06.06.2019 von Michael Rath und Maximilian Dorndorf
Ende Februar kündigten BMW und Daimler fünf gemeinsamen Mobility Joint Ventures an. Es stellen sich dazu einige Fragen bezüglich des Umgangs mit den Kundendaten.
BMW und Daimler wollen Mobility-Dienste in gemeinsamen Apps anbieten. Foto: Daimler AG
BMW und Daimler haben fünf Mobility Joint-Ventures bekanntgegeben. Sie legen ihre Mobilitätsdienste zusammen, um einen "weltweit führenden Gamechanger" zu schaffen, so Vorstandsvorsitzender Harald Krüger der BMW AG. Durch die Zusammenschlüsse wurde das Know-how von 14 Marken verbunden. Daimler und BMW erhoffen sich so den weiteren Ausbau dieser Geschäftsbereiche. So steht nicht mehr der Autoverkauf im Vordergrund, sondern die Mobilitäts-Dienstleistungen rund um das Auto. Von den Zusammenschlüssen umfasst sind die Bereiche CarSharing (Share Now), Ride-Hailing (Free Now), Parking (Park Now), Charging (Charge Now) und Multimodalität (Reach Now) vereint.
Alles aus einer App
Wer bald verschiedene Verkehrsmittel in einer App gebündelt haben will, muss auf Reach Now zurückgreifen. Für die CarSharing Dienste von Daimler und BMW wird bald Share Now zur Verfügung stehen. Park Now soll das Parken in Parkhäusern und am Straßenrand sowie die Bezahlung vereinfachen. Charge Now ist das Pendant zu Park Now, diese App soll bei der Vermittlung von Elektroladesäulen assistieren. Der Dienst mit den meisten Nutzern wird wohl Free Now sein.
Park Now soll der Service rund um das Parken heißen. Foto: giggsy25 - shutterstock.com
Nach Angaben von BMW und Daimler sollen fast 16 Millionen Kunden den Ride-Hailing-Dienst in Anspruch nehmen, der in mehr als 130 Städten in 17 Ländern verfügbar ist. Im Laufe des Jahres soll es nur noch eine App geben, der Dienst wird dann nur noch über den Namen Free Now laufen, sodass auch nur noch ein Kundenkonto erforderlich sein wird.
Es stellt sich die Frage, wie die Zusammenlegung der Apps und Kundenkonten aussehen wird. Soweit ein Unternehmen mit einem anderen - gegebenenfalls auch neu gegründetem Unternehmen - verschmilzt, muss geprüft werden, ob eine neue Einwilligung durch den Kunden erforderlich ist. Findet dagegen eine Weitergabe von Daten an einen Dritten statt, muss ein OK des Kunden eingeholt werden oder die Datenverarbeitung über die so genannte Interessenabwägung gerechtfertigt werden.
IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Location Based Services
Weiterhin handelt es sich bei den zuvor genannten Diensten um sogenannte "location based services", die unter Zuhilfenahme von positionsbezogener Daten arbeiten. Dabei wird zwischen reaktiven und proaktiven Diensten unterschieden.
Reaktive Dienste werden nur aktiv, soweit der Dienst ausdrücklich angefordert wird.
Proaktive Dienste hingegen reagieren auf gewisse Ereignisse, wie das Erreichen eines bestimmten Ortes.
Bei standortbezogenen Diensten ist fraglich, welche dieser zwei Arten eingesetzt wird und wie die vorgefertigte Einwilligungserklärung ausgestaltet sein muss, um den datenschutzrechtlichen Bestimmungen zu genügen.
Datenverarbeitung zu Mobilitätszwecken?
Zudem stellt sich die Frage, in welchem Umfang die Mobilitäts-Daten verarbeitet werden. Sollen die personenbezogenen Daten nur der Erfüllung des Vertrages dienen oder werden sie an den Dienstleister übertragen, damit dieser beispielsweise das Nutzerverhalten analysieren und gegebenenfalls Hinweise zum Verkehr geben kann?
Dabei ist auch fraglich, inwieweit letzteres mit dem Grundsatz "privacy by default" vereinbar ist, soweit es sich um die Voreinstellung handelt. Denn die Voreinstellungen der Apps müssen möglichst datenschutzfreundlich ausgestaltet werden. Gerade bei solchen Apps ist dies jedoch häufig nicht der Fall. Ebenfalls spielt der Grundsatz "privacy by design" eine Rolle. Bereits bei der Entwicklung solcher Apps muss eigentlich darauf geachtet werden, dass möglichst wenige Daten erhoben werden - es sei denn, der Nutzung stimmt der Datenverarbeitung explizit zu.