Anbieter von Leihfahrrädern: Mobike übermittelt Nutzerdaten nach China

Der Verdacht hat sich bestätigt: Der Leihradanbieter Mobike übermittelt personenbezogene Daten nach China – nach derzeitigen Erkenntnissen erfolgt das jedoch auf legale Weise. Das teilte nun die Berliner Datenschutzbehörde gegenüber Tagesspiegel Background mit. „Die zugrundeliegenden Verträge prüfen wir noch, wenn sie den Vorgaben entsprechen, wären die Datenübermittlungen rechtlich derzeit nicht zu beanstanden“, sagte eine Behörden-Sprecherin.

Mobike geriet vor einem halben Jahr in das Visier der Behörden, nachdem unter anderem der schwedische Datenschutzexperte Alexander Hanff in einem langen Blogeintrag den Umgang mit den Nutzerdaten heftig kritisiert hatte. Er wirft Mobike darin verschiedene Verstöße gegen die seit 2018 europaweit geltende Datenschutzgrundverordnung (DSGVO) vor, unter anderem, dass das chinesische Unternehmen in unzulässiger Weise große Datenmengen nach China übertragen würde.

Mobike berufe sich auf die sogenannten europäischen Standardvertragsklauseln, die hoch umstritten sind und derzeit dem Europäischen Gerichtshof (EuGH) zur Prüfung vorliegen, heißt es aus der Berliner Datenschutzbehörde. Dieses Instrument bildet für viele Unternehmen die Grundlage für den internationalen Datenverkehr. Es verpflichtet Unternehmen außerhalb der EU, europäische Datenschutzstandards einzuhalten und ermöglicht so einen unkomplizierten Datentransfer zwischen der EU und einem Drittstaat wie China. Davon profitiert auch Mobike.

Das könnte sich allerdings schlagartig ändern, wenn der EuGH zu dem Ergebnis kommen sollte, dass die Standardvertragsklauseln keinen angemessenen Schutz der Bürgerinnen und Bürger sicherstellen. „Wir begrüßen die von Max Schrems angestrengte gerichtliche Prüfung der veralteten Standardvertragsklauseln ausdrücklich“, betonte die Behörden-Sprecherin. Das Urteil soll Ende des Jahres gefällt werden.

Der österreichische Jurist und Datenaktivist Schrems hat einst das Datenschutzabkommen Safe Harbor zu Fall gebracht. Jetzt kämpft er erneut gegen den Datentransfer der EU-Bürger in die USA. Er bezweifelt, dass deren Daten in den Vereinigten Staaten sicher sind. Denn das US-Gesetz verpflichtet Unternehmen, ihre Daten auf Verlangen an die Geheimdienste herauszugeben. Schrems Vorwurf: Dadurch würden die EU-Datenschutzgesetze ausgehebelt. Auch in China, wo der Staat seine Bewohner mithilfe eines Punktesystems bewertet, können die Behörden Unternehmen zur Herausgabe von Daten zwingen.

Zunächst nur kleine Nachbesserungen verlangt

„Erklären die Richter in Luxemburg die europäische Standardvertragsklausel für unwirksam, dürfte das für viele andere Nicht-EU-Staaten neben den USA weitreichende Folgen haben“, sagt Philip Kempermann, Rechtsanwalt und Partner bei der Düsseldorfer Kanzlei Heuking Kühn Lüer Wojtek im Gespräch mit Tagesspiegel Background. So vermutlich auch für China und dort ansässige Unternehmen. Jurist Kempermann rät Unternehmen deshalb, schon heute ihre Datentransfers ins europäische Ausland zu prüfen.

Bei der Prüfung der Mobike-App durch das Team rund um Berlins oberste Datenschützerin Maja Smoltczyk wurde auch untersucht, welche Daten erhoben und gespeichert werden. Um Mobike nutzen zu können, muss ein Anwender eine Smartphone-App runterladen und räumt damit dem Anbieter weitgehende Rechte ein, unter anderem wird der genaue Standort übermittelt.

