Heute ist eine dieser Emails in meiner Mailbox gelandet, wie sie so oft kommen: Wir haben neue Datenschutzbestimmungen, alles ist gut, du brauchst nichts zu tun. Dieses Mal kam die Email von Mobility und darin stand: "Das neue Datenschutzgesetz nimmt die Unternehmen stärker in die Pflicht und erhöht den Schutz personenbezogener Daten. Davon profitierst auch du – und zwar ganz automatisch, ohne etwas zu tun." Als Kunde profitieren und Datenschutzbestimmungen einer Unternehmung passt irgendwie nicht zusammen - ein Grund also, einen kurzen Blick in das Dokument zu werfen.
Das Dokument ist voller Zweideutigkeiten, schlechter Formulierungen und Unklarheiten und Mobility nimmt sich Rechte heraus, die es meiner Meinung nach nicht braucht. Ich habe mir daher mal erlaubt, bei Mobility nachzufragen, was da passiert ist - in der Hoffnung, bei der Firma etwas Sensibilität für das Thema zu wecken.
Datenschutzbestimmungen: https://www.mobility.ch/de/datenschutz-ab-01092023
An: office <at> mobility.ch
Betreff: Re: Aktualisierung der Mobility Datenschutzerklärung
Guten Tag,
gerne möchte ich ein paar Anmerkungen zu den neuen Datenschutzbestimmungen machen. Datenschutzbestimmungen sollten mir grosser Sorgfalt erarbeitet werden, auch wenn sie - leider - nur von wenigen Personen tatsächlich gelesen werden. Mir scheint, dass die Sorgfalt beim Entwurf der neuen Datenschutzbestimmungen von Mobility teilweise auf der Strecke geblieben ist, daher möchte ich einige Anmerkungen dazu machen.
Grundsätzlich ist es wünschenswert, dass bei solchen Änderungen eine Gegenüberstellung der alten und der neuen Version zur Verfügung gestellt wird, so dass man auf einen Blick sehen kann, was die Neuerungen sind. Das wird leider sehr oft nicht so gemacht, auch im vorliegenden Fall leider nicht. Das Minimum wäre eine kurze Erläuterung der wesentlichen Änderungen.
Zu Punkt 3.a), Zugriff auf die Kamera: Eine Verpflichtung der Kundschaft, den Zugriff auf die Kamera zu gewähren, scheint mir absurd und nicht haltbar. Sinnvollerweise müsste es heissen, dass gewisse Funktionen der App nur dann verwendet werden können, wenn der Zugriff auf die Kamera gewährt wird.
Der Satz "Die hinterlegten Daten dienen primär der Leistungsabwicklung und der Kommunikation zwischen Mobility und der Kundschaft": Was soll dieser Satz aussagen? Eigentlich bedeutet er: Wir verwenden die Daten primär so, wie die Kundschaft es erwartet - sekundär tun wir aber damit auch alles andere was wir gerade möchten.
Bei b) "Batteriestatus, Ladezustand und Ladestatus" der Batterie - das wurde wohl nach dem Schreiben nicht mehr sauber durchgelesen, es ist irgendwo zwischen schwammig und redundant. Dass zu Beginn des Satzes steht "Mobility erhebt Daten zum Fahrverhalten der fahrenden Person", danach aber nur von "Daten zum Fahrzeug und dessen Verhalten" die Rede ist, erweckt etwas den Eindruck, dass man geheimhalten möchte, was über die fahrende Person alles erfasst wird.
Wenn die aus der Fahrzeugnutzung erhobenen Daten "zur Gestaltung des Angebotes" verwendet werden, ist das erklärungsbedürftig - die Formulierung klingt nach Verwendung für Werbung.
Absatz d) ist ausserordentlich schwammig: Weder ist klar, um welche Bereiche es sich handelt (abgesehen von der Zahlungsabwicklung) noch wird klar, wie die Kundschaft mit diesen Firmen eine "selbstständige vertragliche Beziehung" eingehen soll. Der Absatz erweckt den Eindruck, dass man möglichst viele Daten an die wenig seriösen Datensammler wie "Intrum" weitergeben will, aber das nicht kommunizieren möchte.
e) Auch hier wird über das "u.a." unnötigerweise ein Blankocheck eingeholt.
f) Newsletter: Unter dem Titel "Newsletter" wird zuerst vom Newsletter gesprochen, den man abonnieren kann. Weiter unten steht dann plötzlich, die Email-Adresse werde für "Werbe- und Marketingzwecke" verwendet. Wenn es nur um den Newsletter geht, könnte man das entsprechend formulieren, hier werden mehr Rechte eingeholt als nötig.
