Datenschutz und Datensparsamkeit

Apps für die Nutzung von Sharing-Fahrzeugen, zahlreiche E-Autos, aber auch Lösungen, die über die eigentliche Mobilität hinausgehen (bspw. intelligente Versicherungstarife) erfordern das Er-heben, das Speichern und das Verarbeiten von personenbezogenen Daten durch das jeweilige Unternehmen.

3.2.1. Der Schutz personenbezogener Daten

Informationelle Selbstbestimmung ist ein Grundrecht. Das heißt: Grundsätzlich kann und soll jede:r Einzelne über die Preisgabe, Speicherung, Verarbeitung oder Weitergabe der eigenen personen-bezogenen Daten bestimmen. Damit sind Informationen gemeint, die eine direkte oder indirekte Identifizierung einer Person ermöglichen, wie z.B.

• Bestandsdaten (z.B. Name, Vorname, Geburtsdatum)

• Kontaktdaten (z.B. E-Mail, Telefonnummer)

• Zahlungsdaten (z.B. Bankverbindungen, Kreditkartendaten, Zugangsdaten zu Bezahlsystemen)

• Standort- und Verkehrsdaten (z.B. Orte, zurückgelegte Strecken, genutzte Verkehrsmittel und nicht übertragbare Tickets)

• Kommunikationsdaten (z.B. IP-Adresse, Browser- und Geräteinformationen)

• Vertragsdaten (z.B. Laufzeiten, Tarife)

Darüber hinaus gibt es sensible personenbezogene Daten. Diese dürfen nur mit ausdrücklicher Zustimmung des Betroffenen für festgelegte Zeiträume erhoben und gespeichert werden. Zu die-sen gehört u.a. die Herkunft, die politische Meinung, die Religionszugehörigkeit, die sexuelle Orien-tierung sowie Gesundheitsdaten. Für die Teilnahme am Verkehrsgeschehen spielen sie allerdings keine Rolle.

Unter dem Begriff Datenschutz sind jegliche Sicherungsmaßnahmen zu verstehen, Unbefugten den Zugang zu erhobenen und gespeicherten personenbezogenen Daten zu erschweren sowie einen Datenmissbrauch zu verhindern. Unter dem Begriff werden darüber hinaus jegliche Maß-nahmen zur Transparenz verstanden: Betroffene sollen über das Erheben, Speichen und Weiter-geben ihrer persönlichen Daten umfassend und verständlich informiert werden, sodass sie selbst-bestimmt entscheiden können, ob sie dem zustimmen oder nicht.

Das Verkehrsunternehmen, das zum Zweck der Beförderung entsprechende persönliche Daten erhebt, trägt sowohl für die Aufklärung über die Datenspeicherung- und verarbeitung als auch für jegliche Sicherungsmaßnahmen die Verantwortung. Gemäß der DSGVO (Datenschutzgrundver-ordnung der Europäischen Union) ist es verpflichtet:

• Kund:innen und Interessierte verständlich und übersichtlich über den Zweck der Erhebung von personenbezogenen Daten zu informieren sowie darüber, wie und wo die Daten gespeichert und verarbeitet werden,

• transparent darzulegen, ob, wie, wann und zu welchem Zweck personenbezogene Daten an Dritte weitergegeben werden,

• über die Dauer der Speicherung von personenbezogenen Daten aufzuklären,

• über die Folgen eines zukünftigen Widerspruchs der Datenverarbeitung aufzuklären,

• über Datensicherungsmaßnahmen (z.B. Verschlüsselungstechnoligie, Passwortschutz) zu infor-mieren,

• eine:n Datenschutzbeauftragte:n zu benennen, die bzw. der als Ansprechpartner:in für daten-relevante Anfragen von Kund:innen und Interessierten zuständig ist.

• datenrelevante Anfragen verständlich zu beantworten und

• datensparsam vorzugehen. Mehr dazu im Abschnitt 4.2.4.

Die Aufklärung über die oben genannten Aspekte erfolgt in einer Datenschutzerklärung, die allen Kund:innen und Interessierten öffentlich zugänglich sein muss. Geht eine Person mit einem Ver-kehrsträger einen Beförderungsvertrag ein, stimmt der Verkehrsteilnehmer dieser Erklärung und somit der Erhebung, Speicherung und Verarbeitung seiner Daten zu – unabhängig von der allge-meinen Beförderungsbedingungen. Die Unabhängigkeit ergibt sich aus dem Koppelungsverbot der DSGVO.

Verkehrsteilnehmer geben in der Europäischen Union ihre Zustimmung zur Verarbeitung und Weitergabe personenbezogener Daten vor der Nutzung des Verkehrsangebots ab, indem sie sich mit den Angaben in der Datenschutzerklärung einverstanden erklären. So z.B. durch einen Klick in der jeweiligen App für das jeweilige Sharing-Fahrzeug. Bei Kindern und Jugendlichen benötigen die Unternehmen die Unterschrift der Sorgeberechtigten.

