Internet-Law

Onlinerecht und Bürgerrechte 2.0

16.1.10

Die Datenerhebung ist allgegenwärtig, selbst auf der Skipiste

Passend zur Jahreszeit ein Datenschutzthema für die Freunde des Wintersports. Die Handlung spielt in Österreich – sie wäre in Deutschland natürlich keinesfalls denkbar – und ist leider nicht frei erfunden.

Seit der Zugang zu Skiliften über Chipkarten erfolgt, wird jede einzelne Liftfahrt des Skifahrers erfasst und gespeichert. Als Nebenprodukt dieser Datenspeicherung bieten die österreichischen Skigebiete den Skifahrern einen interssanten Service namens Skiline an. Man kann dort online seine Skipassnummer, die auf der Chipkarte steht, eingeben und erhält anschließend eine genaue Auswertung der einzelnen Liftfahrten die man unternommen, der Höhenmeter die man überwunden und der Pistenkilometer die man zurückgelegt hat. Das ist beeindruckend. Der Anbieter fragt für diesen Service allerdings den Namen und eine E-Mail-Adresse ab. Wozu eigentlich? Gab es da nicht irgendwann die rechtliche Vorstellung, dass man Webservices grundsätzlich auch anonym nutzen darf, sofern es für die Datenerhebung keinen zwingenden Grund gibt? Und für diese Datenerhebung gibt es nun wirklich keinen Anlass, denn die Liftkarte kauft man sich schließlich immer noch anonym an der Kasse des Skilifts.

Aber, der Anbieter von Skiline – nach eigenen Worten das Facebook für Skifahrer – hätte gerne auch noch die Adressdaten des Wintersportlers, denn eine Anmeldung zur Community bringt selbstverständlich weitere erhebliche Vorteile. Zusätzliche Daten wie Alter, Geschlecht, Skifahrer oder Snowboarder werden dann abgefragt, die Angaben sind allerdings freiwillig. Erst in den Nutzungsbedingungen – die man selbst anklicken muss – heißt es dann, dass man sein „Einverständnis“ dazu erteilt, sich einen Newsletter zusenden zu lassen und seine (personenbezogenen) Daten an ein Unternehmen in Österreich und ein weiteres in der Schweiz weiterzugeben. Wie diese Daten von diesen Unternehmen genutzt und verarbeitet werden, erfährt der Nutzer freilich nicht.

Dass so etwas innerhalb der EU möglich ist und dann noch im Kontext eines Massensports, mithin also mit einer entsprechenden Breitenwirkung, ist mehr als erstaunlich. Die für den Datenschutz zuständigen Aufsichtsbehörden sind in Österreich offenbar noch schläfriger als hierzulande.

Für mich ist das erneut ein schönes Beispiel dafür, wie im Datenschutz Theorie und Praxis auseinanderklaffen. In der Theorie werden die Anforderungen an den Datenschutz laufend erhöht, was aber in der Praxis niemanden wirklich kümmert. Der Datenschutz läuft Gefahr so zu enden, wie die Prohibition. Und das wäre vor allen Dingen für den Bürger eine Katastrophe. Deshalb muss das nächste Datenschutz-Audit ein allgemeiner Reality-Check sein und zwar EU-weit.

P.S. Ich habe das ganze Prozedere natürlich im Wege des Selbstversuchs getestet, einen Namen und eine E-Mail-Adresse bei Skiline angegeben und zu meiner Überraschung festgestellt, dass ich gestern im Zillertal 23 Liftfahrten unternommen, 103 Pistenkilometer zurückgelegt und 12.700 (!) Höhenmeter überwunden habe. Meine Freundin sagt immer, Skifahren sei ein perverser Sport. Und vermutlich hat sie Recht.

posted by Stadler at 12:00  

Keine Kommentare

  1. Herr Stadler, Sie stellen diese Web-Site als Beispiel für unnötige Sammlung von persönlichen Daten und weniger aufdringlichem Hinweis auf die Datenschutzbedingungen heraus. In dieser Hinsicht scheint mir das eher als weniger schwerer und interessanter Fall.
    (Wenn Sie der Fall als solcher wirklich interessiert, beachten Sie ggf. die 3 oder vier
    deutschen Skigebiete, die miterfasst sind und den leicht im Impressum zu findenden
    "juristischer Beirat für Datenschutz: Dipl.-Ing. Dr. iur. Dr. techn.").

    Mir scheint es interessanter, dies als Beispiel für die Datenschutzproblematik bei RFId
    (oder ähnlich eingesetzten Identifkationstechniken) zu betrachten:
    – ohne weitere Autorisierung wird irgend jemand nur mit Kenntnis der Nummer Ihres Ski-Tickets in die Lage versetzt ein Bewegungsprofil abzufragen! es ist nicht offensichtlich wie das System mit der zweiten Anmeldung für die selbe Ticketnr. umgeht, evt. wird hier der legitime Eigentümer dann ausgesperrt! (eine Freundin informiert sich genauer über "perverse" Aktivitäten:-)?
    – wie offensichtlich und leicht zugänglich sind die Datenschutzhinweise an der Verkaufsstelle des Skipasses (und auf dem Skipass)?
    – ist die Verwendung der Daten da korrekt beschrieben?
    – wird die Datenverwendung implizit oder ausdruecklich genehmigt?

    Comment by Anonymous — 16.01, 2010 @ 13:57

  2. @anonym: Solange Sie Ihre Karte an der Kasse anonym kaufen, kann man zwar schöne Bewegungsprofile erstellen, aber die Daten sind nicht personenbezogen. Richtig interessant wird es erst, wenn der Personenbezug hergestellt wird.

    Datenschutzhinweise gibt es an den Kassen m.W. keine.

    Comment by Pavement — 16.01, 2010 @ 14:20

  3. Ein Grund mehr, beim Langlauf zu bleiben.

    Comment by code — 18.01, 2010 @ 08:44

  4. Herr Stadler, sie sind so ein Schwätzer.
    Sie kennen sich überhaupt nicht im öDSG aus, sonst würden sie nicht solch einen Unsinn publizieren….
    Aber auch die Anwälte in D sind bekannt dafür, Mund vor dem Gebrauch des Hirns einzuschalten.

    Comment by Anonymous — 21.02, 2010 @ 11:05

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.