Archiv

Carsharing
Private Daten wandern nach Indien

Um sich bei Carsharing-Anbietern zu registrieren, müssen Nutzer oft Selfies hochladen. Der Marktführer ShareNow lässt diese Daten dann in Indien verarbeiten - aus Kostengründen. Das Problem: Die Europäischen Datenschutzstandards greifen dort nicht.

Von Maximilian Schönherr |
Car-Sharing-Fahrzeuge stehen am 29.02.2016 in Berlin am Straßenrand.
Die Anmeldung beim Carsharing soll für Nutzer simpel sein - doch das geht teils auf Kosten des Datenschutzes. (picture-alliance / dpa / Bernd Von Jutrczenka)
Den Führerschein persönlich bei einem ortsnahen Vertragspartner vorzulegen, funktioniert bei ShareNow nicht mehr. Stattdessen preist die App, mit der Kunden die Autos anmieten, das neue Validierungsverfahren als besonders einfach an und beginnt mit dem dezenten Hinweis:
"Etwas fehlt. Dein Profil ist nicht komplett. Hast du eine Minute, es zu vervollständigen?"
Beim Tippen auf "Details" wird der Ton schon schärfer, später geht er vom Du zum Sie über:
"Du hast nur noch ein paar Tage übrig. Dein Führerschein muss erneut bestätigt werden. Bitte folge einigen einfachen Schritten, um die Überprüfung durchzuführen."
Einblick in die eigenen vier Wände
Aus den "einigen einfachen Schritten" wird etwas durchaus Komplexes. Man muss zunächst der App erlauben, Fotos aufzunehmen, um den Führerschein zu scannen.
"Halten Sie Ihr Gesicht auf Augenhöhe, und schauen Sie direkt in die Kamera. Ihr Gesicht wird dann automatisch erfasst. … Ruhig halten. Ein wenig näher. Bitte ein wenig näher, bitte etwas näher kommen."
Das Ergebnis: mehrere Selfies, die nun hochgeladen, also übers Internet woandershin geschickt werden. Es gibt dabei zwei datenschutzmäßig bedenkliche Vorgänge.
Erstens: Wir öffnen die Kamera des Mobiltelefons, damit jemand, den wir nicht kennen, unser Gesicht auf den Selfies mit dem Foto auf dem Führerschein vergleicht. Das Gegenüber blickt dabei in der Regel in das, was laut Grundgesetz Artikel 13 "unverletzlich" ist, und wohin wir die fremde Person nie einladen würden, nämlich in unsere Wohnung, mit den Fotos an der Wand, und den Kindern, die im Hintergrund vielleicht Grimassen schneiden.
Daten werden in Indien verarbeitet
Das zweite Bedenkliche steht kleingedruckt in den Allgemeinen Geschäftsbedingungen: Der Carsharing-Anbieter nimmt diese sehr persönlichen Daten nicht in seinem Rechenzentrum zum Beispiel in Stuttgart auf, sondern lagert den gesamten Vorgang zu einem Dienstleister nach Indien aus.
ShareNow antwortete auf unsere Anfrage, warum der Dienstleister bei so sensiblen Daten nicht vor Ort sitzt, dass man sich bei der Datenübermittlung an § 28 des Bundesdatenschutzgesetzes halte, welcher …
"… das angemessene Datenschutzniveau im Empfängerstaat Indien gewährleistet."
Im Übrigen fände der Datenaustausch eh nur dann statt, wenn der Kunde den AGB zugestimmt habe. Einen alternativen Validierungsweg gäbe es jedoch nicht mehr. Die Bitte um ein klärendes Interview lehnte ShareNow ab.
Kritik von Datenschützern
"Ja, das halte ich nicht für unproblematisch", meint der Landesbeauftragte für Datenschutz in Baden Württemberg, Stefan Brink, zum Datenabgleich mit Indien.
"Faktisch ist es so, dass wir als Aufsichtsbehörden eigentlich überhaupt keinen Zugriff auf die Daten haben, wenn sie außerhalb von Europa verarbeitet werden. Das heißt, der Datenschutz-Vollzug, eine effektive Kontrolle, ist dort praktisch nicht mehr möglich. Und das wirkt sich mit Sicherheit auch auf die Nutzer von solchen Diensten aus, weil sie einfach nicht sicher sein können, dass ihre Daten auch gut und rechtsförmig verarbeitet werden."
Der Grund für die Auslagerung ins Ausland ist immer derselbe: Kostenersparnis.
"Es wird sozusagen bezahlt mit einer erheblichen Einbuße, was den effektiven Datenschutz angeht. Und da sollte sich jeder Kunde sehr genau überlegen, ob er nicht möglicherweise zu einem anderen Anbieter wechselt, der diese ganzen Datenverarbeitungsvorgänge im Europäischen Raum durchführen lässt."
Datenspeicherung im EU-Ausland als Alternative
Das Stuttgarter Unternehmen ist nicht allein, wenn es um die Auslagerung persönlicher Daten an irgendein Service-Center irgendwohin geht. Postident, bei dem man normalerweise den Personalausweis am Postschalter präsentiert, bietet inzwischen – alternativ zum persönlichen Vorzeigen – eine Online-Validierung an. Diese findet auch nicht in Deutschland, sondern "irgendwo im EU-Ausland" statt. Nicht optimal, so der Datenschutzbeauftragte Stefan Brink, aber wegen der EU-weit gültigen Datenschutzgrundverordnung DSGVO deutlich sicherer als Indien.
"Alle Europäischen Aufsichtsbehörden in dem Bereich des Datenschutzes werden über den Europäischen Datenschutzausschuss zusammengeschlossen. Dort wird dafür gesorgt, dass überall in Europa das gleiche Recht auch einheitlich angewandt wird. Und deswegen haben wir tatsächlich einen einheitlichen Rechtsstandard in Europa."