Jusletter IT

Ich blicke auf den Bildschirm des Mobiltelefons und sehe dem Punkt zu, wie er immer näher und näher kommt. «Praktisch, diese Apps», denke ich, nachdem ich in das Taxi eingestiegen bin und der Fahrer Gas gibt. Man bestellt, bekommt Namen und Telefonnummer des Fahrers, kann die gesamte Anfahrt mitverfolgen und kann, wenn man möchte, die Fahrt sogar über die App bezahlen. Doch plötzlich drängt sich mir eine nagende Frage auf: «Wie steht es eigentlich um den Datenschutz?»

Mobilitätsdienste im weitesten Sinne, somit nicht nur Dienste, welche es Nutzern ermöglichen, möglichst rasch und einfach von A nach B zu kommen, sondern in B, ebenfalls möglichst rasch und einfach, eine Bleibe zu finden, sind aus der heutigen digitalen Gesellschaft nicht mehr wegzudenken. Besonders solche Dienste, bei denen man per App Unterkünfte, Fahrzeuge oder Personenfahrten bestellen kann, finden immer mehr Kunden, zumindest aber mediale Beachtung.¹

Nach Erhebungen der Eurostat, dem Statistikamt der Europäischen Union, bieten in der EU fast alle gewerblichen Anbieter von Unterkünften die Möglichkeit der Buchung über Online-Plattformen und Apps an.² Zusätzlich nehmen rund 11% der Anbieter auch Buchungen über elektronische Datenschnittstellen an. Darüber hinaus buchen im Schnitt 17% der EU-Bürger Unterkünfte auch von Privaten³, beispielsweise über Plattformen wie Airbnb.⁴

Für die Buchung von Personenfahrten verfügt die Eurostat über keine derart genauen Statistiken, da sie die Zahlen zu Unternehmen aus den Bereichen Transport, Logistik und Lagerung bündelt. Immerhin ist aber bekannt, dass über 70% dieser Unternehmen Bestellungen online bzw. 46% auch über elektronische Datenschnittstellen annehmen.⁵ Die Nutzung privater Anbieter ist hingegen mit einem EU-Durchschnitt von etwa 8% weniger bedeutsam.⁶

All diesen Anbietern gemein ist, dass sie über eine Vielzahl an personenbezogenen Daten bis hin zu Zahlungsinformationen verfügen, aus denen sich bisweilen auch weitere Erkenntnisse, wie Bewegungsmuster, gewinnen lassen könnten. Diese Vielzahl an Daten, vor allem an Standortdaten, ist es auch, die für Mobilitätsdienstleister aus datenschutzrechtlicher Sicht eine besondere Herausforderung darstellt. Denn je mehr Daten über eine bestimmte Person bei einem einzelnen Verantwortlichen verarbeitet werden, umso einfacher können diese dazu verwendet werden, um bestimmte persönliche Aspekte dieser Person zu analysieren oder vorherzusagen, wie etwa ihre persönlichen Vorlieben oder gar Ortswechsel. Solche Analysen, und werden sie auch in der hehren Absicht der Verbesserung oder Individualisierung von Dienstleistungen erbracht, stuft die DSGVO jedoch als sogenanntes «Profiling» ein. Das wiederum führt jedoch zu einer Reihe an zusätzlichen datenschutzrechtlichen Pflichten, wie etwa Informationspflichten oder die Durchführung einer Datenschutz-Folgeabschätzung. Einige Anbieter sollen daher datenschutzrechtlich einer näheren Betrachtung unterzogen werden.

Nachstehend werden beispielhaft drei Anbieter dargestellt. Mit ihren teils voneinander verschiedenen Dienstleistungen und unterschiedlichen für einen Vertragsabschluss erforderlichen, personenbezogenen Daten bieten sie einen guten Überblick, welche Arten von Daten im Zusammenhang mit der Nutzung solcher Dienste anfallen oder erfragt werden können.

Der Dienst «mytaxi» ermöglicht es Nutzern («Betroffenen» nach der DSGVO), Fahrten bei Taxiunternehmen zu buchen, welche beim Dienst registriert sind.⁷ Im Gegensatz zu beispielsweise «Uber» werden über «mytaxi» gebuchte Fahrten somit ausschließlich durch Unternehmen durchgeführt, welche nach dem jeweils anwendbaren Recht als Taxiunternehmen zugelassen sind.

Betreiber des Dienstes und damit «Verantwortlicher» im Sinne der DSGVO ist die Intelligent Apps GmbH mit Sitz in Hamburg.

