Eine Möglichkeit herauszufinden, wie tief Tim Hortons in Kanadas Stoff verwoben ist, ist ein grenzüberschreitender Vergleich. Wenn McDonald’s, vielleicht sein engstes Analogon in den Vereinigten Staaten, auf diesem Markt die gleiche Pro-Kopf-Reichweite haben wollte wie Tim Hortons in Kanada, müsste es seine über 13.000 ungefähr verdreifachen Amerikanische Verkaufsstellen.
Obwohl Tim Hortons seit 2014 in ausländischem Besitz ist, schwenkt er immer noch so energisch wie möglich die kanadische Flagge. Aber letzte Woche legte ein vernichtender Bericht des Bundesdatenschutzbeauftragten und drei seiner Kollegen aus der Provinz sehr detailliert dar, wie Tim Hortons eine breite Palette von Gesetzen ignorierte, um Kanadier auszuspionieren, was „eine Masseninvasion der Privatsphäre der Kanadier“ verursachte.
„Als Gesellschaft würden wir es nicht akzeptieren, wenn die Regierung unsere Bewegungen jeden Tag alle paar Minuten verfolgen wollte“, sagte der Datenschutzbeauftragte der Bundesregierung, Daniel Therrien, in seiner letzten offiziellen Pressekonferenz. „Es ist ebenso inakzeptabel, dass private Unternehmen so wenig an unsere Privatsphäre und Freiheit denken, dass sie diese Aktivitäten initiieren können, ohne mehr als einen Moment darüber nachzudenken.“
Vektor für das großangelegte Schnüffeln von Tim Hortons war dem Bericht zufolge seine Handy-App, die in den drei Jahren nach ihrer Einführung im Jahr 2017 zehn Millionen Mal heruntergeladen wurde. Zunächst hatte die App typische Einzelhandelsfunktionen wie Bezahlen, Treuepunkte und Bestellungen.
Aber die Datenschutzbeauftragten stellten fest, dass Tim Hortons 2019 ein neues Feature eingebaut hatte. Mit Hilfe von Radar, einem in den USA ansässigen Unternehmen für Geolokalisierungssoftware, verwandelte es die GPS-Systeme in den Telefonen der Kunden in ein korporatives Schnüffelwerkzeug. Viele Apps bitten die Benutzer natürlich um Erlaubnis, auf das GPS ihrer Telefone zuzugreifen, während sie die Apps aktiv nutzen, um potenziell nützliche Funktionen wie das Auffinden der nächsten Filiale eines Geschäfts, einer Bank oder eines Restaurants zu erhalten.
Die Tim Hortons-App ging jedoch weit darüber hinaus und verfolgte Benutzer rund um die Uhr überall auf der Welt – selbst wenn die App geschlossen war. Es zeichnete nicht nur ihren geografischen Standort auf, sondern auch, ob es sich dabei um ein Haus, eine Fabrik oder ein Büro handelte, und in vielen Fällen sogar den Namen des Gebäudes, in dem sie sich befanden. Dem Bericht zufolge wurde sogar aufgezeichnet, ob sie auf Rivalen stießen Cafés. Das kontinuierliche Tracking fand statt, obwohl den Benutzern mitgeteilt wurde, dass sie nur während der Nutzung der App getrackt würden.
Ursprünglich, so der Bericht, beabsichtigte Tim Hortons, dass das System Einzelpersonen verfolgen würde, um ihnen bestimmte Werbeaktionen zu senden, wie Coupons für einen Tim Hortons-Stand, wenn sie beispielsweise in einer Arena für ein Hockeyspiel waren. Es ließ diesen Plan zur Überwachung von Einzelpersonen fallen, verwendete die Daten jedoch in aggregierter Form, um nach Mustern und Änderungen darin zu suchen, wo und wann Kanadier ihre Doppelgänger abholten.
Der Bericht geht weiter auf eine breite Palette anderer Mängel ein, wie unzureichenden Schutz der von der App gesammelten Daten und Täuschungen in Datenschutzerklärungen.
