damit verbundenen Datenschutzrisiken eindeutig und überwältigend überwiegen. „Gesichtsabdrücke“, die das Geschäft sammelte, wurden, auch wenn sie nicht länger als eine Sekunde gespeichert wurden, zum Abgleich verwendet, was ein Foto von einer persönlichen zu einer sensiblen Information macht – ein sehr wichtiger Unterschied.

Das System scannte jeden, der hereinkam, und sammelte biometrische Daten von Hunderttausenden von Menschen, nicht nur von den wenigen Übeltätern. Aber es war nicht sehr gut in seiner Arbeit: Die Menge des verhinderten Betrugs war im Vergleich zum Gesamtproblem winzig. Das massive Datenschutzrisiko für jeden Kunden wurde durch die sehr begrenzten Vorteile nicht aufgewogen.

Wichtig ist, dass das Unternehmen nie richtig weniger datenschutzinvasive Alternativen wie eine bessere Mitarbeiterschulung oder strengere Rückgaberichtlinien geprüft hat. Die Kommissarin betonte, dass das Unternehmen keine Alternative finden musste, die bei der Betrugsprävention genauso wirksam war. Stattdessen mussten sie nur nachweisen, dass sie andere, weniger datenschutzinvasive Methoden ordnungsgemäß geprüft und abgelehnt hatten. Das Unternehmen hat dies versäumt.

Schließlich, obwohl das Unternehmen an den Eingängen der Filialen einen „aktualisierten“ Hinweis auf die Eintrittsbedingungen aushängte, in dem stand, dass die Filiale über eine „24-Stunden-Videoüberwachung verfügt, die auch Gesichtserkennungstechnologie umfasst“, nutzten viele Filialen die Technologie bereits monatelang, bevor dieser Hinweis ausgehängt wurde, was bedeutet, dass eine große Anzahl von Kunden beim Betreten nichts von der Nutzung der Technologie wusste. Die Datenschutzrichtlinie, die über ein Jahr nach Beginn des Pilotprojekts in Kraft war, erwähnte die Gesichtserkennung überhaupt nicht.

Hier geht es nicht darum, Unternehmen an den Pranger zu stellen. Weder Bunnings noch Kmart wurden mit einer Geldstrafe belegt. Es ist eine Mahnung für alle Organisationen: Transparenz, Notwendigkeit und Verhältnismäßigkeit sind die wichtigsten Überlegungen beim Einsatz von Gesichtserkennungssystemen wie diesem.

Was sind Ihre Gedanken dazu? Sollten Unternehmen das Recht haben, FRT zum Schutz ihres Geschäfts einzusetzen, auch wenn dies die Privatsphäre jedes Kunden beeinträchtigt?