In meinem letzten Beitrag habe ich mich mit den datenschutzrechtlichen Problemstellungen beschäftigt, die beim Einkaufen mittels sogenannter Self-Checkout-Kassen (SCO-Kassen) auftreten. Insbesondere das Thema Diebstahl stellt Supermarktbetreiber teilweise vor scheinbar unlösbare Probleme.

Um diesem Problem entgegenzuwirken, drängt sich immer häufiger der Wunsch der Supermarktbetreiber auf, Lösungen zu finden, wie künstliche Intelligenz (KI) genutzt werden kann, um „Fehl-Scannen“ oder bewusstem Diebstahl Herr zu werden.

Was ist künstliche Intelligenz?

KI bezieht sich auf die Fähigkeit von Maschinen, Aufgaben auszuführen, die normalerweise menschliches Denken erfordern. Diese Technologie ermöglicht es Computern, aus Daten zu lernen, Muster zu erkennen und Entscheidungen zu treffen. KI kann in verschiedenen Bereichen wie Bilderkennung, Spracherkennung, autonomes Fahren sowie Gesundheitswesen eingesetzt werden. Sie hat das Potenzial, menschliche Arbeit zu automatisieren und innovative Lösungen für komplexe Probleme zu finden. Allerdings gibt es auch Bedenken hinsichtlich der ethischen und rechtlichen Aspekte der KI, insbesondere bezüglich des Datenschutzes und möglichen Arbeitsplatzverlusten.

Welche potentiellen Nutzungsmöglichkeiten bestehen für SCO-Kassen?

Aufgrund der fortschreitenden technologischen Entwicklung und der immer weiter sinkenden Kosten eröffnen sich spannende Möglichkeiten, um dem eingangs geschilderten Phänomen zu begegnen. Denkbar wäre beispielsweise die Einbindung einer kameragestützten KI-Lösung. Diese könnte so angelernt werden, dass die zu scannenden Produkte erkannt werden können. Der Fokus würde hier, anders als bei einer konventionellen Videoüberwachung, auf den Produkten und nicht auf den Personen liegen. Denkbar wäre somit ein Erkennen aller Produkte eines Kunden an der SCO-Kasse und ein Abgleich mit den tatsächlich durch den Kunden selbst gescannten Waren. Vorstellbar wäre dann ein Warnhinweis, der den Kunden auf eine mögliche Diskrepanz zwischen Ist- und Soll hinsichtlich seines Einkaufs hinweist.

Datenschutzrechtliche Problemfelder

Es stellt sich die Frage, ob und wenn ja, welche datenschutzrechtlichen Bereiche zu beachten sind. Damit der Anwendungsbereich des Datenschutzes eröffnet ist, müssen personenbezogene Daten verarbeitet werden. Auch wenn es in obigem Beispiel nicht so scheint – auch hier findet eine Verarbeitung personenbezogener Daten statt. Zwar liegt der Fokus auf den Produkten und nicht auf der Person, jedoch stellen auch die gescannten Waren, in Verbindung mit einer möglichen Warenkorb ID, personenbeziehbare Daten dar. Neben den Fragen zu einer möglichen Rechtsgrundlage stellen sich somit weitere datenschutzrechtliche Anforderungen.

Rechtmäßigkeit der Datenverarbeitung

Insbesondere muss für eine Verarbeitung immer eine taugliche Rechtsgrundlage gefunden werden. Diese ist in Art. 6 Abs. 1 S. 1 lit. a bis f DSGVO zu finden. In Frage kommt hier lediglich eine Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO oder eine Verarbeitung aufgrund eines berechtigten Interesses gem. Art.6 Abs. 1 S. 1 lit. f DSGVO. Bei einer Einwilligung müsste vor dem Einsatz der KI die Person wirksam und transparent in die Verarbeitung der eigenen personenbezogenen Daten einwilligen. Transparent meint, dass der Einkäufer unter anderem auch den Zweck kennen muss. Dieser liegt hier in der Verhinderung von Fehlbedienungen, aber natürlich vor allem auch in der Verhinderung von Diebstählen. Somit verlaufen die Interessen eines Diebes und eines Supermarktbetreibers diametral, sodass hier davon ausgegangen werden muss, dass eine Einwilligung in diesem Fall nicht unbedingt zielführend wäre.

