Fahrräder von Mobike sammeln als trojanische Pferde Daten für das Überwachungsprogramm des chinesischen Staats, mussten schockierte Nutzer in der vergangenen Woche auf Twitter lesen. „China’s Surveillance & Social Credit systeme alive & kicking in Berlin“ überschrieb Alexander Hanff seinen Beitrag, der zu lebhaften Diskussion um den Schutz der Privatsphäre beim Bikesharing-Anbieter Mobike geführt hat. So wünschenswert der Blick auf die Datenverarbeitung von Unternehmen der Sharing Economy auch ist, muss man sich doch fragen, ob im Fall Mobike nicht ein entscheidender Punkt untergeht. Doch von Anfang an:

1. Das Unternehmen und seine Datenschutzerklärung

Das chinesische Unternehmen Mobike bietet Fahrräder im markant orange-silbernen Design an, die Kunden über die App zur Kurzzeitnutzung anmieten können (Bikesharing). Die Fahrräder sind nicht an feste Stationen gebunden, sondern können innerhalb eines definierten Bereichs des Stadtgebiets überall abgestellt und ausgeliehen werden (sog. „free floating“). Derzeit ist Mobike in Berlin, Hannover, Köln und Düsseldorf sowie etwa 200 weiteren Städten weltweit aktiv.

Datenübermittlung an Dritte und ins Ausland

Nutzer müssen bei der Anmeldung eine Datenschutzerklärung akzeptieren, laut der Mobike neben Namen und Abrechnungsdaten auch Standortdaten verarbeitet. Nach der Erklärung können die Daten an nicht näher benannte Tochter-Unternehmen von Mobike weitergegeben werden. Insofern kritisiert Hanff vollkommen zurecht, dass die Datenschutzerklärung nicht den Standards der DSGVO entspricht.

An dieser Stelle endet die Kritik nicht, sondern nimmt erst richtig Fahrt auf. Die Datensammlerei von Mobike nutze die chinesische Regierung, um Profile zu allen Nutzern anzulegen und so das dortige Social Credit System (dazu Maamar, CR 2018, 820, 821) voranzutreiben. Hanff verweist dafür auf einen Passus in der Datenschutzerklärung, nach dem die Nutzerdaten ins Ausland übertragen werden:

„Die von Ihnen erhobenen Daten werden in ein Land außerhalb des Europäischen Wirtschaftsraums („EWR“), wie China und Singapur, wo ein anderes Datenschutzniveau als im EWR bestehen kann, übermittelt und dort verarbeitet und genutzt.“

Aus Datenschutzsicht ist so eine Übermittlung hochproblematisch, gerade bei einem Land wie China, in dem die Grenzen zwischen Daten von Unternehmen und Daten des Staates regelmäßig verschwimmen.

2. Social Scoring

Dass die Daten von Fahrradfahrern dem Überwachungssystem des chinesischen Staates dienen sollen, sorgt für nachvollziehbare Aufregung. Bei näherer Betrachtung gibt es aber gar keine Anhaltspunkte dafür, dass tatsächlich Daten an die chinesische Regierung übermittelt, geschweige denn für das staatliche Sozialkreditsystem verwendet werden. Hinter der Aufregung könnte das simple Problem stecken, dass Mobikes eigenes Scoring-Verfahren („Mobike Score“) mit dem staatlichen Programm in China gleichgesetzt wird. Dabei hat der „Mobike Score“ mit dem chinesischen Staat nichts zu tun und ist eher eine Art Bonusprogramm für zuverlässige Nutzer.

Der „Mobike Score“

Die Funktionsweise wird im Blog von Mobike erklärt: Jeder Nutzer startet mit 550 Punkten. Wer ein Fahrrad illegal parkt oder beschädigt, dem werden Punkte abgezogen, für ordnungsgemäße Benutzung, das Parken an öffentlichen Plätzen und das Melden von Beschädigungen durch Dritte bekommen Nutzer Punkte gutgeschrieben. Sinkt der Score unter vorgegebene Schwellenwerte, erhöht sich der Mietpreis um einen Risikoaufschlag oder der Nutzer wird ganz von der Dienstleistung ausgeschlossen.

Solche Scoring-Systeme, die die Zuverlässigkeit der Nutzer messen, sind in der Sharing Economy ein zwar wenig beachtetes, aber effektives Instrument. Die „Fahrrad-Friedhöfe“, wie es sie mittlerweile in zahlreichen Großstädten weltweit gibt, zeigen das Bedürfnis nach einem Mechanismus der Verantwortlichkeit der Nutzer deutlich auf.

3. Vorgaben der DSGVO

Datenschutzrechtlich muss sich ein System wie „Mobike Score“, das Verhalten der Nutzer bewertet, an Art. 6, 22 DSGVO messen. Mobike holt für sein Scoring-System keine Einwilligung ein, kann sich also nur auf ein „berechtigtes Interesse“ nach Art. 6 Abs. 1 lit. f DSGVO stützen.

Dahinter steht ein interessanter Konflikt zwischen der Privatsphäre des Nutzers und den wirtschaftlichen Interessen des Anbieters (zur Abwägung Maamar, CR 2018, 820, 822), der zu der Frage führt, an welchen Daten ein Mobilitätsdienstleister ein legitimes Interesse hat. Diese Frage stellt sich für chinesische genauso wie für deutsche Anbieter und wird mit dem Verweis auf das staatliche Sozialkreditsystem ausgeblendet. Schon ein Blick auf die beiden großen deutschen Carsharing-Anbieter car2go und DriveNow zeigt, dass Mobike mit seinem Scoring-System in der Branche nicht alleine ist:

• car2go nutzt laut Datenschutzerklärung Standort- und Bewegungsdaten, um daraus Nutzerprofile zu erstellen und passende Werbung auszuspielen.
• DriveNow weist in seinen Geschäftsbedingungen explizit auf einen „Fahrstil-Score“ hin (Nr. 16.3), für den neben Standortdaten unter anderem Geschwindigkeit, Beschleunigung, Motordrehzahl und Bremsvorgänge aus dem Fahrzeug ausgelesen werden.

4. Was bleibt?

Datenschutz scheint auf der Prioritätenliste vieler Unternehmen der Sharing Economy immer noch weit hinten zu stehen. Mit Mobike trifft die Kritik insofern sicherlich nicht den Falschen. Auf der anderen Seite werden mit „Mobike Score“ und dem staatlichen Sozialkreditsystem zwei unterschiedliche Systeme vermischt. Das wahre trojanische Pferd in der Diskussion könnte damit die Aufregung um eine Datenweitergabe an die chinesische Regierung sein, die das eigentliche Thema verdeckt: Welche Daten sollen unsere Mobilitätsdienste der Zukunft nutzen dürfen? Diese Frage wäre es wert, ausführlicher diskutiert zu werden.

Hinweis:
Ausführlich zu den rechtlichen Rahmenbedingungen für privatwirtschaftliches Social Scoring durch Unternehmen aus deutscher und europäischer Perspektive, insbesondere nach der DSGVO siehe:

Niklas Maamar
Social Scoring
Eine europäische Perspektive auf Verbraucher-Scores zwischen Big Data und Big Brother
CR 12/2018, 820 – 828