Für Endkunden ist die Nutzung des Dienstes ausschließlich über eine App möglich, in welcher die Registrierung mit Vorname, Nachname, Mobiltelefonnummer und E-Mail-Adresse zu erfolgen hat. Das Einloggen auf der Webseite des Dienstes ist lediglich für registrierte Taxiunternehmen vorgesehen. Danach kann eine Fahrt bereits nach Angabe des Abholungsorts des Nutzers gebucht werden.

Die Nutzung der Standorterkennung des Mobiltelefons oder die Angabe des Zielortes sind optional. Ebenso kann die Bezahlung durch Hinterlegung von Kreditkarteninformationen oder eines PayPal-Kontos über die App durchgeführt werden, muss aber nicht.

Nach einer Bestellung zeigt die App dem Nutzer Vorname, Nachname Mobiltelefon Nummer und Kennzeichen sowie, sofern hinterlegt, ein Foto des beauftragten Taxifahrers an. Der Taxifahrer erhält ebenfalls die im Profil hinterlegten Kontaktdaten des Nutzers, jedoch mit Ausnahme der E-Mail-Adresse. Die Zahlungsdaten des Nutzers werden dem beauftragten Taxiunternehmen jedoch nicht übermittelt. Die Abbuchung vom Zahlungsmittel des Nutzers erfolgt nämlich durch den Anbieter, somit der Intelligent Apps GmbH. Dieser leitet die Zahlung später an das Taxiunternehmen weiter.

Über die App gebuchte und durchgeführte Fahrten kann der Nutzer auch noch Monate später über sein Profil aufrufen. Interessanterweise enthält die App nunmehr Informationen, was der Nutzer vielleicht ursprünglich angegeben hat. Neben Datum, Abfahrts- und Ankunftszeit sind die Abfahrtsadresse und (selbst wenn der Nutzer diese ursprünglich nicht angegeben hat) die Zieladresse angeführt. Darüber hinaus ist auch das für die Fahrt bezahlte Entgelt samt dem verwendeten Zahlungsmittel angegeben, selbst wenn dieses in Bar geleistet wurde. Zu guter Letzt scheint auch der jeweilige Fahrer auf, jedoch ohne Kontaktdaten.

«Airbnb» ist ein Dienst, über welchen die Nutzer von Privaten⁸ angebotene Unterkünfte mieten können.⁹ Außerhalb der USA und der Volksrepublik China ist die Airbnb Ireland UC Anbieter und datenschutzrechtlicher Verantwortlicher.

Für die Registrierung sind zunächst Vorname, Nachname, Mobiltelefonnummer, E-Mail-Adresse sowie das Geburtsdatum erforderlich. Nach Übermittlung dieser Informationen ist zwar das Nutzerkonto angelegt. Bevor der Nutzer jedoch eine Unterkunft buchen kann, muss er noch ein Porträtfoto hochladen, eine Personenbeschreibung erstellen, das Geschlecht auswählen sowie den Wohnort und ein Zahlungsmittel (Kreditkarte oder PayPal) bekannt geben. Darüber hinaus muss er die Kopie eines amtlichen Lichtbildausweises übermitteln. Optional sind hingegen z.B. die Angabe einer beruflichen E-Mail-Adresse oder eines Notfallkontakts sowie der Import des Adressbuchs.

Nach Übermittlung all dieser Informationen sind Vorname und Profilbild als «öffentliches Profil» für alle Nutzer sichtbar.

Nach einer Buchung erhalten Nutzer und Anbieter Vornamen, Nachnamen und Mobiltelefonnummer des jeweils anderen sowie die Adresse der Unterkunft. Die übrigen Profildaten, insbesondere die E-Mail-Adressen, werden nicht übermittelt. Es ist also grundsätzlich vorgesehen, dass sämtliche Kommunikation zwischen Nutzer und Anbieter nach Möglichkeit über die Plattform stattfinden soll.

Die Abbuchung des Nächtigungspreises erfolgt bei Zahlungsmitteln, die außerhalb der USA, der Volksrepublik China oder Indiens ausgegeben wurden, durch die Airbnb Payments UK Ltd.

Bevorstehende und auch bereits abgeschlossene Nächtigungen kann der Nutzer jederzeit mit sämtlichen Details zu Anbieter, Unterkunft und Preis im Profil abrufen.

Nach Abschluss einer Reise hat der Nutzer die Möglichkeit, die Unterkunft zu bewerten. Die Bewertungen scheinen dann nicht nur bei der ehemaligen Unterkunft auf, sondern sind auch über das Profil des Nutzers abrufbar.

