Initiative gegen Überwachung beim Einkaufen [ergänzt am 29.07.2013]
Laut Presseberichten setzt ein Einkaufszentrum in Neumünster englische Technologie zur Überwachung der Bewegungen seiner Kunden ein (der Betreiber McArthurGlen unterhält auch in Berlin ein Einkaufszentrum).
Ich habe das Unabhängige Landesdatenschutzzentrum gebeten, das System in der bestehenden Form zu stoppen und für Transparenz über die Kundenüberwachung an den Eingängen zu sorgen. Mein Schreiben an den Landesdatenschutzbeauftragten ist unten abgedruckt.
Übrigens trug das erste Programm zur Überwachung von Einkaufszentren den bezeichnenden Namen “Prism”.
Sehr geehrte Damen und Herren,
wie ich den Medien entnommen habe,[1] setzt ein Einkaufszentrum in Neumünster Infrarottechnologie ein, um Kunden und Mitarbeiter zu zählen und ihre Bewegungen innerhalb des Zentrums zu verfolgen. Ich möchte Sie bitten, die datenschutzrechtliche Zulässigkeit dieser Technologie zu prüfen.
Entgegen der Ansicht des Betreibers dürfte ein Teil der Betroffenen anhand der gesammelten Daten durchaus identifizierbar, also bestimmbar sein. In Zeiten oder an Orten, an denen nur eine Person anwesend ist, ist der Personenbezug leicht herstellbar (beispielsweise wenn der einzige Kunde in einem Laden mit ec-Karte zahlt oder wenn ein Abgleich mit den Bildern von Überwachungskameras erfolgt). Ist zumindest ein nicht abgrenzbarer Teil der Daten personenbezogen, muss der gesamte Bestand entsprechend dem Datenschutzrecht behandelt werden.
Die bloße kumulative Zählung von Kunden (z.B. auf die Stunde genau) mag man noch als hinreichend anonymisiert ansehen. Die Systeme des Herstellers Infrasys können aber auf die Sekunde genau aufzeichnen, wann wie viele Menschen welchen Eingang passiert haben (dies könnte übrigens auch Mitarbeiter betreffen, die außerhalb der Öffnungszeiten kommen oder gehen). Darüber hinaus scheint das System in der Lage zu sein, die Bewegungen einzelner Personen innerhalb des Gebäudes zeitgenau festzuhalten, zu verfolgen und auf einer Karte darzustellen.
Jedenfalls solange nicht technisch sicher gestellt ist, dass schon bei der Datenspeicherung eine hinreichende Akkumulierung erfolgt, halte ich das System für datenschutzrechtlich unzulässig. Die schutzwürdigen Interessen des Kunden, nicht ohne ihre Einwilligung verfolgt zu werden, überwiegen das rein kommerzielle Interesse des Betreibers an höheren Gewinnen (vgl. auch § 98 TKG).
Überdies scheint es mir erforderlich, analog der Regelung zur Videoüberwachung auch bei Besucherverfolgungssystemen eine gut sichtbare Ankündigung vor Betreten des überwachten Bereichs zu fordern. Besucher können nämlich gute Gründe haben, sich nicht auf den korrekten Umgang des Betreibers mit den erhobenen Daten verlassen zu wollen und dem Gebäude ganz fernzubleiben.
Bitte halten Sie mich über Ihre Prüfung auf dem Laufenden.
Mit freundlichem Gruß,
Patrick Breyer
Ergänzung vom 29.07.2013: Der Landesdatenschutzbeauftragte hat eine Prüfung angekündigt.
Ergänzung vom 25.03.2014: Der Landesdatenschutzbeauftragter hat eine Antwort zur Unbedenklichkeit gesandt: Sie ist hier zu finden.
Kommentare