Vergangene Woche schilderte die «Berner Zeitung» den Fall einer Sechzehnjährigen, die in der Migros nachträglich mehrerer Diebstähle überführt wurde. Gesamtwert der gestohlenen Waren: 286 Franken. Die Videoaufnahmen, die als Beweismaterial dienten, seien teils mehrere Wochen aufbewahrt worden, bevor die Migros die Jugendliche ansprach. Schon etwas weiter zurück liegt ein Fall, den «zentralplus» 2018 bekannt machte: Ein Luzerner wurde, zwei Wochen nachdem er einen Artikel beim Self-Check-out nicht gescannt hatte, von der Migros zur Rede gestellt. Um ihn zu überführen, seien unter anderem Benutzerdaten aus dem Cumulus-Programm analysiert worden. Der junge Mann habe an der Theke Fleisch bestellt, das System habe Alarm geschlagen, weil der erfasste Artikel an der Kasse nie abgebucht wurde. Die Überwachungskameras an den Kassen überführten den Dieb schliesslich, und weil er im Cumulus-Programm war, habe er leicht identifiziert werden können.

Die beiden Fälle ermöglichen Einblicke in einen Bereich, über den der Konzern nicht gern öffentlich spricht: seine extensive Datenerfassung und seine Überwachung der Supermärkte – die stetig vorangetrieben wird. Eine Migros-Filiale zu betreten, ohne dabei gefilmt zu werden, ist heute kaum mehr möglich. Es gibt immer weniger Supermärkte, die nicht videoüberwacht sind. Zum Einsatz kommt dabei mindestens teilweise modernste Technik der Motorola-Tochterfirma Avigilon. Schon 2014 gab der damalige Sales-Director der Firma für Deutschland, Österreich und die Schweiz gegenüber dem Sicherheitsbranchenmagazin «GIT» an, dass Avigilon hochauflösende Kameras an die Migros ausliefere.

Am Rand des Erlaubten

Den Eindruck, dass der Detailhändler bei der Überwachung seiner KundInnen eine Vorreiterrolle einnimmt, bestätigt auch ein neues Projekt im Sicherheitsbereich, für das die Migros erneut mit Avigilon zusammenarbeitet: In einer ungenannten Filiale in Zürich testet sie den Einsatz einer Technologie mit dem Namen «Appearance Search». Damit können Videoaufnahmen automatisch nach einer Zielperson durchsucht werden – aufgrund von «Haarfarbe, Grösse, Geschlecht und Kleidung». In Echtzeit würden allerdings keine Daten analysiert, sagt Marco Corazzi, Sicherheitsverantwortlicher der Migros, gegenüber einem weiteren Branchenmagazin, der «Lebensmittel Zeitung». Will heissen: Die Migros werte nicht aus, ob sich verdächtige Personen im Laden aufhielten, um direkt auf sie zuzugreifen. Und auch Gesichtserkennung werde nicht durchgeführt: «So weit ist die Technik noch nicht», so Corazzi. Der Zulieferer Avigilon preist derweil auf seiner Website die «integrierte Gesichtsanalyse» seiner «Appearance Search»-Software explizit an. Detailliertere Angaben zu den technischen Möglichkeiten ihrer Software will die kanadische Firma auf Anfrage der WOZ aber keine machen.

Ob die Gesichtserkennung nun technisch möglich ist oder nicht: Erlaubt ist sie gemäss Hugo Wyler, dem Kommunikationsleiter des Eidgenössischen Datenschutzbeauftragten (EDÖB), ohnehin nicht. «An die biometrische Bearbeitung von Personendaten mit Gesichtserkennung sind sehr hohe Anforderungen gestellt. Sie ist nur in Ausnahmefällen möglich. Bagatelldiebstähle gehören nicht dazu.» Stattdessen müssten sich die Suchparameter auf allgemeine Unterscheidungsmerkmale beschränken. Als Beispiele nennt er etwa Grösse und Haarfarbe. Auch eine automatisierte Echtzeitanalyse sei nicht erlaubt. Die Migros bewegt sich also im Rahmen des Erlaubten – aber an seiner Grenze.

Die extensive Überwachungstätigkeit der Migros ist auch deshalb problematisch, weil sie heute weit mehr als ein Detailhändler ist. Dem Migros-Genossenschafts-Bund (MGB) und seinen zehn regionalen Genossenschaften sind mehrere Tochterfirmen angeschlossen. So ist die Migros unter anderem auch einer der grössten Dienstleister im Gesundheitsbereich, seit sie 2010 die Firma Medbase übernommen hat. Seit letztem Jahr sind auch vierzig Topwell-Apotheken Teil von Medbase. Weitere Tochterfirmen der Migros sind etwa das Reisebüro Hotelplan und die Digitec Galaxus AG, der grösste Schweizer Onlinehändler. Und auch der MGB selbst erschliesst mit seinen Angeboten immer mehr Lebensbereiche – etwa mit der Gesundheitsplattform «iMpuls» für Informationen und Tipps im Gesundheitsbereich.

«Die Migros gehört den Leuten, deshalb fördert sie mit iMpuls die Volksgesundheit wie kein anderer», schreibt die Migros auf der «Über uns»-Seite von «iMpuls». Das Angebot umfasst unter anderem den «iMpuls-Coach», der auch als App angeboten wird. Er bietet seinen BenutzerInnen automatisch personalisierte Ratschläge zu Gesundheitsthemen – nachdem diese Angaben zu Körpergrösse, Ernährungsverhalten und Gewicht in das System eingespeist haben. Das «iMpuls»-Angebot ist gratis, unter NeuteilnehmerInnen werden sogar Einkaufsgutscheine verlost. Die Migros stellt nur eine Bedingung: Wer den Coachservice nutzen will, muss sich vorher mit dem Migros-Login-Account auf der «iMpuls»-Seite anmelden.