Darüber hinaus kann ein Nutzer Referenzen abgeben bzw. solche aus seinem eigenen Netzwerk anfragen und erhalten. Für einen Nutzer oder Anbieter abgegebene Referenzen erscheinen im Rahmen seines öffentlichen Profils auf.

Schließlich kann ein Nutzer Unterkünfte bzw. Reiseziele auf seiner Wunschliste setzen sowie sein Airbnb-Profil mit anderen Social-Media-Plattformen verbinden.

Das Unternehmen Haller & Felsinger GmbH bietet unter der Marke «hallermobil» vielfältige Leistungen im Bereich des Personentransports an, beispielsweise Freizeitfahrten, Krankenbeförderung, Kur- und Rehafahrten, Botendienste, Schulfahrten, Arbeits- und Regelfahrten sowie Reise- und VIP-Transfer. Das Unternehmen ist in diesem Bereich bereits seit über 30 Jahren tätig und wickelt, nach eigenen Angaben, mittlerweile etwa 2'500 Fahrten täglich mit 120 Fahrzeugen ab.

Besonders hervorzuheben ist dabei, dass «hallermobil» sich mit eigens adaptierten Fahrzeugen auf die Beförderung von Personen mit besonderen Bedürfnissen (etwa für die Absolvierung von Spitalsbesuchen) spezialisiert hat.¹⁰ Auch wenn es sich dabei um eine Spezialdienstleistung mit, auf den ersten Blick, recht eingeschränkter Zielgruppe erscheint, ist sie doch gerade bei privaten Anbietern stärker nachgefragt, als man gemeinhin annehmen würde.

Die gesetzlichen und finanziellen Vorgaben führen nämlich dazu, dass die Rettungsdienste (Wiener Berufsrettung, Rotes Kreuz ua.) die Krankenbeförderung bei nicht-akuten Fällen (beispielsweise Heimtransport eines Dialysepatienten) nicht länger kostendeckend durchführen können. Daher haben sich private Anbieter wie «hallermobil» positioniert, die anderen Vorschriften unterliegen und damit erheblich günstiger operieren können. Beispielsweise müssen im Krankentransportwagen des Roten Kreuzes zwingend ein Fahrer und ein Rettungssanitäter mit spezifischer Ausbildung mitfahren – bei «hallermobil» ist dies nicht der Fall.

Dies führt in der Praxis dazu, dass «hallermobil» zunehmend Krankenbeförderung von Rettungsdiensten übernimmt. Kunde von «hallermobil» ist bei Krankentransporten daher nicht notwendigerweise der Endkunde, also der Patient, sondern in der überwiegenden Zahl der Fälle der Rettungsdienst. Damit erhält «hallermobil» nicht nur Zugang zu den üblichen personenbezogenen Daten des Patienten, sondern mitunter auch zu dessen Gesundheitsdaten, somit zu einer nach Art. 9 DSGVO «besonderen Kategorie» personenbezogener Daten (nach der noch geltenden Rechtslage «sensible Daten»), deren Verarbeitung nur unter bestimmten Voraussetzungen zulässig ist. Darüber hinaus hat der Patient in der Regel keine Wahlmöglichkeit, mit einem bestimmten Anbieter transportiert zu werden und verliert damit ein Stück weit auch die ihm gesetzlich zugestandene Datenhoheit, somit die Entscheidungsgewalt darüber, wer welche Daten zu welchem Zweck erhält.

Bei der Nutzung der drei vorgestellten Datenanwendungen werden jeweils personenbezogene Daten zwischen Betroffenem, Verantwortlichem und gegebenenfalls einem vom Verantwortlichen herangezogenen Auftragsverarbeiter (etwa zur Abwicklung von Zahlungen bei Airbnb) transferiert. Es stellt sich daher die Frage, welche Schritte zur Umsetzung der DSGVO notwendig sind.

Den für die Verarbeitung Verantwortlichen treffen entsprechend Art. 24 und 25 DSGVO konkrete Pflichten. Der Verantwortliche muss demzufolge ab dem Ingeltungtretens der DSGVO am 25. Mai 2018 den Nachweis dafür erbringen können, dass die Datenverarbeitung entsprechend der Vorgaben der DSGVO erfolgt. Er hat dafür geeignete technische und organisatorische Maßnahmen auszuwählen, umzusetzen und zu dokumentieren. Bei der Auswahl der Maßnahmen hat er den Stand der Technik, Implementierungskosten, Art, Umfang, Umstand, Zweck der Datenverarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Diese Abstufung ist vor allem bei der Priorisierung der Ziele (zeitliche und budgetäre Planung) relevant.

