Das Teilen von Fahrzeugen wie E-Scootern ist inzwischen einfach und praktisch. Undurchsichtig und teilweise unzureichend ist dabei für Nutzer:innen der Schutz ihrer persönlichen Daten bei jeder Ausleihe. Hier muss schnell nachgebessert werden, fordern Datenschutzexpert:innen.
Das Teilen von Fahrrädern, E-Scootern, E-Bikes, Autos oder Mitfahrgelegenheiten ist in den urbanen Zentren inzwischen Alltag. Um diesen Service anbieten zu können, benötigen die Sharing-Dienstleister verschiedene Daten ihrer Kund:innen. Falls die Nutzer:innen die seitenlangen Datenschutzerklärungen lesen, müssen sie dabei feststellen, dass die Unternehmen unterschiedliche Daten abfragen, sie unterschiedlich lange speichern und persönliche Daten auch an Dritte weitergeben. Vieles davon genehmigen die Nutzer:innen pauschal bei der Registrierung. Eine echte Wahl haben sie nicht.
Wer beispielsweise einen E-Scooter von Lime ausleiht, stimmt über die Datenschutzerklärung zu, dass die Route aufgezeichnet wird. „Das ist zwar für den Service überflüssig, kann aber eventuell zur Beweissicherung bei Unfällen genutzt werden“, sagt Marion Jungbluth, Leiterin des Teams „Mobilität und Reisen“ vom Verbraucherzentrale Bundesverband (VZBV). Den Start- und Zielpunkt aufzuzeichnen, würde normalerweise völlig ausreichen. Ausschalten können die Nutzer:innen die Aufzeichnung nicht, sondern alternativ nur komplett auf die Ausleihe verzichten.
Eine Untersuchung von „Mobilsicher“, einem Portal für mehr Smartphone-Sicherheit, das vom Bundesministerium der Justiz (BMJ, vormals Bundesministerium der Justiz und für Verbraucherschutz) gefördert wird, hat im Herbst 2021 zudem gezeigt, dass die Scooter-Sharing-Anbieter Lime, Bolt, Voi und TIER persönliche Informationen wie Name, Kontaktdaten, Standort und Werbe-ID an Dritte weitergeben, die in der jeweiligen Datenschutzerklärung nicht genannt werden. Laut Europäischer Datenschutzgrundverordnung (DSGVO) ist dies verboten. Über Umwege, wie die Zusammenarbeit der Sharing-Anbieter mit Analyse- und Marketingunternehmen oder Tochterfirmen, kann es trotzdem passieren. Deshalb fordert der VZBV von der neuen Bundesregierung, den Datenschutz für die Kund:innen im Alltag effektiver und praxistauglicher zu gestalten.
Für Verbraucherschützer:innen heißt das, die aktuelle Praxis umzukehren. „Das Ablehnen der Datenweitergabe muss der Standard werden“, fordert Florian Glatzner, Referent im Team „Digitales und Medien“ beim VZBV. Wollen die Sharing-Anbieter die Daten ihrer Kund:innen an Dritte weitergeben, beispielsweise Analysedienste, Kommunen oder Finanzdienstleister, sollten die Kund:innen bei der Anmeldung aktiv zustimmen müssen, dass die Sharing-Anbieter ihre Daten weiterleiten dürfen.
Das sollte aus Sicht des Verbands auch für die Nutzung von Google Analytics gelten. Die meisten Mikromobilitätsanbieter nutzen das kostenlose Analysetool, um ihren App- und Webauftritt zu verbessern. Viele Datenschützer:innen sehen darin Probleme, da Google die Daten der Kund:innen auf Rechnern in Übersee speichert. Dort ist der Datenschutz deutlich laxer geregelt als in Europa. Theoretisch kann Google dort die Daten nicht anonymisiert an Dritte weitergeben oder für eigene Zwecke nutzen. „Ob das tatsächlich passiert, kann niemand kontrollieren“, bemängelt Glatzner.
Viele Menschen unterschätzen die Folgen von unfreiwilligen Datenfreigaben. „Wir produzieren täglich Unmengen an Daten, wenn wir Mobilitäts-Apps oder Webseiten auf PCs und Laptops öffnen“, sagt Glatzner. Diese Daten können wie beschrieben auf Server von Dritten weitergeleitet werden. Aus den vielen übermittelten Schnipseln von Werbe-IDs, WLAN-Netzwerknamen, Kontaktdaten oder zurückgelegten Routen könnten die Datensammler laut Glatzner umfangreiche Profile erstellen. Diese personenbezogenen Profile können auch sehr private Details wie sexuelle Vorlieben, Essverhalten oder gesundheitliche Probleme beinhalten, also Informationen, die wahrscheinlich niemand freiwillig mit Unbekannten teilen möchte.