In der Datenschutzerklärung zum Service erklärt die Migros, die Nutzung des Dienstes sei zwar freiwillig, setze aber voraus, dass bestimmte Personendaten bearbeitet werden könnten. Konkrete Beispiele: Name, BMI, Schwangerschaft, Aktivitätslevel und Gesundheitsziel. Wird die App verwendet, werden zudem «technische Informationen» erfasst, etwa Gerätetyp, Angaben über die Verwendung der App und «Daten eines verbundenen Sensors», also etwa eines verbundenen Fitnesstrackers.

Über den Migros-Login-Account, der in fast alle Websites des MGB integriert ist und auch die Angabe von Namen und E-Mail-Adresse verlangt, lassen sich die erhobenen Daten einzelnen Personen zuordnen. Sie können so einen Beitrag zur möglichst genauen Erfassung der Identität der Migros-KundInnen leisten. Details über sein Vorgehen weist der MGB in seiner Datenschutzerklärung aus, die für all seine Geschäftsbereiche gilt, nicht aber für seine Tochtergesellschaften. «Fast immer, wenn Sie mit uns interagieren, werden auch Personendaten bearbeitet», hält die Erklärung fest. Daten zu bearbeiten, bedeutet beim Beispiel «iMpuls», dass sie mit anderen vom MGB erhobenen Personendaten verknüpft werden können, um «daraus Angaben über Ihre Vorlieben und Affinitäten zu bestimmten Produkten oder Dienstleistungen abzuleiten». Das Stichwort lautet «Profilierung», also eine automatisierte Bearbeitung von Personendaten – um «persönliche Aspekte zu analysieren oder vorherzusagen», steht in der Datenschutzerklärung des MGB. Und weiter: «Wir führen oft Profilierungen durch.»

Das geschieht natürlich unter anderem auf Grundlage des Cumulus-Bonusprogramms. Wenn die Cumulus-Karte eingesetzt wird, werden exakte Informationen zum Einkaufsverhalten übermittelt. «Marktforschungskarten» nennt Sara Stalder, Geschäftsleiterin der Stiftung für Konsumentenschutz, diese im Detailhandel gängigen KundInnenkarten. «Die Entlöhnung der Kundinnen und Kunden dafür, dass sie so persönliche Daten weitergeben, ist skandalös schäbig», sagt sie.

«Ein gigantischer Datenpool»

Die Datenschutzerklärung des MGB legt aber weiter offen, dass Einkaufsdaten auch ohne Cumulus-Karte erfasst werden können. Dann nämlich, wenn Produkte in Onlineshops der Migros gekauft werden. Beim Besuch von Internetseiten des MGB wird auch das Browsingverhalten erfasst, das gegebenenfalls dem verwendeten Account zugeordnet werden kann. Ebenso abgespeichert wird die Teilnahme an Wettbewerben, die in den meisten Fällen ebenfalls ein Migros-Login-Account voraussetzt. Sogar wer sich in ein WLAN-Netzwerk der Migros einloggt, gibt damit Daten preis, die dann bearbeitet werden: Dauer der Verbindung, eine eindeutige Kennnummer des Endgeräts, verwendetes Datenvolumen – und Standort. Zumindest sofern die Nutzung des Netzwerks ein Login voraussetzt, was angeblich nicht immer der Fall ist, jedoch in allen von der WOZ getesteten Filialen verlangt wurde.

Ein ähnliches Bild zeigt sich bei einigen der MGB-Tochterfirmen mit eigenen Datenschutzerklärungen, etwa bei Denner oder bei Digitec Galaxus. Auch hier wird praktisch jede erfassbare KundInneninteraktion abgespeichert. Und die von Denner und Digitec Galaxus erhobenen Daten dürfen explizit an andere Unternehmen der Migros-Gruppe weitergegeben werden – zu den in der Datenschutzerklärung genannten Zwecken, etwa für Marketing. Den Unternehmen Medbase und Migros Bank, die besonders sensible Daten erfassen, ist die Weitergabe von Daten gemäss ihrer Datenschutzerklärung jedoch ausdrücklich untersagt. Umgekehrt ist es für den MGB laut seiner eigenen Datenschutzerklärung aber möglich, Daten an alle Unternehmen der Migros-Gruppe inklusive seiner Tochterunternehmen weiterzugeben, also auch an Medbase und die Migros Bank. «Wir haben es hier mit einem gigantischen Datenpool zu tun», sagt Sara Stalder vom Konsumentenschutz. «Und innerhalb dieses Pools fliessen die Daten ziemlich frei umher.»

«Dass die MGB-Datenschutzerklärung besagt, dass Daten innerhalb der Migros-Gruppe weitergegeben werden können, heisst keinesfalls, dass sie auch tatsächlich weitergegeben werden», hält der MGB aber fest. «Zwischen der Migros Bank und anderen Unternehmen der Migros Gruppe findet kein Datenaustausch statt.» Selbiges gelte auch für Medbase, schreibt er weiter: «Patientendaten unterliegen dem Datenschutzgesetz und werden bei Medbase streng vertraulich behandelt.» Die Firma betreibe eine eigene IT-Infrastruktur. «Zwischen Medbase und den Geschäftsbereichen des MGB besteht eine Chinese Wall.» Das bestätigt Hugo Wyler vom EDÖB, der für die Kontrolle der Migros verantwortlich ist: «Kundenprofile verbleiben gemäss unseren Informationen in der Zentrale des MGB.»