Datenschutzverletzung bei 7-Eleven, es wurden heimlich Kundengesichter gescannt
- Office optimus amicus
- 2. März 2023
- 3 Min. Lesezeit
Aktualisiert: 30. Mai 2023
7-Eleven hat die Privatsphäre seiner Kunden verletzt, indem es im letzten Jahr heimlich ihre Gesichtsbilder in 700 Geschäften gesammelt hat, um demografische Profile zu erstellen, hat die Regulierungsbehörde nach einer siebenmonatigen Untersuchung festgestellt.
Die Convenience-Store-Kette behauptet, ihre Handlungen stellten keine Verletzung der Privatsphäre dar. Ebenfalls sei dies nicht strafbar, da man sie auffordern kann, die die Bilder zu vernichten. Anders sieht das die Aufsichtsbehörde, welche die Verletzung als „schwerwiegend“ bezeichnet und dafür ein Bussgeld verhängen kann.
Am Donnerstag veröffentlichte die australische Datenschutzbehörde ihren Bericht, dass 7-Eleven in die Privatsphäre von Personen eingegriffen hat, in dem sie über ihren Kundenfeedback-Mechanismus deren Gesichtsbilder und “Gesichtsabdrücke” gesammelt haben.
7-Eleven nutzte das Gesichtserkennungstool eines Dienstleisters, welche in die Kundenfeedback-Software integriert ist, diese wird in 700 Geschäften verwendet, um in den 14 Monaten bis August dieses Jahres bis zu 1,6 Millionen Kundenbilder zu sammeln.
Die Bilder wurden heimlich aufgenommen, als Kunden ein freiwilliges Kundenfeedback auf einem Tablet im Geschäft ausfüllten. Die Bilder wurden vom Dienstanbieter über die Cloud-Infrastruktur von Microsoft auf einen australischen Server hochgeladen, der sie in eine verschlüsselte algorithmische Darstellung des Gesichts, die als „Faceprints“ bekannt ist, konvertierte.
Die Gesichtsabdrücke wurden verwendet, um festzustellen, ob dieselbe Person die Umfrage mehrmals ausgefüllt hat, sowie auch um das demografische Profil von 7-Eleven-Kunden besser zu verstehen.
Das Office of the Australian Information Commissioner (OAIC) hat im Juli letzten Jahres bei 7-Eleven Voruntersuchungen zu der Praxis durchgeführt und im Februar eine förmliche Untersuchung eingeleitet. 7-Eleven setzte die Praxis bis August dieses Jahres fort, erst als die Aufsichtsbehörde ihre vorläufigen Ergebnisse mitteilte, hörte das Unternehmen auf, die Bilder zu sammeln.
Gesichtsbilder und Gesichtsabdrücke stellen vertrauliche Informationen dar, für welche gemäss dem Privacy Act 1988 zusätzliche Schutzmassnahmen gelten, da diese unter die Kategorie der biometrische Informationen fallen.
„Biometrische Informationen sind für eine Person einzigartig und können normalerweise nicht geändert werden“, sagte die australische Informationsbeauftragte und Datenschutzbeauftragte Angelene Falk.
Unternehmen müssen sorgfältig prüfen, ob sie diese sensiblen personenbezogenen Daten sammeln müssen und ob die Auswirkungen auf die Privatsphäre im Verhältnis zur Erfüllung der legitimen Funktionen oder Aktivitäten des Unternehmens stehen.
Die Datenschutzbeauftragte stellte fest, dass die Kunden von 7-Eleven weder ausdrücklich noch stillschweigend der Erfassung ihrer Gesichtsbilder oder Gesichtsabdrücke zugestimmt hatten, noch unternahm 7-Eleven angemessene Schritte, um Einzelpersonen über die Erfassung personenbezogener Daten zu informieren.
„Obwohl ich akzeptiere, dass die Implementierung von Systemen zum Verständnis und zur Verbesserung der Kundenerfahrung eine legitime Funktion für das Unternehmen von 7-Eleven ist, waren die Vorteile für das Unternehmen durch die Erfassung dieser biometrischen Informationen nicht proportional zu den Auswirkungen auf die Privatsphäre“, sagte Angelene Falk.
7-Eleven bestritt, die Privatsphäre seiner Kunden verletzt zu haben. Das Unternehmen sagt, es habe bereits alle gesammelten Gesichtsbilder vernichtet und sei von Frau Falk angewiesen worden, auch die Gesichtsabdrücke zu vernichten.
Obwohl die Aufsichtsbehörde befugt ist, bei schwerwiegenden Verstössen eine Geldstrafe zu verhängen, wurde diese in diesem Fall nicht gemacht.
Es ist jedoch stark davon auszugehen, dass ähnliche Vorfälle in Zukunft härtere Strafen von der Aufsichtsbehörde nach sich ziehen.
„Die nächste Firma, die das versucht, würde nicht leichtfertig davonkommen. Denn jetzt ist allen Wirtschaftssektoren klar, dass man ohne Einhaltung des Datenschutzgesetzes nicht beiläufig Bilder von Personen zur biometrischen Überprüfung oder zu Vergleichszwecken sammeln kann“, sagt Anna Johnston von Salinger Privacy.
Der Fall bestätigte auch frühere Feststellungen, dass Organisationen ihre Datenschutzpflichten nicht an Dienstleister auslagern können, um die Zustimmung zur invasiven Informationssammlung zu erhalten.
„Die Tage, an denen sie Dinge in Ihrer Datenschutzrichtlinie oder Ihren Allgemeinen Geschäftsbedingungen verstecken können und dies dann Zustimmung nennen, sind vorbei“, sagte Anna Johnston.
Die Datenschutzexperten würden jedoch eine klarere Gesetzgebung begrüssen, um die Datenschutzverpflichtungen von Organisationen zu klären, das Gesetz zu modernisieren und die Strafen zu erhöhen.
Comments