Carsharing – Bleibt der Datenschutz auf der Strecke?

Carsharing wird immer beliebter, gerade in Ballungsräumen. Doch die eingesetzten Autos werden umfassend getrackt – und erzeugen zum Teil sekundengenaue Bewegungsprofile. Bleibt hierbei der Datenschutz sprichwörtlich auf der Strecke?

Was ist Carsharing?

Carsharing stellt letzten Endes eine Variante der Autovermietung dar. Der Anbieter platziert ein gewisses Kontingent an Fahrzeugen im Einsatzgebiet, meistens eine Stadt. Die Nutzer können dann über eine App herausfinden, wo aktuell ein fahrbereites Fahrzeug steht. Hat der Nutzer sich für eins entschieden, kann er es direkt über die App mieten, bezahlen und freischalten. Nach Ende der Benutzung stellt man das Fahrzeug einfach wieder am Straßenrand ab.

Auf diese Weise ist der Nutzer flexibler, da er das Fahrzeug nicht am Sitz des Vermieters abholen und dorthin zurückbringen muss. Das bedeutet auf der anderen Seite, dass keine „gewöhnlichen“ Fahrzeuge eingesetzt werden können.

Mittels eines eingebauten E-Steuerungsmoduls ist das Fahrzeug per Datenverbindung und GPS-Ortung auffind- und steuerbar (v.a. die Türverriegelung). Darüber hinaus protokolliert es sämtliche Daten, die in Verbindung mit dem Führen des Fahrzeuges stehen.

Verurteilung dank sekundengenauem Tracking

Die Schattenseiten der per App buchbaren Mietwagen musste ein Nutzer letztes Jahr am eigenen Leib erfahren. Er hatte während der Fahrt mit einem Fahrzeug der Firma BMW einen Verkehrsunfall verursacht. Der andere Unfallbeteiligte starb kurz darauf im Krankenhaus. Das LG Köln (Urteil vom 24.05.2016, Az.: 113 KLs 34/15) verurteilte ihn wegen fahrlässiger Tötung zu einer Freiheitsstrafe von 2 Jahren und 9 Monaten.

Bei der Überführung des Täters kam dem Gericht das E-Steuerungsmodul zur Hilfe. Auf Anforderung der Staatsanwaltschaft Köln gab BMW die vom Gerät erzeugten sog. Log-Dateien an einen Sachverständigen heraus. Dieser rekonstruierte aus den Daten einen z.T. sekündlichen Geschehensablauf der Tat. Die Sachverhaltsdarstellung des Urteils strotzt daher auch nur so vor minutiösen Beschreibungen der fraglichen Fahrt mit den Mietwagen:

Der Angeklagte befuhr zunächst die P-Straße, wo er sein Fahrzeug auf 57,8 km/h beschleunigte, bevor er – nach Verringerung der Geschwindigkeit auf rund 25 km/h – an der grünes Licht zeigenden Lichtzeichenanlage nach links auf die zweispurige S-Straße abbog. Dort beschleunigte er das Fahrzeug auf der rechten Spur bis zum Erreichen einer Geschwindigkeit von 95,5 km/h um 20:12:19 Uhr wiederum stark. […] Um 20:12:28 Uhr kamen der Angeklagte und der Zeuge S1 nebeneinander an einer Rotlicht zeigenden Lichtzeichenanlage an der Kreuzung S-Straße/G-Straße zum Stehen. Nach Beendigung der Rotphase fuhr der Angeklagte auf die Kreuzung S-Straße/E-Straße (F-Platz) zu, wobei er um 20:12:58 Uhr kurzzeitig eine Geschwindigkeit von 72,9 km/h erreichte, die er vor Erreichen des F-Platzes auf rund 30 km/h verringerte.

Bleibt der Datenschutz auf der Strecke?

Wie detailliert die Daten waren, zeigt sich auch darin, wie das Gericht die Auskünfte des Sachverständigen überprüft hat:

Hierfür hat die Kammer eine Vielzahl verschiedener, den Log-Dateien zu entnehmender Längen- und Breitengrade beim Kartendienst „Google Maps“ eingegeben und mit den hiervon jeweils gefertigten Ausdrucken eine graphische Darstellung des Fahrtverlaufs samt – handschriftlich eingetragener – Uhrzeiten und Geschwindigkeiten erstellt. Diese wurde in der Hauptverhandlung verlesen sowie in Augenschein genommen und stimmt mit den Ergebnissen der vom Sachverständigen vorgenommenen Auswertung überein.

Diese Ausführungen zeigen, dass bei Benutzung von Carsharing mindestens temporär ein nahezu umfassendes Bewegungsprofil über das Fahrzeug erzeugt wird.

Dieses lässt sich wiederum dank des digitalen Buchungssystems auch problemlos mit dem Fahrer verknüpfen. Besonders pikant: Im oben angesprochenen Fall war BMW auch nach über einem Jahr noch in der Lage, die Log-Dateien herauszugeben. So lange dauerte es nämlich, bis die Staatsanwaltschaft ihr Gesuch auf Herausgabe stellte.

Es stellt sich daher die Frage: Ist die Erhebung und Speicherung durch BMW datenschutzrechtlich in dieser Form überhaupt zulässig?

Erlaubnistatbestand für das Bewegungsprofil

Nach § 4 I BDSG bedarf es bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten entweder eines Erlaubnistatbestandes oder einer informierten Einwilligung des Betroffenen. Als Erlaubnistatbestand kommt § 28 I S. 1 Nr. 2 BDSG in Betracht. Er erlaubt das Erheben, Verarbeiten und Nutzen zur Erfüllung eigener Geschäftszwecke, wenn

• es zur Wahrung berechtigter Interessen der verantwortlichen Stelle (hier BMW) erforderlich ist und
• kein überwiegendes schutzwürdiges Interesse des Betroffenen am Ausschluss der Verarbeitung vorliegt.

