Kassenloses Einkaufen und der Datenschutz

Die Digitalisierung schreitet mit großen Schritten voran, auch im Supermarkt. Verschiedenste Tech-Unternehmen versuchen hier das Einkaufen ohne Kasse zu etablieren. Doch könnte dieses Vorhaben am Datenschutz scheitern? 

Was ist kassenloses Einkaufen? 

Die Idee von kassenlosem Einkaufen wird von verschiedensten Unternehmen auf unterschiedliche Art und Weise umgesetzt. Zwei Vorreiter sind dabei Amazon mit ihrem Projekt „Amazon Go“ und Trigo, ein israelisches Unternehmen.  

Mit „Amazon Go“ wurde 2018 der erste Supermarkt eröffnet, der auf die sog. Just Walk Out-Technologie zurückgreift. Für einen Einkauf braucht man lediglich ein Amazon Konto, die Amazon Shopping App und ein Smartphone. Vor Betreten des Ladens muss lediglich ein QR-Code oder eine mit einem Amazon Konto verbundene Kreditkarte gescannt werden. Die Just Walk Out -Technologie soll während dem Einkauf dann automatisch erkennen, wenn Produkte aus den Regalen genommen werden und sie in einem virtuellen Einkaufswagen des Kunden speichern.  Wenn der Einkauf beendet ist, kann der Kunde das Geschäft einfach verlassen. Die Rechnung wird ihm auf sein Amazon Konto übermittelt.  

Trigo verfolgt einen ähnlichen Ansatz, weicht jedoch in einigen wesentlichen Punkten von Amazon Go ab. Auch hier wird ein sog. Sensor-Kit verwendet, um die Bewegungen der Kunden und die Produktklassifizierungen zu ermitteln und digitale Warenkörbe zu erstellen. Hier wird die Zahlung jedoch nicht über ein mit dem Anbieter verknüpften Kundenkonto abgewickelt, sondern (je nach Filiale) direkt per App oder Kreditkarte. Trigo kooperiert dabei inzwischen mit Shufesal (Israels größer Supermarktkette) und Tesco. Auch REWE arbeitet mit Trigo zusammen.  

Beide Anbieter haben jedenfalls gemeinsam, dass sie das lästige an-der-Kasse-stehen abschaffen möchten. 

Und wie verhält es sich mit dem Datenschutz? 

Im Hinblick auf den Datenschutz unterscheiden sich die Aussagen der Unternehmen von denen der Experten wesentlich. Während die Anbieter kaum datenschutzrechtliche Bedenken erheben, stehen Datenschutzexperten insbesondere intransparenter Trackingmöglichkeiten eher skeptisch gegenüber.    

Was sagen die Unternehmen selbst? 

Amazon etwa erklärte, dass es keine Gesichtserkennungssoftware einsetze und dass die im Rahmen von Amazon Go gesammelten Informationen auch bei einem herkömmlichen Einkauf erfasst würden.  

Auch Trigo sagt, dass ihre Technologie weder Gesichtserkennung verwendet noch andere biometrische Merkmale erfasst. Das System verknüpfe lediglich die Aufnahmen der aus den Regalen entnommenen Artikel mit den Bewegungsdaten des Kunden im Geschäft, um einen virtuellen Warenkorb zu erstellen. Die Identität des Kunden bleibe hingegen während des gesamten Einkaufs unerkannt. Trigos Gründer und CEO sieht damit die Anforderungen des „Privacy by Design” (Datenschutz durch Technikgestaltung) nach Art. 25 DSGVO als erfüllt an. Er grenzt sein Unternehmen dabei von Amazon ab. Während bei Amazon die Daten für eine gewisse Zeit mit dem Kundenkonto verknüpft blieben, erstelle Trigo zur Zuordnung lediglich eine Zufallsnummer, die bei jedem Einkauf neu generiert werde.  

Was sagen die Experten? 

Der ehemalige Datenschutzbeauftragte des Bundes – Peter Schaar – soll Bedenken hinsichtlich des Projekts von Amazon geäußert haben. Ihm zufolge seien die zurzeit bestehenden Angebote zum kassenlosen Einkaufen inkompatibel mit europäischen Datenschutzbestimmungen. Denn es sei für den Kunden nicht nachvollziehbar, welche Daten beim Einkaufen gesammelt und ob bzw. wie lange automatisch erstellte Bilder gespeichert oder ausgewertet werden. Zudem kann die Möglichkeit nicht ausgeschlossen werden, dass Emotionen, wie Frust bei der Suche nach einem Produkt oder Freude über ein Angebot, beim Einkaufen festgehalten werden. Schaar äußerte weiter auch seine Bedenken, hinsichtlich der zentralen Speicherung auf den Servern von Amazon, die es ermöglicht jedem Kunden ein exaktes Profil zuzuweisen.  

Auch Alvaro Bedoya, der geschäftsführende Direktor des „Center on Privacy & Technology“ an der juristischen Fakultät der Georgetown University, sagte, dass Amazon Go mehr Informationen sammele als jeder andere Supermarkt, den es derzeit gibt.  

Auch gegenüber Trigo gibt es Bedenken. So ist die Verarbeitung von visuellen Daten wie Gesichtsmerkmalen und -mustern besonders sensibel. Selbst dann, wenn eine Zuordnung nur über eine Zufallsnummer erfolgt. Jedoch könnte hierin eine sog. Pseudonymisierung im Sinne des Art. 4 Nr. 5 DSGVO liegen, also die Verarbeitung von personenbezogenen Daten in einer Weise, dass diese Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können. Dies würde jedenfalls maßgeblich zur Datensicherheit bei der Verarbeitung beitragen, führt jedoch noch keinesfalls dazu, dass alle Bedenken ausgeräumt wären.  

Fazit: 

Ob sich das kassenlose Einkaufen in Zukunft durchsetzen wird, wird sich im Laufe der Zeit zeigen, doch dass die derzeitige Umsetzung verschiedene datenschutzrechtliche Fragen aufwirft, ist bereits jetzt schon klar. Datenschutzrechtliche Bedenken sind spätestens in dem Moment gegeben, in dem die Technologie durch die Auswertung von Videomaterial und anderen personenbezogenen Daten eine Verhaltensanalyse der Kunden ermöglicht. Ob diese durch eine Einwilligung des Kunden im Sinne des Art. 7 DSGVO oder durch die Steigerung der Kundenzufriedenheit als berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sein könnte, ist zu diesem Zeitpunkt noch ungeklärt. Es könnte sogar sein, dass solche Systeme für die Vertragserfüllung erforderlich werden. Dies wäre insbesondere dann anzunehmen, wenn es in dem Laden keine Kassen mehr gibt. Die Verarbeitung könnte dann außerdem über Art. 6 Abs. 1 S. 1 lit. a DSGVO gedeckt sein.  

Sollten die verarbeiteten Daten jedoch unter die „besonderen Datenkategorien“ des Art. 9 Abs. 1 DSGVO fallen (biometrische Daten sind hier beispielsweise erfasst), dann müsste sich die Rechtfertigung der Verarbeitung an den höheren Maßstäben des Art. 9 Abs. 2 messen lassen.   

Abschließend kann man zu diesem Zeitpunkt wohl noch keine dieser Fragen klären. Die Gesetzgebung und Rechtsprechung werden sich ebenso wie die Technologie verändern und sich mit dem Wandel der Zeit entwickeln.