Düsseldorf bekommt Leihräder mit Datenkrake

Von Roland Appel

In dieser Woche, so wurde am Wochenende angekündigt, will die Firma “Mobike” in Düsseldorf mehrere hundert Leihfahrräder verteilen und damit angeblich ökologische Verkehrsmittel zur Verfügung stellen. Was die künftigen Nutzer nicht wissen: Der Anbieter sammelt in großer Menge Daten über die Nutzer, ohne dass dieser auch nur etwas davon ahnt. Die Behörden haben auf diese Gefahr bisher nicht reagiert.

“Mobike” ist eine chinesische Firma, die bereits in Berlin Leihfahrräder in großer Zahl auf die Straße und die Gehwege gebracht hat. “Mobike”, so kann man auf der Homepage lesen, stellt “hunderte Fahrräder zu Deiner Verfügung”, …”jederzeit und überall…beende Deine Fahrt an jeder beliebigen Straßenecke.” Weiter ist der Homepage zu entnehmen, dass die Nutzerin, die sich für eine Grundgebühr von derzeit 2 € anmeldet, dann auf eine Leihgebühr von etwa 1 € pro 20 Minuten einstellen müssen. Einfach die “APP” herunterladen und los geht es.

Mit der Datenschnüffelei, denn bei 2 € Grundgebühr können vermutlich selbst Chinesen nicht die Rentabilität des Angebots gewährleisten, es sei denn, Geschäfte werden mit etwas anderem als der Drahteselmiete gemacht, möglicherwiese die Daten verkauft oder anderweitig genutzt. Denn mit der APP müssen auch Kreditkarten- oder EC-Kartendaten für den Bezahlvorgang abgegeben werden. Mittels GPS sammelt Mobike Bewegungsdaten der Nutzer und bietet ihnen sogar an, diese mit deren Freunden zu teilen. Die am 25.5.2018 in Kraft tretende Europäische Datenschutzverordnung ist für “Mobike” offensichtlich ein böhmisches Dorf. Sogar Verhaltensdaten scheint das System zu speichern. Genau wie der chinesische Staat in Zukunft seine Bürger zu braven Untertanen per Score-System dressieren will, bildet Mobike laut eingenen “FAQ” einen “Score”, den die Nutzerin mit positiven “Credits” – schönes Parken und Standort fotografieren und negativen “Credits” – verkehrswidriges Parken oder Beschädigungen – beeinflussen kann. Jeder Neukunde hat 550 Punkte, bei 100 und darunter wird sein Konto gesperrt. Es ist wohl kein Zufall, dass auf der Homepage von “Mobike” keinerlei Datenschutzerklärung zu finden ist!

Bereits im Dezember hatten wir uns mit derartigen Datenkraken in Fahrradgestalt beschäftigt. Was zunächst aus Sicht der Kommunen und auch einiger grüner Politiker als sinnvolle Ergänzug zum ÖPNV durch Tochtergesellschaften der Deutschen Bahn und andere gestartet wurde, hat sich inzwischen zu einer doppelten Plage entwickelt: Zahllose Billigfahrräder aus Fernost müllen Straßen der Metropolen voll, liegen herrenlos, ungepflegt an irgendwelchen öffentlichen Orten herum. Und die Benutzer dieser Leihbikes werden gnadenlos und zumeist ohne jede Beachtung des Datenschutzes ausgeschnüffelt, ihre persönlichen Daten verschwinden, werden vermarktet und zum Teil sogar im Netz veröffentlicht. Die Nutzer können ein Bike nehmen, wo immer sie eins per GPS und Handy finden – und derer gibt es massenhaft – und es irgendwo stehen lassen, wenn sie es nicht mehr brauchen. Im Gegensatz zu „Car to go“ oder „Drive Now“, wo der Nutzer ebenso verfährt, aber für die Leistung der Nutzung des Verkehrsmittels Auto bezahlt, dieses getankt oder aufgeladen, gereinigt und gewartet wird, geben sich die fernöstlichen Massenhersteller mit derlei Kleinigkeiten selten ab. Ist ein Reifen platt, die Kette gerissen, das Schutzblech verbogen oder aufgrund nächtlichem Vandalismus das Rad verbogen, fliegt das Fahrrad in die Ecke, auf den Bürgersteig, auf den Grünstreifen oder auch schon mal in den Parkteich, es sei denn ein Kunde will “Credits” sammeln und meldet den Schaden. Allein in München kämpfte 2017 die Stadtverwaltung gegen eine Flut von 7.000 Fahrrädern nur von “Mobike” und schätzungsweise weitere 6.000 von anderen Anbietern, die sich allerdings zumeist an definierte Stellplätze und Fahrradständer halten.