Die Erhebung, Speicherung und Nutzung an sich dürfte unproblematisch der Erfüllung eigener Geschäftszwecke, genauer der Anbietung des Carsharing-Service, dienen. Für einen gewissen Teil lässt sich auch ein berechtigtes Interesse seitens BMW bejahen. Denn beim Carsharing verteilen sich die Fahrzeuge zwangsweise mit der Zeit „wild“ im Einsatzgebiet. Der Betreiber muss daher erfahren können, welches Auto, wo, seit wann steht. Zudem ist die Erfassung der Nutzungszeit elementar für die Abwicklung des Mietvertrages. Die meisten Anbieter, so auch BMW, rechnen die Grundmietgebühr auf Minutenbasis ab.

Spätestens aber bzgl. der umfassenden Bewegungserfassung (Beschleunigung, Bremsvorgänge, Lenkradbewegung etc.) dürfte wiederum ein schutzwürdiges Interesse des Betroffenen überwiegen. Denn dies ist grundsätzlich zur Abwicklung des Mietvertrages nicht erforderlich. Er kann und muss also nicht damit rechnen, dass seine Fahrt sekundengenau und über einen längeren Zeitraum nachvollzogen werden kann.

Informierte Einwilligung aufgrund der AGB

Es könnte diesbezüglich eine informierte Einwilligung seitens des Betroffenen vorliegen. Dann wäre auch dieser Teil der Datenerhebung erlaubt. In Betracht kommt eine Erlaubnis über die Akzeptanz der Allgemeinen Geschäftsbedingungen des Carsharing-Service. Hierzu müsste der Anbieter seine Sammelpraxis in den AGB erläutern. Ein Blick in die AGB von BMW lässt aber keinen Schluss darauf zu. Auszug (Stand 13.06.2017):

15.1. DriveNow ist berechtigt, Ihre personenbezogenen Daten einschließlich der kundenbezogenen Nutzungs- und Fahrzeugdaten (einschließlich Daten zur Lokalisierung des Fahrzeugs) zu erheben, zu verarbeiten und zu nutzen, soweit dies zum Zweck der Durchführung des DriveNow Rahmenvertrages und der Einzelmietverhältnisse erforderlich ist. Die einzelnen Mietvorgänge werden mit Start- und Zielort, Start- und Zielzeitpunkt, Dauer der Nutzung erfasst und in der Rechnung aufgeführt.

15.2. DriveNow behält sich vor, Nutzungs- und Fahrzeugdaten (einschließlich Daten zur Lokalisierung des Fahrzeugs) zu erheben, zu verarbeiten und zu nutzen, soweit dies zum Zweck der Ermittlung und Behebung von Fehlern oder Störungen, zur Ermittlung und Abwicklung von Regressansprüchen oder zur Weiterentwicklung der DriveNow Dienste erforderlich ist. Soweit möglich, werden die Nutzungs- und Fahrzeugdaten zu vorgenannten Zwecken getrennt von Ihren Vertragsdaten verarbeitet, so dass nur in begründeten Ausnahmefällen […] ein Rückschluss auf Sie als Fahrer möglich ist. […]

15.6. Die anzumietenden Fahrzeuge werden durch den Einsatz von Floating Car Data (FCD) als „mobile Verkehrsmelder“ eingesetzt. Die während der Fahrt ermittelten, individuellen Positions- und Sensordaten der Fahrzeuge werden zusammen mit den aktuellen Zeitangaben anonymisiert an die BMW ConnectedDrive Zentrale und einen Verkehrsservice Provider übertragen. […]

15.8. DriveNow schaltet im Zusammenhang mit den in Ziffer 15 genannten Datenverwendungen beauftragte Dienstleister ein, welche personenbezogene Daten ausschließlich nach Weisungen und unter Kontrolle von DriveNow verarbeiten.

Ist Carsharing datenschutzkonform möglich?

BMW muss hier zugutegehalten werden, dass sie den Nutzer über den Sensoreinsatz im Allgemeinen umfassend aufklären. Aus den obigen Formulierungen lässt sich aber nicht ableiten, dass die Einzeldaten – theoretisch jederzeit – zu einem umfassenden Bewegungsprofil verbunden werden können.

Ebenso wenig ist ersichtlich, wie lange die Daten gespeichert werde bzw. wie lange sie kombiniert werden können. Insofern kann eine informierte Einwilligung in diesen Teil der Datenerhebung, -verarbeitung und -nutzung nicht stattfinden. Sie ist daher in dieser Form rechtswidrig.

Dabei wäre eine strikte Trennung der Datensätze und ein unverzügliches, auch automatisiertes, Löschen der Daten nach erfolgter Abbrechnung des Mietzeitraumes problemlos möglich. Eine Speicherung von einem Jahr wie im obigen Fall ist in jedem Fall unverhältnismäßig.

Im Ergebnis kann man dem LG Köln nicht vorwerfen, die angefallenen Daten auch genutzt zu haben. BMW (und ähnliche Carsharing-Anbieter) sollten jedoch ihr Verhalten bzgl. der erhobenen Nutzerdaten überdenken. Bis dahin sollten sich Carsharing-Nutzer des potentiellen Trackings bewusst sein, wenn sie das nächste Mal einen Pkw per App mieten.