4. a) Daten werden weitergegeben an "das Kredit-, Bonitäts-, Inkassounternehmen mit Sitz in der Schweiz" - der Absatz ist formuliert, als ob es nur ein solches Unternehmen mit Sitz in der Schweiz gebe, was nicht der Fall ist. Laut den alten Bestimmungen arbeitet Mobility mit "Intrum". Der Absatz wirkt, als ob gebastelt wurde, bis man den Namen Intrum irgendwie weg hatte, um einen Reputationsschaden zu verhindern. Es ist ja allgemein bekannt, dass Intrum es an der notwendigen Seriosität missen lässt (bewusste Falschauslegung von Art. 106 OR, falsche Verwendung der Verzugsschadentabelle des Verbandes der Inkassounternehmen, Anzeigen wegen Nötigung am Telefon etc.), da kann ich verstehen, dass man den Namen nicht erwähnen will - sinnvoll wäre allerdings Transparenz oder ein Verzicht auf eine Zusammenarbeit mit der Firma.
Dass bei b) "Soft und Hardwareunternehmen mit Sitz in der Schweiz" in Anführungszeichen gesetzt wurde, spricht für sich. Es ist unklar, was damit gemeint sein soll, zudem werden Ausweisprüfungen ja oft gerade nicht von solchen Unternehmen gemacht, sondern von Tochtergesellschaften von Intrum oder der Swisscom. Was ein "Hardwareunternehmen" mit Identifikationen zu tun hat erschliesst sich mir nicht.
e) steht im Widerspruch zur Einleitung von 4.): Mobility will Daten nur im Zusammenhang mit der Geschäftstätigkeit (also der Vermietung von Fahrzeugen) bekanntgeben. In e) hingegen nimmt sich Mobility das Recht heraus, Daten an Veranstalter, ÖV-Betreiber und "andere Unternehmen" aus dem Bereich "individuelle Mobilitätsdienstleistungen" weiterzugeben. Auch das wirkt eher wie ein Blankocheck als wie die in Ihrer Mail versprochene sparsame Umgehensweise mit Kundendaten.
j) scheint mir unsorgfältig formuliert: Was soll das "inkl. der Fahrzeuge" am Schluss des Satzes aussagen?
Datenweitergabe ins Ausland: Wozu wird Indien hier aufgeführt? Betreibt Mobility Offshoring bei der Softwareentwicklung? Die umfangreiche Liste zeugt nicht gerade von Bemühungen, eine datensparsame Unternehmung zu sein.
Zum Einsatz von Google Analytics: Es gibt überhaupt keinen Grund, Google Analytics einzusetzen, abgesehen von der Faulheit der Entscheider in der IT-Entwicklung. Es gibt genügend Lösungen, welche denselben Funktionsumfang bieten und die aus Sicht Datenschutz unproblematisch sind. Ein Beispiel dafür ist Matomo, ein reifes Open Source-Produkt, dass jeder auch nur halb begabte DevOps Engineer innerhalb einer Stunde installiert hat. Es ist absurd, auf das Opt-Out von Google zu verweisen - das ist schlicht nicht praktikabel für die Nutzer.
Aus dem Abschnitt wird nicht klar, ob Google Analytics auch in der App eingesetzt wird. Wenn ja, wie funktioniert dort das Opt-Out? Hier gibt es schliesslich keine "Einstellung der Browser-Software".
Der zweitletzte Abschnitt von 5. ist nicht akzeptabel: Wie bitte soll man die Datenschutzbestimmungen der "weiteren Dritten" lesen, wenn diese Dritten nicht mal aufgelistet werden? Es ist absurd, wie hier versucht wird, sich aus der Verantwortung zu stehlen und man sich nicht mal die Mühe macht, zu analysieren und darzustellen, welche Dienste eingebunden wurden.
Ich erspare mir Ausführungen zu 6. Social Plugins. Nur so viel: Mit geringem technischem Aufwand können diese so eingebettet werden, dass Daten nur auf expliziten Wunsch der Nutzer weitergegeben werden. Firmen, die sich ernsthaft für Datensparsamkeit einsetzen, setzen das so um.
Dies sind nur einige Punkte, die mir beim Durchlesen der neuen Datenschutzbestimmungen aufgefallen sind. Grundsätzlich scheint mit bei Mobility wenig Interesse an Datensparsamkeit vorhanden zu sein, oder aber es fehlt am Fachwissen dazu. Ich würde mir wünschen, dass man sich bei einer nächsten Revision etwas mehr Mühe gibt - und hoffe, dass die vorliegenden Datenschutzbestimmungen durch Nachlässigkeit entstanden sind und nicht die beim Management von Mobility vorherrschende Kultur und Denkweise widerspiegelt.
Als Vorschlag für einen ersten Schritt: Mobility sollte eine(n) Datenschutzbeauftragten ernennen und diese(n) als Ansprechperson für Datenschutzfragen aufführen. Damit zeigt man als Unternehmen schon mal, dass man das Thema einigermassen ernst nimmt.
Freundliche Grüsse,
Comments