Unternehmen sollten lieber nicht mal eben heimlich ihre Kunden überwachen 

Diese Woche kam heraus, dass der Autovermieter Europcar wegen Verstoßes gegen den Datenschutz 54.000 Euro Bußgeld zahlen muss. Seit mehreren Jahren hatte Europcar  nämlich in Mietwagen der Premium-Klasse GPS-Systeme installiert und konnte somit jederzeit orten, wo sich der jeweilige Wagen befand. Neben dem Standort wurden auch Datum, Zeit und Geschwindigkeiten aufgezeichnet – und all das ohne Wissen der Mieter.

Datenschutzrechtlich relevant ist der Fall nun, weil dank der erhobenen Daten die Erstellung eines umfangreichen Bewegungsprofils der Auto-Mieter möglich war. Das Motiv von Europcar für die Überwachungsaktion war klar: Es ging um die Sicherung der eigenen Fahrzeugflotte vor Diebstählen und vor Gefährdungen durch vertragswidrigen Gebrauch. Das ist unternehmerisch sicher nachvollziehbar. Doch unter dem Blickwinkel des Datenschutzrecht muss Europcar ein sogenanntes berechtigtes Interesse vorweisen können, das zudem die Interessen der Mieter überwiegen muss, wenn solch eine Ortung zulässig sein soll.

Christoph Rittweger, Partner und Leiter des IT-Teams bei Baker & McKenzie

Da die Mieterinteressen bei einem so erheblichen Eingriff in die Persönlichkeitsrechte unabhängig von einem konkreten Verdacht wurden gleich alle Mieter von Premium-Wagen derart überwacht – typischerweise überwiegen, ist die Einwilligung des Mieters typischerweise das einzige Mittel, die Überwachung rechtmäßig zu gestalten.

Autovermietern sowie Vermietern anderer Premiumgegenstände, die eine Überwachung ihrer Mietgegenstände wünschen, wird daher nichts anderes übrig bleiben, als Transparenz an den Tag zu legen: Sie müssen ihre Kunden vorher über die beabsichtigte Überwachung informieren und die Einwilligung der Mieter einholen – oder eben auf deren Überwachung oder die Vermietung an sie ganz verzichten, wenn der Mieter die Einwilligung verweigert.

British Airways´ Ideen erhitzen die Gemüter auf der Insel  

Doch nicht nur das Misstrauen in die eigenen Kunden, sondern auch Maßnahmen, die vermeintlich der Verbesserung des Services und der Förderung der Kundenzufriedenheit dienen sollen, können datenschutzrechtlich Fallstricke aufweisen. Dies zeigen beispielsweise die Pläne von British Airways, Daten ihrer Passagiere zusammenzustellen, um diese bereits vorab kennenzulernen. Dabei will die Airline nicht nur allgemeine konzerninterne Daten über geflogene Routen oder Buchungsmodalitäten horten, sondern auch persönliche Informationen wie die bisherige Menüauswahl oder frühere Beschwerden. Abgerundet werden soll das persönliche Dossier, das den Flugbegleitern per Tablet-PC übermittelt werden soll, durch Fotos der Passagiere, die durch Recherche bei Google erfasst werden.

Mag eine persönliche Begrüßung für Fluggäste schmeichelhaft sein und ihnen das Gefühl geben, tatsächlich König zu sein. Doch spätestens sobald sensible Informationen recherchiert und verwendet werden -wie Hinweise auf Nahrungsmittelunverträglichkeiten zum Beispiel -, dürfte die Kunden trotz aller Vorteile eines personalisierten Services, jedoch ein mulmiges Gefühl beschleichen. So laufen auch Datenschützer in Vereinigten Königreich Sturm gegen die Pläne von British Airways.

Unternehmen sollten die Finger vom heimlichen Sammeln und Verknüpfen von öffentlich zugänglichen Daten via Facebook und Google lassen

Diesem ungute Gefühl entspricht auch eine rechtliche Regel: Denn Datenschutzgesetze in der EU gehen im Ausgangspunkt von einer strengen Zweckbindung und der Transparenz bei der Erhebung und Verwendung von Daten aus. Sollen also Daten, die im Rahmen einer Geschäftsbeziehung gesammelte werden, über die Erfordernisse der Eingehung, Erfüllung oder Beendigung der Vertragsbeziehung hinaus verwendet werden, ist dies nur in Grenzen zulässig.

Gleiches gilt für die Verknüpfung von solchen Daten mit den Daten, die im Internet öffentlich zugänglich sind. Eine solche Verwendung hat selbst bei dem berechtigten Interesse des Dienstleisters zur Verbesserung des Services einer Abwägung mit Persönlichkeitsrechten der Kunden standzuhalten. Die Zusammenfügung von Informationen zu einem umfassenden Profil, zudem mit Informationen aus verschiedenen Quellen – ich denke  da an die Option Facebook -, dürfte dieser Anforderung jedoch nicht mehr genügen.

Auch solche Maßnahmen sind nur zulässig, wenn die Kunden zuerst transparente Information bekommen über die konkret beabsichtigte Datenverwendung – und sie gegebenfalls hierzu ihre eine Einwilligung geben.

In vier Jahren steigen die Geldbussen für Datenschutzverstöße von Unternehmen möglicherweise bis auf zwei Prozent vom weltweiten Jahresumsatz 

Dienstleister sollten daher bei der Nutzung von Daten zu eigenen Geschäftszwecken für die Erfordernisse des Datenschutzrechts sensibilisiert sein und im Zweifel ihre Kunden vorab über ihre Pläne informieren. Und – falls erforderlich, die Einwilligung der Kunden einholen. Gerade wenn die Datenverwendung in die Richtung von Bildung von Profilen geht. Spätestens mit Inkrafttreten der neuen europäischen Datenschutzverordnung – derzeit für 2016 erwartet – drohen bei Verstößen übrigens empfindliche Geldbußen: Immerhin bis zu zwei Prozent des weltweiten Jahresumsatzes kann dann die Obergrenze betragen.