Das Online Schnäppchenportal Groupon hat in letzter Zeit für gemischte Schlagzeilen gesorgt. Nun wurde der Dienst in den USA wegen seiner neuen Datenschutz Policy vor einem Kongress-Ausschuss zur Stellungnahme aufgefordert.
Der Inhalt im Überblick
Groupon in den Schlagzeilen
Vor dem geplanten Börsengang in den USA musste auf Druck der Börsenaufsicht SEC mehrfach der Prospekt geändert werden und auch im dritten Jahr nach Gründung verzeichnet Groupon weiterhin nur Verluste (so 117 Mio. USD Betriebsverlust 01/2011 und 102, Mio. USD Betriebsverlust 02/2011). Analysten warnen bereits vor einer neuen Internetblase.
Auch Konkurrenzanbieter wie Licving Social planen den Börsengang. Google, die noch im im Novemeber 2010 mit einem Übernahmeangebot von 6 Mrd. USD an Groupon gescheitert sind, hat mittlerweile mit Google Offers ein eigenes Angebot gestartet und den Konkurrenzanbieter The Dealmap gekauft.
Privacy Caucus
Doch auch von anderer Seite droht dem Onlinedienst Ungemach. Wie das Washingtoner Magazin The Hill berichtet, musste das Mutterunternehmen in den USA über seine neue Datenschutz Policy vor dem dem Datenschutz-Ausschuss (Privacy Caucus) des US-Representantenhaus Rechenschaft abgeben. Hintergrund war die Sorge der Abgeordneten, dass der Aspekt des Datenschutzes unter dem hohen Wachstumstempo Groupons leiden könnten.
„Because it is growing at such a fast pace, I fear for the potential misuse of consumers‘ personal information as more partnerships are created,“ ,
so der Ausschussmitglied Joe Barton.
Zu diesem Zweck legte der Ausschuss Groupon eine Liste mit 10 Fragen vor, die Groupon mit Schreiben vom 10. August 2011 beantwortete. Größte Sorge bereiten den Parlamentariern offenbar die Ortungsfunktion und die Zusammenarbeit mit externen Dienstleistern.
Geolocation
Groupon versteht nach eigenen Angaben die Ortung der Nutzerdaten als wesentliches Mittel um den Dienst für die Nutzer zu optimieren. Wie bei anderen Diensten auch, kann Groupon Standortdaten von registrierten Nutzer ständig überwachen um ihnen ggf. Deals in nächster Nähe zukommen zu lassen. Zwar geschieht dies (derzeit) nach Angaben von Groupon nur, wenn Nutzer die App oder die Website nutzen. Da dies von Kunden gewünscht sei, plane man zukünftig aber einen Dienst, der Geodaten ständig ortet um auch uneingeloggten Kunden Angebote per Push-Dienst oder E-Mail zukommen zu lassen.
In der Praxis sieht das so aus, dass – abhängig vom mobilen Betriebssystem (Aplle iOs, Google Android, RIM BlackBerry OS) – der Nutzer generell bzw. bei Installation des mobilen Dienstes seine Einwilligung in die Verarbeitung der lokalen Standortdaten durch Groupon erteilt (s. Anhang IV der Stellungnahme von Groupon). Findet sich ein enstprechendes Angebot eines Händlers in der Nähe des Kunden, erhält dieser eine automatische Nachricht.
Form der Einwilligung ausreichend?
Die Einwilligung ist der Passpartout im Datenschutzrecht. Mit ihr kann man grundsätzlich jeden Eingriff rechtfertigen – schließlich hat man es mit erwachsenen Menschen zu tun und staatliche Patronage soll irgendwo ein Ende finden. Die Einwilligung bedarf nicht zwingend der Schriftform des §4a I 3 BDSG, ausreichend ist die elektronische Form bei Online- oder Telekommunikationsdiensten, (§13 II TMG; §94 TKG). So auch bei der Ortung zur Verarbeitung der Nutzerdaten.
Zwar kann es für einen Dienst sinnvoll sein, wenn Geodaten der Nutzer abgerufen und verarbeitet werden. Doch muss die Frage erlaubt sein, ob die Form der Einwillung für derart sensible Daten ausreichend ist. Denn per Geodaten kann der Dienst neben einem Nutzer- auch ein umfassendes Bewegungsprofil erstellen. Und dies, wie Groupon in der Stellungnahme einräumt, problemlos auch dann, wenn der Dienst vom Nutzer gar nicht aufgerufen wird (Punkt 4. der Stellungnahme). In jedem Fall weiß der Dienst ständig, wo sich die einzelnen Nutzer aufhalten. Die Speicherung der Daten soll angeblich nicht erfolgen, ist aber ohne weiteres möglich. Wer letztlich die Daten verarbeitet, der Dienst selbst oder beauftragte Dritte, ist für den Nutzer nicht erkennbar. Auch ist unklar, welche Schritte der Dienst gegen Missbrauch bei ihm oder dritten Dienstleistern unternimmt und ob die gesetzlichen Erfordernisse technisch-organisatorischer Art tatsächlich eingehalten werden.
Die Frage ist, ob sich der Nutzer der Möglichkeiten und der Konsequenzen Dienstes überhaupt bewusst ist, wenn er lediglich den Opt-Out-Button bei der Installation der App anklicken muss. Denn eine freie und bewusste Entscheidung kann der Nutzer nur treffen, wenn er nicht einseitig über die Möglichkeiten informiert wird, die der Dienst bietet sondern auch tatsächlich über die möglichen Gefahren und konkreten Umstände der Verarebitung aufgeklärt wird.
Fazit des Ausschusses
Die Ausschussmitglieder in den USA kommen zu einer ähnlichen Einschätzung. Zwar seien aufgrund der Stellungnahme derzeit keine Gesetzesinitiativen oder Eilmaßnahmen für erforderlich. Allerdings ist die Besorgnis auch nach Stellungnahme von Groupon nicht ausgeräumt.
Es sei angemessen, dass Groupon ein derartiges Lokalisierungstool nutze, wenn der Nutzer dies für bestimmte Zwecke wünsche. Dennoch sei eine weitere Beobachtung von Groupon notwendig. Mit Blick auf die ganze Branche führt das Ausschussmitglied Markey aus:
„As Groupon continues to evolve, it will be critical that it does not place a discount on privacy. Transparent, easily understandable privacy policies and practices are key here, and I will continue to monitor this rapidly developing area of the industry.“
Allein die Tatsache, dass es eines Ausschusses bedarf um die offenen Fragen zum Umfang und der Nutzung der erhobenen Daten aufzuklären, belegt dass das Verfahren für den einzelnen Nutzer weder transparent noch leicht verständlich ist. Umfang und Art der Nutzung seiner Daten durch den Dienst sind ihm auch nach Lesen des Privacy Statenents unklar. Die Entscheidung, die der Nutzer trifft ist folglich nur die: entweder den Dienst nutzen zu könnnen oder nicht.
Bedenkt man dabei noch, dass ein Dienst wie Groupon vom eigene Wachstum selbst überrollt wird und unklar ist, wie das rasante organisatorisch überhaupt bewältigt werden kann, scheinen Datenschutzlücken – auch ungewollte – unausweichlich.
