Kategorien
Neueste Beiträge
Datenschutzkonformer E-Rollerverleih
Nicht nur Kinder haben Spaß am Roller als Fortbewegungsmittel. Auch Erwachsene auf Rollern sind keine Ausnahme mehr. Inzwischen gibt es immer mehr Unternehmen, bei denen Rollerfahrer sich solch ein Gefährt ausleihen können. Meist geschieht dies über eine App. Sieht so ein datenschutzkonformer E-Rollerverleih aus?
Verleihbüros? Überflüssig!
Wir alle kennen noch die Fahrradverleihbüros, aber wer hat einen solchen schon für (Elektro-)Roller (auch: [E-]Scooter) gesehen?! Wer sich heutzutage solch ein Gerät ausleihen möchte, kann dies in vielen Städten mithilfe einer App machen.
Verleih über App
Und dabei kommen wir auch schon auf das erste Problem mit Bezug zum Datenschutz. Zum einen benötigen Nutzer zuallererst überhaupt ein Smartphone. Das hat nicht jeder. Zum anderen kann man besagte App nur über beispielsweise eine Samsung-App, den Google Playstore, Apple Store o. Ä. herunterladen. Hat ein Nutzer die App heruntergeladen, sammeln dann nicht nur der Anbieter der App, sondern auch Dritte, fleißig die personenbezogenen Daten (Quelle).
Verarbeitung personenbezogener Daten bei Nutzung der App
Um solch einen Roller nutzen zu können, müssen Interessenten sich online – beispielsweise über eine App – registrieren. Dies bedeutet, dass personenbezogene Daten wie
1) Vor- und Nachnamen,
2) E-Mail-Adresse,
3) Telefonnummer sowie
4) Zahlungsdaten.
durch das Verleihunternehmen verarbeitet werden. Um den für gefahrene Kilometer oder Mietdauer zu zahlenden Betrag errechnen zu können, benötigt der Anbieter dann die Nutzungsdaten. So verarbeitet er dann die Standortdaten, schon um zu wissen, wo sich seiner Fahrzeuge befinden und um dies interessierten Nutzern in der App anzeigen zu können. Soweit die Daten zu Abrechnungszwecken erforderlich sind, ist die Notwendigkeit der Verarbeitung dieser personenbezogenen Daten zur Erfüllung der vertraglichen Zahlungspflicht ersichtlich. Die Standortdaten können nach Ende des Mietverhältnisses im Rahmen des berechtigten Interesses, daran zu wissen, wo die eigenen Fahrzeuge sind, um sie weiter zu vermieten, zu warten oder ins Winterquartier zu bringen, verarbeitet werden (Art. 6 Abs. 1 lit. f) DSGVO).
Device Fingerprinting und Cookies
Allerdings bleibt es nicht bei der Verarbeitung der Standortdaten zum Beginn und zum Ende der Reise, sondern der gesamte Bewegungsverlauf wird meist dokumentiert. Darüber hinaus sammeln die App-Betreiber gegebenenfalls auch mithilfe des Device Fingerprinting und der Cookies weitere personenbezogene Daten. Diese Kategorien der personenbezogenen Daten hängen mit dem eigentlichen Verleih eventuell gar nicht mehr zusammen. Je nach Art der beispielsweise eingesetzten Cookies verfolgen Anbieter dann,
1) wie Nutzer sich im Internet bewegen,
2) welche Webseiten sie besuchen,
3) wo sie wie oft und wann ihre Freizeit verbringen,
4) mit wem sie die Zeit verbringen,
5) wo sie arbeiten und wo sie wohnen usw.
Die in Folge dessen erfassten Daten können dazu dienen, ein umfangreiches Nutzerprofil zu erstellen. – Mehr zum Thema Cookies können Interessenten in unseren folgenden Beiträgen erfahren: „Datenschutz: Manche Cookies kosten“, „Cookies – Bußgelder beim Einsatz vermeiden“, “Cookies – Einwilligung oder berechtigtes Interesse”, “BGH: Cookie-Einwilligung von Webseiten“. – Die Daten, die App-Betreiber dabei erfassen, gehen im überwiegenden Maß weitaus darüber hinaus, was für die Abwicklung des Vertrages gemäß Art. 6 Abs. 1 lit. b) DSGVO des E-Rollerverleihs notwendig ist.
