Das war mühsam für Hänsel und Gretel: sich die Taschen mit weißen Kieselsteinen vollstopfen, um aus dem Wald nach Hause zurückzufinden. Heute hätten die beiden sich den Kickscooter eines Sharing-Anbieters geschnappt und wären in den Wald gefahren: Der Roller hätte ganz automatisch den zurückgelegten Weg aufgezeichnet, abgespeichert und ihnen in der App angezeigt.
Moderne Shared-Mobility-Konzepte basieren auf der Erhebung und Verarbeitung einer bedeutenden Menge an Daten: Wo befindet sich ein verfügbares Fahrzeug? Welches Fahrzeug muss aufgetankt oder aufgeladen werden? Sind Fahrzeuge in einem Gebiet abgestellt worden, in dem es nicht möglich ist, die Miete zu beenden? Mit welchen Genauigkeitsgrad diese Daten erhoben werden, kam bereits 2016 in einem Gerichtsurteil zu einem mit einem Carsharing – Auto verursachten Verkehrsunfall zu Tage. Dort heißt es z. B.: „Der Angeklagte befuhr zunächst die P-Straße, wo er sein Fahrzeug auf 57,8 km/h beschleunigte, bevor er – nach Verringerung der Geschwindigkeit auf rund 25 km/h – an der grünes Licht zeigenden Lichtzeichenanlage nach links auf die zweispurige S-Straße abbog. Dort beschleunigte er das Fahrzeug auf der rechten Spur bis zum Erreichen einer Geschwindigkeit von 95,5 km/h um 20:12:19 Uhr wiederum stark.” (LG Köln, 113 KLs 34/15). Diese Angaben wurden von einem Sachverständigen den log-Dateien, die durch das Carsharing – Fahrzeug während der Fahrt erzeugt wurden, entnommen. Dass dieses Konstrukt datenschutzrechtliche Bedenken aufwirft, kann nicht wundern.
Ein datenbasiertes Geschäftsmodell
Shared-Mobility-Geschäftsmodelle kommen ohne Verarbeitung dieser Daten nicht aus. Es ist nicht nur eine operative Notwendigkeit der Anbieter, die aus organisatorischen Gründen Standort und Zustand aller Fahrzeuge überwachen müssen. Auch Gemeinden brauchen Daten, um sicherzustellen, dass der Verkehr regelmäßig fließt und der öffentliche Grund und Boden ordnungsgemäß genutzt wird. Das ist z. B. bei Kickscootern wichtig, um zu vermeiden, dass Gehwege vollgeparkt werden: Städte regulieren Zonen, in denen die Fahrzeuge abgestellt werden dürfen. Um den Austausch dieser Daten zwischen Shared-Mobility Anbietern und Stadtverwaltung zu ermöglichen hat die Stadt Los Angeles z. B. 2018 den Datenstandard „MDS“ (Mobility Data Specification) entwickelt.
Was passiert mit personenbezogenen Daten?
Zunächst gilt es zu bestimmen, ob diese Angaben überhaupt als „personenbezogen“ eingestuft werden müssen. Da gem. DSGVO ein Datum bereits dann personenbezogen ist, wenn es auch nur indirekt einen Rückschluss auf die Identität einer natürlichen Person ermöglicht (Art. 4), sieht es ganz danach aus. Wer Shared-Mobility Dienste in Anspruch nimmt tut dies in der Regel über ein Nutzerkonto (in der App), in dem personenbezogene Daten hinterlegt sind. Für den Anbieter ist es dann ein Leichtes, Angaben zum Fahrzeug (Standort, Wege, Geschwindigkeit usw.) mit Nutzerprofilen zusammenzufügen. Wenn man dann Shared-Mobility Dienst nutzt, um auf einen Parteikongress oder zum Liebhaber zu fahren, wird es noch heikler: Die erhobenen Daten werden zu personenbezogene Daten „besonderer Art“ (d.h. sensible Daten), die etwas über die politische Einstellung oder das Sexualleben der betroffenen Person aussagen.