Außerhalb der EU kann die Regelung gelten, dass das Unternehmen zunächst ungefragt perso-nenbezogene Daten erhebt und verarbeitet. Dem muss die oder der Betroffene nachträglich wi-dersprechen.

Zum Datenschutz gehört auch der Umgang mit Videoaufnahmen, die Verkehrsunternehmen an Haltestellen, Parkplätzen oder Bahnhöfen aus Sicherheitsgründen anfertigen. Oder die für die Ver-kehrsanalyse- oder Lenkung. Die Dauer der Speicherung ist – je nach Zuständigkeit - unterschied-lich gesetzunterschied-lich geregelt.

3.2.2. Berechtigte Interessen

Verkehrsunternehmen können personenbezogene Daten für bestimmte Zwecke und für einen be-stimmten Zeitraum auch ohne Zustimmung speichern und verarbeiten, wenn dafür ein „berechtig-tes Interesse“ beim Unternehmen und beim Betroffenen vorliegt. Der Begriff ist unbestimmt und weit gefasst. Die DSGVO nennt im Erwägungsgrund 47, dass ein „berechtigtes Interesse“ vorliegt,

„wenn die betroffene Person ein Kunde des Verantwortlichen ist“. Das heißt: Ist jemand bereits Kunde bei einem Sharing-Unternehmen muss er nicht für jedes gemietete Fahrzeug erneut der Erhebung und Verarbeitung von persönlichen Daten, in diesem Fall der Aufzeichnung des Streck-verlaufs, zustimmen.

3.2.3. Datensparsamkeit

Ein grundlegendes Prinzip des Datenschutzes ist die Datensparsamkeit. Der Begriff verdeutlicht im Kontext des Verkehrs, dass nur für den Zweck der Fahrt oder der Beförderung notwendige Daten zu erheben und zu verarbeiten sind. Ist z.B. bei einem Sharing-Anbieter im Rahmen einer Test-aktion eine Fahrt, z.B. mit einem E-Bike, kostenfrei, ist es unzulässig Bankdaten zu erheben, auch wenn die Möglichkeit besteht, ein Vertrag abzuschließen.

Zur Datensparsamkeit gehört auch, die Dauer der Speicherung zu begrenzen, insb. nach einer Kündigung des Vertrags personenbezogene Daten spätestens wieder zu löschen, wenn sie nicht mehr benötigt werden. Geschieht dies nicht, spricht man von Datenwust.

Auch Verkehrsteilnehmer können dem Prinzip Datensparsamkeit folgen und somit sich selbst schützen, indem sie möglichst wenig Datenspuren bei einer Reise oder beim Mieten von Verkehrs-mitteln hinterlassen. Genau das ist das Ziel von Felicitas Fogg im Spiel. Die naheliegende Lösung auf datenhungrige E-Fahrzeuge oder Sharing-Angebote zu verzichten oder jegliche Strecken nur mit eigenen Fahrzeugen oder gar anonym mit dem Fahrrad zurückzulegen ist aber trügerisch.

Denn, wie bereits an anderer Stelle betont, ist Felicitas jederzeit über das Smartphone lokalisier-bar, vorausgesetzt, sie hat in ihren Einstellungen Ortungsdienste aktiviert.

Außerdem kann ein Verzicht auf datenhungrige Fahrzeuge und Angebote den Energieverbrauch in die Höhe treiben. Das eigene Auto regelmäßig zu nutzen, kann dazu führen, dass schnell und häufig Energie gespart und die Reise unterbrochen werden muss. Die Nutzung eines Fahrrads ist darüber hinaus mit Anstrengung verbunden und bei bestimmten Witterungsbedingungen kann es zu Schwierigkeiten kommen.

3.2.4. Nicht-personenbezogene Daten

Viele Daten, die im Zuge der Digitalisierung und der Verkehrswende erhoben und verarbeitet wer-den, unterliegen nicht dem Datenschutz. Dazu gehören nicht-personenbezogene Daten wie sie beispielwese bei einer Verkehrsanalyse erhoben werden oder beim Smart Parking. Hier geht es um statistische Daten über das Verkehrsaufkommen, nicht um persönliche Informationen.

3.2.5. Daten- und Cyberkriminalität

Das Abfangen von Daten, im Spiel verdeutlicht durch das Hackerkollektiv F1X, ist eine Straftat. Da-bei kann es sich um ein Ausspähen (§ 202a StGB) oder um ein Abfangen (§202b StGB) von perso-nenbezogenen Daten handeln. Beim Ausspähen erlangt der Kriminelle einen unbefugten Zugang zu gespeicherten Daten, überwindet dabei ggf. Hindernisse wie z.B. eine Verschlüsselung. Beim Abfangen nutzt der Kriminelle den Zeitpunkt einer Datenübermittlung aus. Die Verbreitung, z.B.

die Weitergabe von geheimen Passwörtern oder sonstigen vertraulichen und geschützten Sicher-heitscodes ist ebenfalls eine Straftat gemäß § 202c StGB, der Verkauf dieser ist laut § 202d StGB verboten (Datenhehlerei).