Das Tracking-System wurde erst im Juni 2020 abgeschaltet, nachdem die gemeinsame Datenschutzuntersuchung begonnen hatte. Anlass war ein Artikel in der National Post von James McLeod, der herausfand, dass die App ständig seinen Aufenthaltsort dokumentierte, selbst wenn er im Urlaub im Ausland war.
Als der Bericht veröffentlicht wurde, machten Mr. Therrien und die anderen Datenschutzbeauftragten deutlich, dass Tim Hortons die Privatsphäre der Kanadier in außerordentlichem Maße verletzt hatte.
„Geolokalisierungsdaten sind unglaublich sensibel, weil sie ein so detailliertes und aufschlussreiches Bild unseres Lebens zeichnen“, sagte er und fügte hinzu, dass „die Risiken im Zusammenhang mit der Erfassung und Verwendung von Standortinformationen hoch bleiben, selbst wenn sie ‚anonymisiert‘ werden können oft relativ leicht wiedererkannt werden.“
Obwohl einige Sammelklagen gegen Tim Hortons anhängig sind, wurde das Unternehmen nicht mit einer Geldstrafe belegt oder nach den Datenschutzgesetzen der Bundes- oder Provinzen bestraft.
Die App steht weiterhin sowohl für iPhones als auch für Android-Telefone zum Download zur Verfügung. (Ich habe Apple und Google gefragt, ob die Tracking-Software gegen ihre App-Store-Richtlinien verstoßen hat oder ob sie Maßnahmen gegen Tim Hortons ergriffen haben. Keines der Unternehmen hat sich bei mir gemeldet.)
In einer E-Mail sagte Tim Hortons, dass es 2020 mit seiner eigenen Datenschutzüberprüfung begonnen habe und alle Empfehlungen im Bericht der Datenschutzkommission umsetze.
„Wir haben unser internes Team verstärkt, das sich der Verbesserung der Best Practices in Sachen Datenschutz verschrieben hat, und wir konzentrieren uns weiterhin darauf, sicherzustellen, dass Gäste fundierte Entscheidungen über ihre Daten treffen können, wenn sie unsere App nutzen“, sagte das Unternehmen.
Herr Therrien und externe Experten haben lange argumentiert, dass Kanadas Datenschutzgesetze oder sein System zu ihrer Durchsetzung grundlegend überarbeitet werden müssen. Es brauchte einen Journalisten, um herauszufinden, was Tim Hortons tat, die offiziellen Ermittlungen zogen sich fast zwei Jahre hin, und am Ende gab es keine Strafen. Nur das Datenschutzbüro von Quebec ist derzeit befugt, Bußgelder zu verhängen, aber die Höchststrafe, die es gegen Tim Hortons hätte verhängen können, dessen Muttergesellschaft im Jahr 2020 einen Umsatz von 2 Milliarden US-Dollar erzielte, beträgt 10.000 kanadische Dollar.
„Die Gesetze haben keine Zähne“, sagte Jill Clayton, die Informations- und Datenschutzbeauftragte von Alberta, auf der Pressekonferenz.
Mr. Therrien sagte, dass der Fall Tim Hortons kein isoliertes Beispiel ist – es ist nur das, was aufgedeckt wurde.
„Es ist klar, dass das, was in Tim Hortons passiert ist, auch anderswo im Ökosystem der Informationssammlung passiert“, sagte er. „Gibt es ausreichende Schutzmaßnahmen? Ganz sicher nicht.”
Ian Austen stammt aus Windsor, Ontario, wurde in Toronto ausgebildet, lebt in Ottawa und berichtet seit 16 Jahren für die New York Times über Kanada. Folgen Sie ihm auf Twitter unter @ianrausten.
Wie machen wir uns?
Wir sind gespannt auf Ihre Meinung zu diesem Newsletter und Veranstaltungen in Kanada im Allgemeinen. Bitte senden Sie diese an [email protected].
Gefällt Ihnen diese E-Mail?
Leiten Sie es an Ihre Freunde weiter und lassen Sie sie wissen, dass sie sich hier anmelden können.