Technisch sind die mit GPS-Sendern ausgestatteten Low-Tech-Drahtesel Datenkraken erster Güte. Sie dienen ihren chinesischen und singapurischen Betreibern in bekannter Überwachungsstaatsmanier dieser Länder – Elektroautos etwa senden in China alle zwei Sekunden einen Datensatz über Position, Fahrstrecke, Geschwindigkeit und Fahrerverhalten an den zentralen Überwachungsserver der Regierung – vor allem als Vehikel zur Überwachung ihrer Benutzer*innen. Aufgrund der GPS-Peilung können nicht nur Kunden ein Bike finden, der Betreiber weiss auch, wer wann von wo wohin gefahren ist, ob das Fahrrad vor der Uni stand, am Einkaufszentrum, vor dem Jobcenter, der Deutschen Bank, der Sparkasse oder zu Hause. Durch die Zusammenführung der Nutzungsdaten vieler Fahrräder entstehen individuelle und soziale personenbezogene Bewegungs- und Verhaltensbilder, die mit nicht allzu langer Zeit eine vollständige Überwachung der Bewegungsgewohnheiten der Ausgespähten erlauben, aus denen wiederum Rückschlüsse auf seine Arbeitsstelle, Kaufgewohnheiten, Freizeitaktivitäten und vieles andere mehr möglich sind. Diese zu verkaufen, ist wohl das eigentliche Geschäftsmodell der Selbst-Observierungsmobile – denn schon haben einige dieser Anbieter zum beispiel Kommunen die Daten zum Kauf angeboten – natürlich nur um hilfreich beim Ausbeu des Radwegenetzes zu sein.

Doch damit nicht genug, haben Journalisten von Bayerischem Rundfunk und „Süddeutscher Zeitung“ im vergangenen Jahr herausgefunden, dass die Betreiber dieser pedalbetriebenen Datensammelstellen personenbezogene Daten, Bewegungsbilder nebst persönlichen Daten, die unbedarfte Nutzer freiwillig eingestellt haben, im Internet für alle sichtbar veröffentlicht haben. Darunter Fotos, Adressen, Freunde, Telefonnummern und Kontodaten. Solche APPs ermöglichen nämlich, durch so harmlos erscheinende Funktionen wie die Möglichkeit, Freunde zu einer Fahrradtour einzuladen, Email-Adressen und soziale Netzprofile von ganz unbeteiligten Personen zu bekommen. Ein Verstoß gegen die Datenschutzgrundverordnung, die für solche Delikte Bußgelder i.H.v. bis zu 4% des weltweiten Jahresumsatzes bereit hält.

Bisher sind allerdings die Anbieter der Fahrräder mit ihren Praktiken eher durchgekommen, was erstaunen muss. Wer nämlich Fahrräder vermietet, muss ein Gewerbe anmelden und die zuständige Gewerbeaufsicht hat zu prüfen, welche Geschäftszwecke der Gewerbetreibende verfolgt. Dass diese Ämter und die vorgesetzten in den Kommunen in Sachen IT-Kenntnissen und Datenschutz offensichtlich nicht “State of the Art” sind, zeigt sich daran, dass es offensichtlich Genehmigungen gegeben hat, bei denen die Datenschutzfragen überhaupt nicht geprüft wurden. Bei Datensammlungen dieser Art und Umfangs müssten nämlich die Aufsichtsbehörden für die Privatwirtschaft, das ist in NRW die Landesbeauftragten für den Datenschutz, informiert werden und eine gesetzlich vorgesehene Vorabkontrolle bzw. nach Artikel 35 DSGVO eine Datenschutz-Folgeabschätzung der geplanten Datenspeicherung durchführen. Ist diese nicht möglich oder verweigern sich Unternehmen, die ihren Sitz irgendwo auf der Welt haben, dieser Kontrolle, ist eine Erlaubnis zu versagen. Es ist skandalös, dass wohl keine der betroffenen Kommunen bisher auf die Idee gekommen ist, dass sie eine Pflicht hat, ihre Bürger vor unerlaubtem Datenklau zu schützen. Dies wäre im übrigen möglicherweise auch ein Ansatzpunkt, dass Betroffene die Kommune auf Verletzung ihrer Gewerbeaufsichtspflicht verklagen.

Auch wäre zu wünschen, dass die Datenschutz-Aufsichtsbehörden, aber auch die Verbraucherzentralen gerade bei solchen Geschäftsmodellen konsequenter nachschauen, die Öffentlichkeit über die Risiken solcher Angebote aufklären und notfalls gegen die Betreiber vorgehen. Die Digitalisierung, so zeigt sich an diesem Beispiel, bedarf umfassender Anstrengungen, um Bürgerrechte und Privatheit von Verbraucher*innen zu schützen. Notfalls auch, indem der Gesetzgeber die Zulassung solcher Fahrraddienste ebenso wie die Personenbeförderung im Taxi reguliert.

 

Comments are closed.