3.2.6. Datenkompetenz

Aber auch jede:r Einzelne sollte mit den eigenen persönlichen Daten und muss mit den Daten von Familienmitgliedern, Freunden, Bekannten oder Unbekannten verantwortungsvoll, souverän und kompetent umgehen. Um sich selbst und andere Personen zu schützen.

Zu überdenken sind die Konsequenzen, die eine Veröffentlichung von personenbezogenen Daten haben könnte. Die Veröffentlichung von Standort- oder Verkehrsdaten auf Webseiten, in Portalen bzw. in sozialen Netzwerken kann bei einer Regelmäßigkeit dazu führen, dass Unbefugte Bewe-gungsprofile erstellen können. Die Kenntnis darüber, wer sich wann und wo regelmäßig aufhält, gar wohnt, kann so zu einem Sicherheitsrisiko werden. Das betrifft auch Bereiche des Nicht-Di-gitalen. So kann das Hinterlassen eines mit Namen und weiteren personenbezogenen Daten ver-sehenen Tickets in Verkehrsmitteln stellt ein Datenschutzrisiko dar. Enthält das Ticket z.B. Angaben zur Kreditkarte ist die Möglichkeit des Kreditkartenbetrugs gegeben.

3.2.7. Tipps für mehr Datenkompetenz in der Mobilitätswende Wer ist und wo speichert der Verkehrsanbieter Daten?

Grundsätzlich ist jedes Verkehrsunternehmen, das Angebote innerhalb Deutschlands oder Euro-pas für Verkehrsteilnehmer unterbreitet, an die DSGVO gebunden. In Deutschland werden die Angebote des öffentlichen Nahverkehrs innerhalb einer Region im Rahmen der Grundversorgung von den jeweiligen Landesbehörden für Verkehr geregelt. Für länderübergreifen Verkehrsunter-nehmen gelten Bundesgesetze. Private und kommerzielle Anbieter im Bereich der Sharing Eco-nomy können ihren Sitz außerhalb der EU haben, insbesondere wenn es sich um Unternehmen handelt, die weltweit Angebote unterbreiten.

Welche Angaben macht die Datenschutzerklärung?

Prüfen Sie daher Datenschutzerklärung des jeweiligen Unternehmen, bevor sie dieser zustimmen.

Achten Sie darauf, welche Daten von Ihnen zu welchem Zweck erhoben, verarbeitet und gespei-chert werden und welche Löschfristen gelten. Wägen Sie ab, ob sie dem Unternehmen ihre Daten anvertrauen. Die Entscheidung liegt bei Ihnen. Ist keine Datenschutzerklärung zu finden oder ist diese viel zu lang oder nicht verständlich formuliert worden, ist sie gar widersprüchlich oder ver-missen Sie wichtige Hinweise, nehmen Sie von den Angeboten Abstand.

Gehen Sie sparsam mit eigenen und fremden Daten um?

Geben Sie bei der Registrierung nur die Daten an, die Sie angeben müssen. Diese sind häufig mit einem Sternchen gekennzeichnet. Veröffentlichen Sie in grundsätzlich immer nur so viele Infor-mationen über sich selbst, ihre Aufenthaltsorte und ihre Reise wie nötig. Bestimmen sie, welche Personen oder Gruppen Informationen (z.B. über ihre Wochenend- und Urlaubsausflüge) erhalten sollen. Reflektieren Sie mögliche Risiken, wenn öffentlich bekannt ist, in welchem Zug oder Bus sie sich aktuell befinden und wann dieser an welchem Bahnhof oder Standort ankommt. Veröffent-lichen Sie Mobilitätsdaten von Anderen nur nach deren Zustimmung. Verbreiten Sie keine Mobili-tätsdaten über Ihre Kinder. Klären Sie auch diese über die Gefahren und Risiken der Veröffent-lichung von Standortdaten auf.

Nutzen Sie Privatsphäre-Einstellungen aktiv?

Mit den Privatsphäre-Einstellungen von Anwendungen (Apps) zur Mobilität steuern Sie, welche Information Sie mit dem Anbieter dauerhaft teilen wollen. Die Erhebung von Daten zur Statistik kann beispielsweise in den Einstellungen abgeschaltet werden. Es ist auch nicht immer zwingend notwendig, ihre Bezahldaten, z.B. Ihre Kreditkarteninformationen, dauerhaft auf dem Server des Verkehrsunternehmens zu speichern. Das mag bequem sein, kann bei einem Datenleck aber dazu führen, dass Ihre Kreditkarteninformation in die Hände von Kriminellen gelangen.

Im Spiel Felicitas Fogg kommt es sehr darauf an, dass sie datensparsam vorankommen. Sie sollten aber auch den Energieverbrauch im Blick haben. Warum dies wichtig ist, wird im folgenden Kapitel erläutert.