Wie so oft bleibt als mögliche Rechtsgrundlage nur eine Verarbeitung aufgrund eines berechtigten Interesses gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO. Dies erfordert eine Abwägung zwischen den Interessen des Supermarktbetreibers, als für die Verarbeitung Verantwortlichen und den möglichen Gegeninteressen von SCO-Kassen-Einkäufern – den von der Verarbeitung Betroffenen. An das berechtigte Interesse sind in der Regel keine zu hohen Anforderungen zu stellen, sodass dieses in der Vermeidung von Fehlbedienungen und der Verhinderung von Diebstählen vorliegt. Mögliche Gegeninteressen bei den Einkaufenden liegen in der Regel im Wunsch, nicht über Gebühr einem Überwachungsdruck ausgesetzt zu werden. Im Rahmen einer Gesamtabwägung muss überprüft werden, welches Interesse überwiegt. Gute Argumente sprechen für die Interessen der Supermarktbetreiber, da es hier möglich erscheint, mit einer wenig invasiven Verarbeitung den gewünschten Zweck zu erreichen. Im Gegensatz zur konventionellen Videoüberwachung, die ein eher grobes und stumpfes Schwert darstellen dürfte, kann hier nur aufgrund der Bilddaten der Produkte und deren Auswertung durch die KI, erkannt werden, ob eine Fehlbedienung vorliegt oder ob Produkte nicht gescannt werden. Auch dürften die KI-Auswertungen wesentlich genauer sein, als ein Beschäftigter, der die SCO-Kassen beobachtet. Allerdings muss hinsichtlich der Rechte der Einkaufenden beachtet werden, dass hier der Einsatz nicht zu einer sozialen Ächtung führen darf. Da die KI nicht zwischen einer Fehlbedienung oder Diebstahl entscheiden kann, muss sichergestellt werden, dass hier keine generellen Verdächtigungen vorgenommen werden.  Ob hier das Interesse am Einsatz solcher Technologien überwiegt, hängt somit insbesondere von der (technischen) Ausgestaltung ab.

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen schon bei der Entwicklung von Systemen wie den Self-Checkout-Kassen datenschutzrechtliche Aspekte berücksichtigt werden. Der Einsatz von KI zur Diebstahlsicherung muss darauf abzielen, die Datenverarbeitung auf das erforderliche Maß zu beschränken und die Privatsphäre der Kunden zu schützen. Beispielsweise sollte in der Programmierung darauf geachtet werden, nur diejenigen Daten zu erfassen, die zur Erkennung von Diebstählen oder auffälligem Fehlverhalten erforderlich sind, und diese Daten sollten nach Möglichkeit anonymisiert oder pseudonymisiert werden.

Datensicherheit

Bei der Verarbeitung und Speicherung der Daten, die mittels KI zur Diebstahlsicherung erfasst werden, sind hohe Sicherheitsstandards erforderlich. Insbesondere der Zugriff auf diese Daten muss stark beschränkt und angemessene technische und organisatorische Maßnahmen müssen getroffen werden, um unbefugten Zugriff, Verlust oder Missbrauch zu verhindern. Zudem sollten die Daten nur so lange gespeichert werden, wie es für den Zweck der Diebstahlsicherung respektive einer Fehlbedienung erforderlich ist.

Transparenz und Informationspflicht

Supermärkte haben darüber hinaus die Pflicht, ihre Kunden über den Einsatz von KI zu informieren. Diese haben insbesondere ein Recht darauf zu wissen, welche Daten erfasst werden, wie sie verarbeitet werden und wie lange sie gespeichert werden. Transparente Datenschutzhinweise dürften darüber hinaus das Vertrauen der Kunden in den Einsatz von KI an den Self-Checkout-Kassen erhöhen.

Fazit

Der Einsatz von künstlicher Intelligenz zur Diebstahlsicherung an Self-Checkout-Kassen birgt ein hohes Potenzial, um den Supermärkten bei der Verhinderung von Diebstahl oder Fehlbedienungen zu unterstützen. Allerdings muss stets sichergestellt werden, dass datenschutzrechtliche Grundsätze eingehalten werden. Durch Technikgestaltung, datenschutzfreundliche Voreinstellungen, Datensicherheit und Transparenz kann allerdings dafür gesorgt werden, dass die Privatsphäre der Kunden gewahrt bleibt und gleichzeitig das Sicherheitsniveau erhöht wird. Auch bleibt abzuwarten, wie sich deutsche Datenschutz-Aufsichtsbehörden zu diesem Themenkreis positionieren.

Schlussendlich werden die sorgfältige Erfüllung der datenschutzrechtlichen Anforderungen und die transparente Sensibilisierung der Bevölkerung unter anderem entscheidend dafür sein, ob sich bei der breiten Masse eine Akzeptanz und ein Vertrauen in das Thema KI und die dazugehörige Technologie schaffen lässt.