Die in Kanada ansässige University of Waterloo bemüht sich darum, intelligente Verkaufsautomaten der Marke M&M vom Campus zu entfernen, nachdem empörte Studenten herausfanden, dass die Automaten ohne ihre Zustimmung heimlich Gesichtserkennungsdaten sammelten.
Der Skandal begann, als ein Student das Pseudonym SquidKid47 verwendete Gesendet Ein Bild auf Reddit zeigt die Fehlermeldung „Invenda.Vending.FacialRecognitionApp.exe“ eines Campus-Automaten, die angezeigt wurde, nachdem der Automat keine Gesichtserkennungsanwendung starten konnte, von der niemand erwartet hatte, dass sie Teil des Prozesses der Nutzung eines Automaten ist.
„Hey, warum haben die blöden M&M-Maschinen also eine Gesichtserkennung?“ SquidKid47 überlegte.
Der Reddit-Beitrag löste eine Untersuchung eines Viertklässlers namens River Stanley aus, der für eine Universitätspublikation schrieb namens MathNEWS.
Stanley schlug Alarm, nachdem er Invenda-Verkaufsbroschüren konsultiert hatte, in denen es hieß: „Die Maschinen sind in der Lage, geschätzte Alters- und Geschlechterangaben zu senden“ von jeder Person, die die Maschinen benutzte – ohne jemals deren Zustimmung einzuholen.
Dies frustrierte Stanley, der herausfand, dass der kanadische Datenschutzbeauftragte vor Jahren gegen den Betreiber eines Einkaufszentrums namens Cadillac Fairview ermittelt hatte, nachdem er herausgefunden hatte, dass einige der Informationskioske der Einkaufszentren heimlich „Gesichtserkennungssoftware bei ahnungslosen Kunden einsetzten“.
Erst aufgrund dieser offiziellen Untersuchung erfuhren die Kanadier, dass „über 5 Millionen nicht zustimmende Kanadier“ in die Datenbank des Cadillac Fairview gescannt wurden, berichtete Stanley. Während Cadillac Fairview letztendlich gezwungen war, die gesamte Datenbank zu löschen, schrieb Stanley, dass die Konsequenzen für das Sammeln ähnlich sensibler Gesichtserkennungsdaten ohne Zustimmung für Invenda-Kunden wie Mars unklar seien.
Stanleys Bericht endete mit einem Aufruf an die Studenten, von der Universität zu verlangen, dass sie „Gesichtserkennungsautomaten vom Campus verbannt“.
Eine Sprecherin der University of Waterloo, Rebecca Elming, antwortete schließlich und bestätigte zu CTV News dass die Schule darum gebeten hatte, die Automatensoftware zu deaktivieren, bis die Automaten entfernt werden könnten.
Studenten sagten gegenüber CTV News, dass ihr Vertrauen in die Universitätsverwaltung durch die Kontroverse erschüttert worden sei. Einige Studenten behaupteten auf Reddit dass sie versuchten, die Kameras der Automaten zu verdecken, während sie auf die Antwort der Schule warteten, indem sie Kaugummis oder Haftnotizen benutzten. Ein Student überlegte, ob es auf dem Campus „andere Orte gibt, an denen diese Technologie eingesetzt werden könnte“.
Elming konnte den genauen Zeitplan für die Entfernung der Maschinen nicht bestätigen, außer dass er Ars mitteilte, dass dies „so bald wie möglich“ geschehen würde. Elming lehnte die Anfrage von Ars ab, zu klären, ob es andere Bereiche des Campus gibt, die Gesichtserkennungsdaten sammeln. Sie wollte auch nicht bestätigen, wann, wenn überhaupt, Studenten auf dem Campus damit rechnen können, dass die Verkaufsautomaten durch Snackautomaten ersetzt werden, die nicht mit Überwachungskameras ausgestattet sind.
Invenda-Schadensautomaten sind DSGVO-konform
Die Untersuchung von MathNEWS hat Antworten von Unternehmen aufgespürt, die für intelligente Verkaufsautomaten auf dem Campus der University of Waterloo verantwortlich sind.
Adaria Vending Services sagte gegenüber MathNEWS: „Am wichtigsten ist es zu verstehen, dass die Automaten keine Fotos oder Bilder aufnehmen oder speichern und eine einzelne Person mithilfe der Technologie in den Automaten nicht identifiziert werden kann.“ Die Technologie fungiert als Bewegungssensor, der Gesichter erkennt, sodass die Maschine weiß, wann sie die Einkaufsschnittstelle aktivieren muss – ohne dass Bilder von Kunden aufgenommen oder gespeichert werden.“
Laut Adaria und Invenda sollten sich Studenten keine Sorgen um den Datenschutz machen, da die Verkaufsautomaten „vollständig konform“ mit dem weltweit strengsten Datenschutzgesetz, der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, sind.
„Diese Maschinen sind vollständig DSGVO-konform und werden in vielen Einrichtungen in ganz Nordamerika eingesetzt“, heißt es in der Erklärung von Adaria. „An der University of Waterloo verwaltet Adaria die Fulfillment-Dienste auf der letzten Meile – wir kümmern uns um die Wiederauffüllung und Logistik der Snackautomaten. Adaria sammelt keine Daten über seine Benutzer und hat keinen Zugriff darauf, Benutzer dieser M&M-Verkaufsautomaten zu identifizieren.“