Fehlermeldung offenbart: Mars-Verkaufsautomat scannt Gesichter von Kunden

An einer Universität in Kanada ist aufgeflogen, dass auf einem Süßigkeitenautomaten des Schweizer Herstellers Invenda biometrische Gesichtserkennung läuft.

In Pocket speichern vorlesen Druckansicht 382 Kommentare lesen

Der Name des abgestürzten Programms, oben in der Fehlermeldung, verrät die Gesichtserkennung.

(Bild: Reddit, Screenshot: heise online)

Lesezeit: 5 Min.

Big Brother war gestern, heute überwachen Verkaufsautomaten ihre Kunden. Bekannt wurde das durch eine Windows-Fehlermeldung auf einem Smart Kiosk an der Universität Waterloo in Kanada, der mit der Marke M&M vom Süßigkeitenriesen Mars Wrigley gekennzeichnet ist. "Invenda.Vending.FacialRecognitionApp.exe – Application Error" war darauf zu lesen, wie ein überraschter Nutzer mit dem Pseudonym SquidKid47 jüngst auf Reddit postete. "Hey, warum haben diese blöden M&M-Maschinen eine Gesichtserkennung?", fragte er. Ein anderer Nutzer klärte dazu auf, und zwar mit Auszügen aus einer Marketingbroschüre des Schweizer Automatenherstellers Invenda: "Die Gesichtserkennungskamera und die Videoanzeige auf der Vorderseite des Verkaufsautomaten können Daten über Alter und Geschlecht des Kunden sammeln."

"Sobald die Daten an die Steuereinheit gesendet wurden", könnten sie "mit anderen Informationen, wie beispielsweise den lokalen Wetterbedingungen und der Tageszeit, kombiniert werden", heißt es weiter in dem Kommentar zu dem Beitrag in dem sozialen Netzwerk. "Die Plattform kann dann eine Nachricht an die Videoanzeige zurücksenden, um gezielte Werbeaktionen auszulösen und Zusatzverkäufe in einer einzigen Transaktion anzuregen."

Der Reddit-Beitrag veranlasste den Studenten River Stanley zu Recherchen, die er jetzt in der Universitätszeitung MathNews veröffentlicht hat. Er zeigt sich alarmiert: "Wenn personenbezogene biometrische Daten ohne ausdrückliche, aussagekräftige Einwilligung verwendet werden, stellt dies häufig eine Verletzung der Privatsphäre dar." Stanley verwies auf einen früheren Fall, in dem die kanadische Datenschutzbehörde gegen den Betreiber eines Einkaufszentrums namens Cadillac Fairview ermittelt hatte. Zuvor war zutage getreten, dass einige der Informationskioske der Shopping Mall heimlich "Gesichtserkennungssoftware bei ahnungslosen Kunden einsetzten".

Erst aufgrund dieser offiziellen Untersuchung kam heraus, dass über fünf Millionen Kanadier ohne ihre Zustimmung in die Datenbank von Cadillac Fairview gewandert waren, berichtet der empörte Student. Der Betreiber sei verpflichtet worden, das gesamte Verzeichnis zu löschen. Die Konsequenzen für die Erhebung ähnlich sensibler Gesichtserkennungsdaten ohne Einwilligung für Invenda-Kunden wie Mars seien aber offenbar unklar. Stanley endete seinen Bericht mit einem Appell an die Uni, die "Gesichtserkennungsautomaten vom Campus" zu verbannen.

Der Universitätsreporter wandte sich auch an den Betreiber der Kioske, die mit Invenda kooperierende Firma Adaria Vending Services. Dessen Verkaufsleitung teilte ihm abwiegelnd mit: "Am wichtigsten zu verstehen ist es, dass die Maschinen keine Fotos oder Bilder aufnehmen oder speichern". Eine einzelne Person könne mithilfe der Technologie in den Automaten nicht identifiziert werden. Diese fungiere als Bewegungssensor, "der Gesichter erkennt, damit die Maschine weiß, wann sie die Einkaufsschnittstelle aktivieren muss". In Zusammenarbeit mit Mars und Invenda seien die Kioske vollständig vereinbar mit der Datenschutz-Grundverordnung (DSGVO). Sie würden in vielen Einrichtungen in ganz Nordamerika eingesetzt.

Die DSGVO verlangt eine freiwillige, informierte und nachweisbare Einwilligung – zumal in die Verarbeitung besonders sensibler Daten wie biometrischer Merkmale. Nicht nur Stanley erscheint es fraglich, ob diese Vorgaben von der Gesichtserkennungs-App von Invenda eingehalten werden. Der Schweizer Hersteller selbst versicherte dem Studenten in letzter Minute vor Redaktionsschluss, "dass die in den intelligenten Verkaufsautomaten integrierte demografische Erkennungssoftware vollständig lokal arbeitet. Es erfolgt keine Speicherung, Kommunikation oder Übertragung von Bildern oder personenbezogenen Daten." Die Software führe die lokale Verarbeitung der vom optischen USB-Sensor abgeleiteten digitalen Bildkarten in Echtzeit durch. Nichts gelange etwa über das Internet in die Cloud.

Die Invenda-Software sei "nicht in der Lage ist, die Identität einer Person oder andere Formen persönlicher Informationen zu erkennen", betonte das Unternehmen weiter. Alle Komponenten seien DSGVO-konform. Auf einem beigefügten FAQ-Blatt hieß es zudem, dass "nur die endgültigen Daten, nämlich die Anwesenheit der Person, das geschätzte Alter und das geschätzte Geschlecht, ohne jegliche Zuordnung zu einer Person erhoben werden". Kunden erhielten allein "anonymisierte Datenanalysen". Dabei ergeben sich Widersprüche zu den Aussagen von Adaria, wonach die Maschinen keine Bilder von Kunden machen und über keine demografische Bildbeschreibungsfunktion verfügen.

Invenda hat seinen Hauptsitz im Alpnach bei Luzern. 2022 eröffnete das weltweit agierende Unternehmen ein Büro in Berlin und stellte ein Verkaufsteam für den deutschen Markt zusammen. Großaufträge von Mars und anderen Konsumgüterkonzernen sowie das Interesse von Betreibern wie Tankstellenketten, Hotels oder Einzelhandelsfirmen hätten gezeigt, "dass jetzt der richtige Zeitpunkt sei, Deutschland zu erobern", erklärte Firmengründer Jon Brezinski damals. Zu weiteren großen Kunden für die White-Label-Lösungen zählten 2021 etwa Coca-Cola sowie Lindt & Sprüngli. Eine Sprecherin der Uni Waterloo bestätigte gegenüber CTV News mittlerweile, dass die Hochschule Adaria aufgefordert habe, die Gesichtserkennungssoftware zu deaktivieren und die Automaten zu entfernen.

(nie)