Beim Einsatz von Device Fingerprinting und Cookies ist allerdings zu beachten, dass diese nur zum Einsatz kommen dürfen, wenn eine dokumentierte Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO i. V. m. Art. 7 DSGVO der jeweiligen betroffenen Person, also dem Nutzer, vorliegt, sofern diese nicht tatsächlich technisch notwendig sind.
Bezahlung in Form von Geld und Daten
Zugegeben, heutzutage ist der Handel mit personenbezogenen Daten eine gewinnbringende Geldquelle. So zahlen E-Rollerfahrer im Zusammenhang mit der Nutzung der App nicht nur in Form von Geld für die eigentliche Ausleihe des Rollers. Der Preis steigt durch die Zahlung mit ihren Daten.
Dabei wissen die Nutzer eventuell nicht, was mit ihren Daten passiert und können dies nicht kontrollieren. Dies, obwohl Art. 5 Abs. 1 lit. a) DSGVO die Transparenzpflicht vorschreibt und in Art. 13 DSGVO umfangreiche Informationspflichten geregelt sind. Nach einem Bericht von netzpolitik.org e. V. (Link) landen Daten dann bei Unternehmen wie Meta (ehemals: Facebook, Inc.) und Paypal und somit auch in den USA, sofern die Unternehmen sich nicht dafür entscheiden, die personenbezogenen Daten von EU-Bürgern in der EU zu belassen. Dabei müsste dann übrigens auch ein Zugriff durch den Hauptsitz in den USA, aktuell als unsicheres Drittland geltend, ausgeschlossen sein. So ist beispielsweise das EuGH-Urteil „Schrems II“ und Art. 44 ff DSGVO zu beachten. – Näher auf das „Schrems II“-Urteil eingegangen sind wir auch schon in unserem Beitrag „EU-US Privacy Shield: Hilfe für Unternehmen?„. –
Datenschutzkonforme Lösungen
Wenn sich ein Unternehmen nun doch für das Geschäftsmodell des Verleihs solcher Fortbewegungsmittel entscheidet, gibt es auch datenschutzkonformere Lösungen:
Variante 1: Datenschutzkonforme App
Eine datenschutzkonforme App könnte u. a. wie folgt aussehen:
Verarbeitung ausschließlich der für die Vertragserfüllung notwendigen personenbezogenen Daten
Die Möglichkeit, einen E-Roller über eine App auszuleihen ist natürlich sehr bequem. Nutzer müssen sich nicht in ein physisches Ausleihbüro begeben, wo sie eventuell auch anstehen müssen. So können sie beginnen, den Roller sofort von dort aus zu nutzen, wo er eben steht bis zu dem Ort, wo die Fahrt enden soll: direkt vor der Arbeitsstelle, der Haustür, dem Treffpunkt mit Freunden, dem Bahnhofseingang usw. Demnach könnte eine App so aufgebaut sein, dass der App-Betreiber tatsächlich nur die personenbezogenen Daten erhebt, die er zum Verleih des Rollers verarbeiten muss. Möchte der Anbieter personenbezogene Daten über das vertraglich erforderliche Maß hinaus verarbeiten, kann dies nur auf Grundlage einer freiwilligen und informierten Einwilligung nach Art. 7 DSGVO erfolgen – es ist dem Nutzer tatsächlich frei zu stellen, ob er seine Daten dafür nutzen lassen möchte. Die App muss jedoch dennoch funktionieren, wenn der Nutzer optionale Cookies, Device Fingerprinting etc. ablehnt.
Keine Datenübermittlung in ein unsicheres Drittland
Auch wäre darauf zu achten, eine Datenübermittlung in ein unsicheres Drittland idealerweise zu unterbinden.