„Bisher haben wir bei der Prüfung der App keine schwerwiegenden Verstöße gegen geltende EU-Datenschutzvorgaben festgestellt“, fasste die Behörden-Sprecherin die Ergebnisse der Prüfung zusammen. Die Prüfung sei noch nicht abgeschlossen, aber nach derzeitigen Erkenntnissen gehe man davon aus, dass das Unternehmen „lediglich kleine Anpassungen vornehmen“ müsse. Dies betreffe beispielsweise die Erhebung von Bewegungsdaten mittels der App. Erforderlich sei es aus Sicht der Behörde allenfalls, Standortdaten bei Beginn und Ende einer Route zu erfassen. Soweit Nutzende darüber hinaus ganze Streckenverläufe nachvollziehen wollen, müssten sie in diese Datenerhebung gesondert einwilligen. 

Mobike Score still und leise aus der App entfernt 

Seit dem Start der Ermittlungen durch die Berliner Datenschutzbehörde hat Mobike offenbar bereits einige Änderungen vorgenommen und Funktionen aus seiner App entfernt. Der vielfach kritisierte „Mobike Score“ wurde abgeschafft, wie eine Kundendienstmitarbeiterin auf Nachfrage bestätigte, zumindest in der deutschen Version der Anwendung.

Bei dem System starteten die Nutzer ursprünglich mit 550 Punkten. Schlechtes Verhalten wurde sanktioniert, wer das Rad falsch abstellte oder sich nicht an Verkehrsregeln hielt, bekam Punkte abgezogen. Fiel der Score unter 100 Punkte, wurde das Konto gesperrt. Allerdings konnten die Nutzer auch Punkte dazu verdienen, indem sie andere anschwärzten, die ein Rad beschädigt oder falsch geparkt hatten. Heute bittet Mobike in seinen FAQs lediglich darum, solche Beobachtungen beim Kundendienst oder über die Social-Media-Kanäle zu melden.

Überhaupt ist es stiller geworden um das Unternehmen. Der letzte Blogeintrag auf der Website ist fast ein Jahr alt (Stand 4.8.2019), vor wenigen Monaten verließ der Deutschlandmanager das Unternehmen. Die Stelle sei aber bereits wieder neu besetzt, der für Deutschland zuständige Manager arbeite zeitweise in Berlin, zeitweise in Peking, teilte Mobike auf Nachfrage mit. Im Frühjahr stellte Mobike, dessen orange-grauen Räder zuletzt im Test der Stiftung Warentest durchfielen, sein Geschäft in verschiedenen Ländern ein. An einen Rückzug aus Deutschland denke man nicht, so ein Sprecher weiter: „Wir sind happy mit unserem Service.“

Die Prüfung des Leihradanbieters durch die Berliner Datenschutzbehörde ist noch nicht abgeschlossen. Die Behörde hat Mobike aufgefordert, die entsprechenden Verträge mit der Zentrale in China über den Datentransfer vorzulegen. Es solle geprüft werden, ob diese tatsächlich – wie von dem Unternehmen behauptet – den derzeit geltenden Vorgaben der Kommission entsprechen.

Disclaimer: In einer früheren Version des Textes hatte es geheißen, Mobike übermittle Angaben zu Namen und Bezahldaten. Mobike legt Wert auf die Feststellung, dass das Unternehmen selbst nur Mobilfunknummern sammelt und die Bezahldaten direkt an einen Zahlungsanbieter übermittelt werden. Mobike weist außerdem daraufhin, dass sich das europäische Headquarter nicht in Berlin befindet. Zum Zeitpunkt der Prüfung durch die Berliner Datenschutzbehörde hatte die Mobike Germany GmbH ihren Sitz in Berlin, die nach derzeitigem Kenntnisstand der Behörde für die App-Entwicklung verantwortlich war.