„Mit Standortdaten lassen sich Bewegungsprofile erstellen, die unter anderem Rückschlüsse auf sensible Informationen wie Arztbesuche möglich machen“, erklärt Inga Pöting, Digital-Journalistin und Chefin vom Dienst bei „mobilsicher.de“. Das „Mobilsicher“-Team stellt den AppChecker bereit, eine Datenbank mit Testberichten zu vielen Tausend Android-Apps. Eine selbstgebaute Software durchleuchtet beim Test größtenteils automatisiert, was eine App im Hintergrund tut. „Eine so genaue Auswertung zu so vielen Apps bekommt man momentan nur bei uns“, sagt Pöting. Der Code des AppCheckers steht als Open Source allen Interessierten zur weiteren Nutzung kostenfrei zur Verfügung.
Der Scooter-Sharing-Anbieter TIER landete beim AppChecker-Test im Herbst 2021 auf dem letzten Platz. Inga Pöting und ihr Team konnten mit ihrer Software die Weitergabe mehrerer persönlicher Daten messen, etwa den eindeutigen Netzwerknamen des WLANs, die Standortdaten oder auch die Werbe-ID des Smartphones und dessen Kennnummer. Ob die Partnerunternehmen die Daten tatsächlich nutzen, wisse niemand. Aber der mögliche Datenmissbrauch ist laut Pöting gravierend. Insgesamt sei es wünschenswert, so wenige Daten wie möglich an Dritte weiterzuleiten.
Screenshot: Emmett, Quelle: mobilsicher.de
Florian Anders, Leiter der Unternehmenskommunikation bei TIER, kann die Vorwürfe nicht nachvollziehen. Verschiedene Teams hätten die Vorwürfe von „Mobilsicher“ geprüft, aber keinen Beleg für eine Verletzung der Datenschutzgrundverordnung gefunden. Die Arbeit mit den Analysetools der Anbieter Braze, Adjust und Google sowie allen anderen Partnern sei vertraglich geregelt und entspreche der DSGVO. „Wir haben mit Unternehmensstart einen Datenschutzbeauftragten eingestellt“, sagt Anders. Außerdem sei TIER Teil einer niederländischen Initiative, die einen einheitlichen Standard zur Datenverarbeitung und -speicherung entwickeln will: Mit dem City Data Standard – Mobility (CDS-M) soll der Datenaustausch zwischen Städten und anderen Mobilitätsanbietern sicher gestaltet werden.
Hinweis: Sie können über das Zahnrad-Symbol unteren Rand des Videofensters Untertitel in deutscher Sprache einstellen, indem Sie auf Untertitel -> Automatisch übersetzen -> Deutsch klicken.
Zur Kritik der Datenschützer an Google Analytics teilt Anders mit: „Aus unserer Sicht kann der Dienst nicht von einem anderen Anbieter adäquat ersetzt werden.“ Verbraucherschützer Glatzner kennt das Argument. „Google Analytics ist ein gutes Produkt“, sagt er. Aber es existierten Alternativen. Manchen Entwickler:innen fehle nur das Wissen um die Alternativen oder sie blieben nach einer Kosten-Nutzen-Analyse eben bei dem kostenlosen Tracking-Tool von Google.
Aus Sicht des VZBV wird der Druck auf die Mobilitätsanbieter in den kommenden Jahren deutlich steigen. „Der Umgang mit den Kundendaten muss deutlich transparenter und nutzerfreundlicher werden“, fordert Glatzner. Dies gilt vor allem, wenn das Angebot an vernetzter Mobilität und dem autonomen Fahren wächst. „Damit die persönlichen Daten ausreichend geschützt werden, sollten jetzt europaweit einheitliche Standards geschaffen werden, die das Speichern, Nutzen und Verschlüsseln von Mobilitätsdaten regeln“, ergänzt seine Kollegin Marion Jungbluth.
Eine alltagstaugliche Lösung für Privatpersonen seien sogenannte Personal Information Management Systems (PIMS). PIMS sind digitale Anwendungen, also Apps, in denen alle Daten zusammenlaufen. „Die Nutzer:innen können beim Installieren der App festlegen, welche Daten weitergeben werden dürfen“, sagt Jungbluth. Fragt jemand Neues die Daten an, werden die Nutzer:innen umgehend informiert und sie entscheiden, ob sie die angefragten Daten weitergeben wollen oder auf den Service verzichten.
Eine weitere Möglichkeit sei die Einrichtung von Datentreuhändern, die die individuellen Daten im Auftrag der Verbraucher:innen verwalten. Sie sollen die Daten der Nutzer:innen speichern und aufbewahren und gleichzeitig einfaches und vertrauenswürdiges Teilen von Daten mit Dritten – wie Unternehmen, Behörden, Städten und Universitäten – ermöglichen. Das Bundesministerium für Bildung und Forschung (BMBF) hat im Januar 2021 insgesamt 18 Pilotprojekte vergeben, um die Rahmenbedingungen für das sichere Teilen von Daten unter realen Bedingungen zu erforschen. Ein Treuhänder für den Sharing-Betrieb würde beispielsweise sicherstellen, dass die gesetzlichen Voraussetzungen für eine Übermittlung der Daten vorliegen, und für die Löschung sorgen, wenn die Daten nicht mehr benötigt werden oder gesetzliche Löschfristen greifen. Noch sind das Gedankenspiele. Aber Marion Jungbluth ist sich sicher, dass PIMS und Datentreuhänder kommen werden.