Biometrische Überwachung im öffentlich zugänglichen Raum: IT-Sicherheitsrisiken und Datenschutzprobleme in Pick & Go-Supermärkten, Kai Lückhoff
Kai Lückhoff
Kurzfassung
Pick & Go-Systeme verändern schon heute das Einkaufserlebnis, auch wenn sie in Deutsch-land bislang nicht flächendeckend etabliert sind. In mehreren größeren Städten, darunter Köln und Düsseldorf, wurden Pilotmärkte eröffnet, in denen Kund:innen ohne den herkömmlichen Kassiervorgang einkaufen können. Dabei kommen fortschrittliche KI-Technologien zum Einsatz, die Bewegungs- und Interaktionsdaten der Kunden erfassen und auswerten. Auf dieser Grundlage erfolgt die automatische Abrechnung. So innovativ diese Ansätze auch sind, sie werfen erhebliche Fragen hinsichtlich IT-Sicherheit und Datenschutz auf. Im Rahmen eines vorangegangenen Praxisprojekts wurden erste Analysen zu den technischen Grundlagen und den datenschutzrechtlichen Herausforderungen dieser Systeme durchgeführt. Darauf aufbauend werden diese Aspekte in der vorliegenden Arbeit vertieft untersucht. Im Mittelpunkt steht insbesondere die Untersuchung von skelettbasiertem Tracking und Sensorfusion, die zur Identifizierung und Verfolgung der Kund:innen eingesetzt werden. Es zeigt sich, dass viele Systeme, trotz der Zusicherung von Privacy by Design, potenziell sensible Bewegungsprofile sammeln und speichern. Häufig sind sich die Kund:innen dessen nicht bewusst. Anhand von Feldbeobachtungen, Kundenumfragen und eines Experteninterviews werden sowohl technische als auch rechtliche Fragestellungen analysiert. Die Ergebnisse zeigen, dass der Datenschutz in diesen Systemen oft unzureichend umgesetzt ist und die Nutzer:innen kaum über die Datenerfassung informiert werden. Auf Basis der Ergebnisse werden potenzielle Handlungsfelder für Anbieter und Aufsichtsbehörden aufgezeigt.
Schlagwörter: Bewegungsdaten, Biometrische Überwachung, Computer Vision, Datenschutz, DSGVO, Einzelhandel, IT-Sicherheit, Kassenloses Bezahlen, KI im Handel, Kundenakzeptanz, Pick & Go, REWE, Sensorfusion, Skeleton-based Tracking, Trigo Vision
Abstract
Pick & Go systems are already changing the shopping experience, even though they are not yet widely established in Germany. Pilot stores have been opened in several major cities, including Cologne and Düsseldorf, where customers can shop without going through the traditional checkout process. These stores use advanced AI technologies that record and evaluate customer movement and interaction data. This information is then used for automatic billing. As innovative as these approaches are, they raise significant questions regarding IT security and data protection. As part of a previous practical project, initial analyses of the technical fundamentals and data protection challenges of these systems were carried out. Building on this, these aspects are examined in greater depth in the present work. The focus is particularly on the investigation of skeleton-based tracking and sensor fusion, which are used to identify and track customers. It has been found that many systems – despite the assurance of privacy by design – collect and store potentially sensitive movement profiles. Customers are often unaware of this. Field observations, customer surveys and an expert interview are used to analyse both technical and legal issues. The results show that data protection is often inadequately implemented in these systems and that users are hardly informed about data collection. Based on the results, potential areas of action for providers and supervisory authorities are identified.
Keywords: Motion data, biometric monitoring, computer vision, data protection, GDPR, retail, IT security, cashless payment, AI in retail, customer acceptance, Pick & Go, REWE, sensor fusion, skeleton-based tracking, Trigo Vision