Bereits bei der Beantwortung der Frage, welche Datenarten konkret zu welchem Zweck erhoben werden, stehen Unternehmen derzeit regelmäßig vor Problemen, insbesondere auf Grund der weit verbreiteten Praxis, im Zweifel mehr Daten zu mehr Zwecken zu erheben und zu verarbeiten, als zwingend erforderlich.

In den AGB von «mytaxi»¹¹ beispielsweise, wird zwar genau dargestellt, zu welchem Zweck welche Daten übermittelt werden. Warum manche, nicht für die Übermittlung vorgesehene Daten aber überhaupt erhoben werden, wird jedoch offen gelassen. Einen anderen Weg geht Airbnb in ihrer Datenschutzerklärung.¹² In dieser werden detailliert die Zwecke für die Erhebung und die Weitergabe aller Daten angeführt. Die genannten Zwecke sind jedoch so weit gefasst, dass diese alle möglichen Szenarien abdecken, insbesondere nicht nur zwingend für die Diensterbringung erforderliche, sondern auch optionale, für welche eigentlich eine gesonderte Zustimmung eingeholt werden müsste. So behält sich Airbnb z.B. in Punkt 4.1 ihrer Datenschutzerklärung das recht vor, die zwischen Nutzern und Anbietern über die Plattform geführte Kommunikation zu analysieren «zur Betrugsprävention, zur Risikobewertung, zur Einhaltung gesetzlicher Vorschriften, zu Ermittlungszwecken, zur Produktentwicklung, zu Forschungszwecken sowie zu Zwecken des Kundendienstes».

Bemerkenswert, derzeit jedoch weitverbreitet, ist auch jegliches Fehlen von Informationen, wann Daten über bereits erfolgte Bestellungen und Transaktionen gelöscht werden.

In der Beratung beginnt man daher mit einer Erhebung des IST-Standes, in der unter anderem folgende Themen zu klären sind:

• Rollendefinition von Verantwortlichem und Auftragsverarbeiter
• Verarbeitung personenbezogener Daten (automatisiert, nicht-automatisiert), besondere Kategorien
• Analyse der Datenanwendungen anhand einer Mindmap

Ausgehend von dieser Erhebung können gemeinsam mit dem Verantwortlichen weitere Schritte festgelegt werden. Dies umfasst zunächst den Aufbau und die regelmäßige Wartung eines Verarbeitungsverzeichnisses, in der Datenarten, Zwecke der Verarbeitung aber auch die Speicherdauer und Löschfristen festgelegt werden. Gegebenenfalls erfolgt auch die Bestellung eines Datenschutzbeauftragten und die Durchführung einer Folgeabschätzung. Ein Datenschutzbeauftragter ist beispielsweise im Fall von erforderlich Profiling erforderlich, das ist nach Art. 4 Z 4 DSGVO die automatisierten Verarbeitung personenbezogener Daten um bestimmte persönliche Aspekte des Betroffenen zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Bei Mobilitätsdiensten liegen die dafür erforderlichen Daten zumindest vor.

Zur Umsetzung der in den Art. 24 und 25 DSGVO vorgegebenen technischen und organisatorischen Maßnahmen zählen aber auch die standardmäßige Übernahme von datenschutzfreundlichen Voreinstellungen (privacy by design, privacy by default), Mitarbeitertraining, effektive Vorkehrungen gegen Datenschutzverletzungen und die richtige Vorgehensweise im Schadensfall.

Weiters sind im Sektor der Betroffenenrechte (beispielsweise Auskunftsanspruch, Löschungsrecht) abzuklären, ob bestimmte Informationspflichten zu erfüllen sind, wie die Zustimmungserklärung abgespeichert wird und ob Profiling Gegenstand der Datenanwendung ist. Diese Maßnahmen sind entsprechend zu dokumentieren und in regelmäßigen Abständen erneut zu evaluieren.

Zu den organisatorischen Maßnahmen, die ein Unternehmen zur Umsetzung der DSGVO treffen kann, zählen unter anderem die Auswahl einer geeigneten Versicherung, Erstellung/Überarbeitung von IT- und Sicherheitsrichtlinien, Aufbau eines Speichers bezüglich der Dokumentationspflichten (Verarbeitungsverzeichnis, etc.), Prozessoptimierung (Checklisten, Organigramme, udgl.) sowie Datenschutz- und Sicherheitstrainings für Mitarbeiter. Anhand des «Information Lifecycle» lässt sich praxisorientiert nachvollziehen, wie die Datenverarbeitung im Unternehmen funktioniert und welche weiteren Themen zu beachten sind.