Eine Rechtsgrundlage muss her
Nach DSGVO ist eine Verarbeitung personenbezogener Daten erlaubt, wenn eine der sechs in Art. 6 der Verordnung verankerten Rechtsgrundlagen einschlägig ist. Konkret in Betracht kommen vor allem die Einwilligung des Betroffenen (lit. a) oder ein Vertrag mit dem Betroffenen, für die Erfüllung dessen der Anbieter personenbezogene Daten verarbeiten muss (lit. b).
Vertrag als Grundlage
Wie bereits erwähnt, ist die Verarbeitung der bei den Fahrten erhobenen Daten für den Anbieter notwendig, um den Dienst überhaupt anbieten zu können. Dies legt nahe, dass hier die Grundlage für die Verarbeitung der Vertrag ist, den jeder Nutzer mit dem jeweiligen Dienstanbieter abschließt. Das ist auch die eleganteste Lösung: denn solange der Vertrag steht, dürfen die Daten auch – vertragsgemäß – verarbeitet werden. Allerdings auch nur solche Daten (und Verarbeitungsvorgänge), die für die Erfüllung des Vertrages tatsächlich notwendig sind.
Einwilligung
Stellt man stattdessen auf eine Einwilligung des Nutzers ab, kommt man schnell in Teufels Küche. Zunächst stellt die DSGVO bekanntlich außerordentlich hohe Anforderungen an die Wirksamkeit einer Einwilligung. Unter anderem, muss die Einwilligung „informiert“ abgegeben werden: d.h. der Anbieter muss hier die eigenen Nutzer detailliert und umfangreich über Zwecke und Modalitäten der Datenverarbeitung aufklären, was einerseits extrem aufwändig und strategisch nicht unbedingt wünschenswert ist, und andererseits den Nutzer vor abschreckenden Anmelde- und Einwilligungsformulare stellt, die gerne weggeklickt werden. Dazu kommt, dass Einwilligungen jederzeit widerrufen werden können: ein Damoklesschwert, mit dem kein Anbieter gerne lebt.
Nichtsdestotrotz besteht manchmal keine Alternative: wenn Anbieter zusätzlich zu den vertragsgemäß zwingend notwendigen Datenverarbeitungsvorgängen eine weitere Nutzung der Kundendaten planen (z. B. zu Werbe- oder Marketingzwecke), führt kein Weg an einer Einwilligung vorbei. Wichtig ist es hier, sauber zu trennen: Solche Datenverarbeitungen, die für die Erfüllung des Vertrages notwendig sind, sollten immer auch nach Buchst. b) gerechtfertigt werden. Nur bei solchen Verarbeitungen, die zusätzlich erfolgen können, sollte auf eine Einwilligung abgestellt werden.
Weitere Möglichkeiten
Auch weitere Rechtsgrundlagen nach Art. 6 können konkret relevant werden. Es kann z. B. durchaus als ein „berechtigtes Interesse“ (Art. 6 Buchst. f) DSGVO) des Anbieters eingestuft werden, wenn dieser Fahrzeugbezogene Daten für die Auswertung im Versicherungsfall erhebt und nutzt. Oder, der Anbieter kann sogar gesetzlich verpflichtet sein (Art. 6 Buchst c) DSGVO), bestimmte Daten (z. B. im Rahmen der Strafverfolgung oder der städtischen Verkehrsaufsicht) Behörden oder öffentlichen Stellen zur Verfügung zu stellen.
Fazit
Ein Sharing-Modell ohne Erhebung und Nutzung personenbezogener Daten ist kaum umsetzbar. Die rechtskonforme Umsetzung ist eine Herausforderung, die anspruchsvoll, aber lösbar ist. Wichtig ist dabei vor allem, dass jeder Verarbeitungsvorgang auf einer passenden Rechtsgrundlage basiert, und der Nutzer darüber in einer DSGVO-konformen Datenschutzerklärung informiert wird.
Anbieter können technologische Lösungen implementieren, die dem Gebot der Datensparsamkeit gerecht werden. Das wird z. B. dadurch erreicht, dass personenbezogene Daten und weitere Daten entkoppelt werden, damit ein direkter Rückschluss aus Fahrzeugdaten auf eine natürliche Person nicht mehr ohne weiteres möglich ist, In der Regel werden derartig anonymisierte Daten auch vollkommen ausreichen, um den Standort der Fahrzeuge der Stadtverwaltung mitzuteilen.