Datenschutz-Nachrichten

E-Scooter: Die Daten fahren mit

E-Scooter: Die Daten fahren mit

Von Timo Schutt 8. November 2019

E-Scooter sind ein Phänomen unserer Zeit

E-Scooter. Man kann ihnen heutzutage kaum entrinnen. Sei es, indem man auf dem Fußweg überholt wird, sei es, indem das Gefährt an ungünstiger Stelle abgestellt wurde. Eines ist aktuell jedenfalls festzustellen: Wir erleben ein neues Phänomen, an das wir uns in unseren Innenstädten werden gewöhnen müssen.

Ob es sich bei den neuen Verkehrsmitteln tatsächlich um Autofahrten reduzierende und daher umweltfreundliche Fortbewegung handelt, soll an dieser Stelle dahingestellt bleiben. Abseits aller sonstiger Bedenken, was die Nutzung von E-Scootern angeht, gibt es jedenfalls auch ein datenschutzrechtliches Thema, das Nutzern von E-Scootern bekannt sein sollte. Denn die DAten fahren immer mit.

Pressemitteilung aus Hamburg

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat in einer Pressemeldung auf folgendes aufmerksam gemacht: Bei der Nutzung der E-Scooter werden von den Anbietern regelmäßig alle Standortdaten erfasst und gespeichert. Denn jeder E-Scooter hat ein GPS-Modul an Bord. Was insoweit verständlich ist, als der Anbieter wissen will, wo die gemieteten Fahrzeuge sich befinden. Durch die Verbindung mit der App, die zu Nutzung erforderlich ist, kennt der Anbieter damit aber auch die hinter dem Standort und der Bewegung stehende Person.

Das zusammen führt zu der Möglichkeit umfangreiche Bewegungsprofile der Nutzer zu erstellen. Wenn man dann die Standorte der Betroffenen noch abgleicht mit den dort befindlichen Geschäften, Behörden, Läden, Bürogebäuden o.ä. und die Frequenz der Besuche misst, kommt man schnell dazu Wohnadresse, Arbeitsstätte, Einkaufsverhalten und vieles mehr erfassen zu können.

Der HmbBfDI stellt ins einer Pressemitteilung fest, dass die Nutzer der E-Scooter die damit verbundene Datenverarbeitung nicht kennen. Das läge unter anderem daran, dass die Anbieter der E-Scooter trotz dieser erheblichen Datenverarbeitung “defizitäre Datenschutzhinweise” haben. Das ist wohl eine blumig Umschreibung dafür, dass die Hinweise nicht auf diese Datenverarbeitungen ausreichend hinweisen.

“Das Geschäft mit der E-Scooter-Vermietung umfasst auch das Geschäft mit den Daten der Kunden”

Der Preis, den die Nutzer der Miet-Scooter zahlen, ist laut HmbBfDI der Verlust der Anonymität, mit der sie sich durch den öffentlichen Raum bewegen. Es sei auch nicht erforderlich ein solches Tracking durchzuführen. Die Car-Sharing-Anbieter würden daher, so der HmbBfDI auch darauf verzichten. Daher gehöre es wohl zum Geschäftsmodell der Anbieter mit dieser Datenerhebung weitere wirtschaftliche Vorteile zu erlangen. Diese Vermutung steht zwar so direkt nicht in der Pressemitteilung, lässt sich aber unschwer herauslesen.

Ob das so ist, entzieht sich meiner Kenntnis. Man fragt sich aber beim Lesen ob denn parallel schon die am Sitz der jeweiligen Anbieter zuständige Aufsichtsbehörde entsprechend aktiv ist und die Vorwürfe aus der Pressemitteilung untersucht und durch Sanktionen unterbindet. Denn natürlich sind die Vorwürfe allesamt sanktionierbar. Und das Besteck der Aufsichtsbehörden ist durch die DSGVO ganz schön scharf und wirksam geworden.

Meine rechtliche Beurteilung

Erforderlich ist meines Erachtens – neben den Kundendaten, die zur Vertragserfüllung erforderlich sind – allenfalls die Erfassung des Ausleihstandorts und des Abstellstandorts. Es erschließt sich nicht, warum der gesamte Fahrverlauf erfasst und gespeichert wird. Denn hier dürfte der Anbieter ein berechtiges Interesse haben, über den Ausleihstandort die Optimierung des eigenen Angebots zu ermöglichen. Ebenso liegt ein berechtiges Interesse vor, die Abstellstandorte zu kennen, um die E-Scooter wieder einzusammeln bzw. neu zu verteilen.

Für die Abrechnung, also für Vertragserfüllungszwecke ist in der Regel die Dauer der Fahrt entscheidend, so dass gar kein Standort gespeichert werden muss. Und selbst dann, wenn die Abrechnung nach gefahrener Strecke erfolgt, sollte es genügen, die Route nach Errechnung der gefahrenen Kilometer unverzüglich zu löschen und nur die Kilometerzahl zu behalten.

Der einzige Zweck weitere Daten zu erfassen kann daher nur sein mit diesen Daten anderweitig einen Nutzen zu generieren, also Geschäfte zu machen. Das dürfte weder dem Vertragszweck, also Artikel 6 Absatz 1 Buchstabe b) DSGVO unterfallen, noch dem berechtigen Interesse nach Artikel 6 Absatz 1 Buchstabe f) DSGVO. Daher wäre wohl für diese Zwecke eine Einwilligung der Nutzer einzuholen.

Eine Kopplung der Einwilligung mit der Nutzung ist wiederum wegen Artikel 7 Absatz 4 DSGVO ein Problem, wo es heißt:

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Die Freiwilligkeit wäre mit guten Gründen in solchen Fällen zu verneinen, wenn ich ohne Einwilligung den E-Scooter nicht nutzen dürfte. Allenfalls dann, wenn der Anbieter ganz offen kommuniziert, dass er die Datennutzung als werthaltige “Bezahlung” durch den Nutzer in seine Preiskalkulation eingerechnet hat, könnte man das anders sehen. Das Bayerische LDA hat eine solche Möglichkeit eines Vertrages Daten gegen Leistung in einem Kurzpapier einmal angedeutet. Ob die Aufsichtsbehörden das aber durchwinken würden?! Ich würde hier ein großes Fragezeichen machen.

Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
DSGVO-Man