Datenschutzfreundliche Technikgestaltung und Voreinstellungen
Bei der Entwicklung der App wäre zu beachten, dass diese schon mit dem Datenschutz im Blick entwickelt wird (Art. 25 Abs. 1 DSGVO). Kommt es dann zur Nutzung der App, empfehlen wir, datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO). – In unserem Beitrag „Datenschutz: Technikgestaltung und datenschutzfreundliche Voreinstellung“ gehen wir näher auf dieses Thema ein. –
Variante 2: Einsatz einer Nutzungskarte
Eine weitere Möglichkeit bestünde in der Nutzung mithilfe einer Karte. Zu Beginn wird der Roller mithilfe dieser Karte entschlüsselt. Um die Fahrt und damit den „Gebührenzähler“ zu beenden (sozusagen wie ein Taxameter), kommt die Karte erneut zum Einsatz. Die Bezahlung wäre möglich aufgrund einer Prepaid- oder Flatrate-Variante o. Ä.
Variante 3: Sofortige Zahlung durch Bankkarte
Ähnlich wie die Option einer Nutzungskarte könnte auch die sofortige Zahlung mithilfe einer Bankkarte vorzunehmen sein. Das Kartenlesegerät würde sich dann direkt am Roller befinden, natürlich in leichter und platzsparender Form.
Vereinfachung von Prozessen
Viele inzwischen erwachsene Menschen sehen den Roller als beliebtes Fortbewegungsmittel aus ihrer Kindheit. Im Zuge des wandelnden Bewusstseins gewann der Roller in den letzten Jahren in Form des E-Rollers an neuer Bedeutung als eine weitere Variante von Fortbewegungsmitteln. Willkommen sind also auch die Unternehmen, deren Geschäftsmodell durch den E-Rollerverleih definiert wird. Um bürokratische Prozesse dabei zu vereinfachen, findet die eigentliche Geschäftsabwicklung inzwischen über das Internet statt. Damit können allerdings neue mögliche Gefahrenquellen für unrechtmäßige Datenverarbeitungen entstehen, die es zu vermeiden gilt.
Datenübermittlungen, Schutzmaßnahmen, Dokumentation
Einrichtungen, die einen E-Rollerverleih betreiben, sollten sich also u. a. folgende Fragen stellen, um dann idealerweise eine datenschutzkonforme Verarbeitung personenbezogener Daten möglichst gewährleisten zu können:
1) Wo befinden sich die Server-Standorte, auf denen die personenbezogenen Daten gespeichert werden?
2) Finden eine Übermittlung personenbezogener Daten in ein Drittland statt? Handelt es sich bei den Drittländern auch um unsichere Drittländer?
3) Welche technischen und organisatorischen Maßnahmen sind vonnöten, um den Schutz und die Sicherheit der personenbezogenen Daten möglichst erreichen zu können?
4) Welche datenschutzrechtlich relevanten Verträge sind seitens des Anbieters mit seinen Dienstleistern abzuschließen (Auftragsverarbeitungsvertrag, Vertrag zur gemeinsamen Verantwortlichkeit)?
5) Welche Einwilligungsmöglichkeiten für etwaige Datenverarbeitungen, die über Art. 6 Abs. 1 lit. b) DSGVO oder Art. 6 Abs. 1 lit. c) DSGVO hinausgehen, sind notwendig (siehe auch § 25 TTDSG und hier)?
Es gibt noch mehr Fragen, die es zu beantworten gilt. Was hierbei aber ersichtlich wird, ist, dass eine datenschutzkonforme Verarbeitung personenbezogener Daten im Zuge des Verleihs stattfinden muss.
Fazit
Zur datenschutzkonformen Verarbeitung personenbezogener Daten im Zuge eines Verleihs – egal, ob digital oder als klassisches Verleihbüro – beraten wir Sie gern. So können wir Sie bei der Erstellung der Datenschutzdokumentation unterstützen. Wir können Ihnen helfen, einzuschätzen, welche technischen und organisatorischen Maßnahmen zu ergreifen sein können. Es besteht auch die Möglichkeit der Unterstützung bei der Durchführung einer etwaigen Datenschutz-Folgenabschätzung. Kontaktieren Sie uns für ein kostenfreies Erstgespräch: So erfahren wir, inwiefern Sie zum Datenschutz Unterstützung wünschen, um für Sie ein unverbindliches Angebot erstellen zu können.