Die technische und organisatorischen Schritte werden üblicher Weise durch rechtliche Maßnahmen ergänzt, um die DSGVO-konforme Datenverarbeitung bestätigen zu können. Dabei werden von Verantwortlichen oft auch Zertifizierungen gewünscht. Dazu sei auf den ebenfalls im Rahmen der IRIS 2018 vorgestellten Beitrag zur normenkonformen Zertifizierung des Datenschutzbeauftragten verwiesen. Es sind neben der praktischen Abstimmung zwischen Verantwortlichem und Auftragsverarbeiter AGBs und ähnliche Vereinbarungen mit Kunden zu überprüfen, gegebenenfalls Dienstverträge mit Mitarbeitern abzuändern (Geheimhaltungsvereinbarung, Verantwortung, Meldepflicht, Schadensmilderungspflicht im DHG).

Bei den Mobilitätsdiensten ist daher die Vielfalt der Datenkategorien dafür ausschlaggebend, welche konkreten Maßnahmen die Betreiber ergreifen werden. Apps sind dafür bekannt, mehr Daten zu verarbeiten, als für die Diensteerbringung unbedingt notwendig ist – hier sind also in absehbarer Zeit erhebliche Änderungen zu erwarten. Es ist durchaus verständlich, dass die Apps beispielsweise Vor- und Nachnamen, Adresse und Telefonnummer verarbeiten. Hierzu sind aber, derzeit noch nicht ersichtliche konkrete Löschfristen festzulegen. Weitere Datenkategorien (z.B. Profilbild des Nutzers, Referenzen, Reisehistorie, Präferenzen, Zahlungsmittel einer bereits abgewickelten und nicht beanstandeten Transaktion sowie etwaige Gesundheitsdaten) sind für die Diensteerbringung höchsten beschränkt und nach der Diensteerbringung jedenfalls nicht mehr notwendig und damit bestenfalls optional. Es wird daher besonders interessant sein zu sehen, welche der an sich optionalen Daten einzelne Anbieter nach dem 25. Mai 2018 mit welcher Begründung immer noch als «erforderlich» ansehen werden.

«Praktisch, diese Apps», denke ich, nachdem ich aus dem Taxi ausgestiegen bin und der Wagen langsam in der Dunkelheit verschwindet. «Fein, dass ich mich dank eines DSGVO-konformen Anbieters darauf verlassen kann, dass meine Daten sicher sind!»

Ziel der DSGVO ist eine möglichst konsumentenfreundliche Datenverarbeitung, die beispielsweise durch Datenportabilität oder datenschutzfreundliche Voreinstellungen abgebildet wird. Vor allem aber sind die Datenverarbeiter, in der DSGVO treffender Weise als «Verantwortliche « bezeichnet, nun primär selbst dafür verantwortlich, die Zulässigkeit ihrer Datenanwendungen und die Angemessenheit der von ihnen ergriffenen technischen und organisatorischen Maßnahmen zu beurteilen. Die Verantwortlichen haben dabei viele weitere Auflagen zu erfüllen, auf die im Rahmen dieses Beitrags nicht näher eingegangen wurde (etwa eingeschränkte Verarbeitung in Drittländern).

Die Einhaltung der DSGVO-konformen Verarbeitung wird auch künftig von Aufsichtsbehörden überprüft, die nun aber zusätzliche Befugnisse (erweiterte Kontrollrechte, Festlegung von Strafen) erhalten und international besser vernetzt werden.

Alles in Allem stellt die DSGVO mit der Verknüpfung der rechtlichen Datenschutzerfordernisse mit der Ergreifung und Dokumentierung entsprechender technischer und organisatorischer Maßnahmen zum Schutz ebendieser Daten einen bedeutenden Schritt in Richtung eines ganzheitlichen Datenschutzansatzes dar. Offen bleibt, wie gut und rechtskonform die Verantwortlichen die erforderlichen Maßnahmen bis zum Stichtag 25. Mai 2018 ermitteln und umsetzen können. Offen ist auch, in welchem Detailgrad und wann Empfehlungen der nationalen Aufsichtsbehörden sowie Verhaltensregeln nach Art. 40 DSGVO Gegebenenfalls sind nach einer genauen Analyse weitere gesetzliche Verpflichtungen für Mobilitätsdienstleister vorzuschlagen, um einen punktgenauen Schutz der personenbezogenen Daten, insbesondere der Bewegungsmuster der Nutzer gewährleisten zu können.