Dem Gericht wurden Fahrerdaten übermittelt. Doch eigentlich sollte DriveNow diese Daten gar nicht speichern.
Der Fall sorgt gerade für allgemeine Verwirrung: Ein Student hat vergangenes Jahr einen Radfahrer mit einem DriveNow-Auto überfahren. Jetzt wurde er verurteilt – mithilfe von Daten über die Wegstrecke und das Tempo des Wagens, die DriveNow-Betreiber BMW selbst geliefert hat. Das Problem: Diese Daten dürfte BMW eigentlich gar nicht haben.
Update, 25. Juli 2016: Ein Sprecher von BMW klärte gegenüber der Süddeutschen Zeitung, woher die Daten stammen, die an die Staatsanwaltschaft übergeben wurden. In den Autos von Drive Now stecke ein so genanntes Car-Sharing-Modul (CSM), das Start- und Endpunkt der Fahrt sowie den Fahrtverlauf verzeichnet. Diese Module werden nicht in allen Fahrzeugen von BMW verbaut, sondern ausschließlich für die Carsharing-Flotte nachgerüstet. Das CSM speichert die Daten verschlüsselt im Fahrzeug selbst und überschreibt sie später.
Drive Now wiederum erhält von BMW nicht die kompletten Daten, sondern nur die Information, wann und wo eine Fahrt beginnt und endet. Diese verknüft Drive Now mit einem Kundenprofil, um die Rechnung zu erstellen.
Die beiden Datensätze sind also normalerweise aus Datenschutzgründen nicht miteinander verknüpft: BWM kennt den Fahrtverlauf, kann diesen aber nicht mit einer Person in Zusammenhang bringen. Drive Now hat die Kundendaten, kennt aber den Fahrtverlauf nicht. Im Falle von Köln wurde von einem Gericht verfügt, das beide Datensätze übergeben werden, um sie zu verknüpfen und so ein personenbezogenes Bewegungsprofil zu erstellen.
Eine erste Version des Artikels ist am 22. Juli erschienen.
Das Manager Magazin berichtet in seiner aktuellen Ausgabe, dass BMW offenbar genaue Daten über die Fahrt an das Landgericht Köln übermittelt hat. Das Gericht hatte die Informationen im Verfahren gegen den Fahrer des Wagens angefordert, der bereits im Mai zu 33 Monaten Haft verurteilt worden war.
Folge Gründerszene Mobility auf Facebook!
So wie es das Manager Magazin darlegt, müssen die Daten ausgesprochen detailliert gewesen sein: Das Gericht konnte daraus die Wegstrecke des Autos sowie seine Geschwindigkeit rekonstruieren. Auch das zur Buchung verwendete Mobiltelefon war in den Daten enthalten.
Klar, hier ging es um die Aufklärung einer Straftat. Und für die Staatsanwaltschaft war der Zugriff auf die Daten vermutlich sehr nützlich. Trotzdem wirft der Fall Fragen auf. Denn laut eigenen Angaben speichert DriveNow diese Daten seiner Kunden gar nicht. Das Unternehmen – ein Joint-Venture von BMW und Sixxt – gibt an, nur den Start- und Endpunkt einer Fahrt zu speichern: Wann und wo ist ein Mieter in ein Carsharing-Auto eingestiegen? Wann und wo steigt er wieder aus? Auf Basis dieser Informationen werden später die Rechnungen erstellt.
In diesem Fall stammten die Daten allerdings nicht von DriveNow, sondern wurden von direkt von BMW übermittelt – das bestätigte das Gericht gegenüber dem Manager Magazin. Laut Aussage von BMW kommen die Daten aus dem Fahrzeug selbst, die Rede ist von mehreren „Datenspeichern“ im Auto, aus denen sich jedoch keine Bewegungsprofile erstellen ließen.
Und spätestens hier gerät man ins Stocken. Denn wenn sich aus den Daten keine Bewegungsprofile erstellen lassen, wie konnte die Staatsanwaltschaft in Köln dann ebenjenes Bewegungsprofil daraus erstellen, das als Beweis im Prozess eingesetzt wurde?
Kunden müssen zustimmen
Dazu muss man noch wissen, dass es in Deutschland illegal ist, heimlich Daten seiner Kunden zu speichern, aus denen man später Bewegungsprofile bauen kann. Nur wenn Kunden diesen Maßnahmen ausdrücklich vorher zustimmen, etwa eine solche Klausel im Vertrag unterschreiben, dürfen Informationen wie der Standort und die Uhrzeit in Kombination mit einer Person gespeichert werden.
Das musste etwa die Mietwagen-Firma Europcar schon auf die harte Tour lernen, als sie 2012 von einem Hamburger Gericht zu 54.000 Euro Strafe verurteilt wurde, nachdem sie Mietwagen ohne Wissen der Nutzer per GPS hat orten lassen. Auch in diesem Fall wurde neben dem Standort und der genauen Uhrzeit auch die Geschwindigkeit übermitteln. Europcar gab an, man wollte damit Diebstähle aufklären und kontrollieren, ob sich die Kunden noch im vereinbarten Gebiet befinden.
Nur geschah das leider unerlaubt. „Die heimliche Ortung von Mietfahrzeugen und die heimliche Kontrolle der Mieter stellen einen schweren Eingriff in deren Persönlichkeitsrecht dar“, sagte damals der Hamburger Datenschutzbeauftragte Johannes Caspar. „Der Autovermieter hat es dadurch in der Hand, Bewegungsprofile seiner Kunden zu erstellen.“
Europcar hatte die Daten seiner Kunden allerdings per GPS alle 48 Stunden abgerufen und in einer Datenbank festgehalten. Im Falle des DriveNow-Wagens waren sie offenbar nur im Auto selbst gespeichert. Soweit wir wissen, gibt es bislang kein Urteil in einem solchen Fall.
Dieser Artikel erschien zuerst bei Wired.de.