Markus Reuter

BMW hat Standortdaten eines Fahrzeuges seines Carsharingdienstes DriveNow in einem Kriminalfall an das Landgericht Köln übergeben. Das berichtet Spiegel Online unter Berufung auf das Manager Magazin:

Laut dem Bericht des Magazins konnte das Gericht anhand der Daten von BMW die Wegstrecke sowie die gefahrenen Geschwindigkeiten genau rekonstruieren. Außerdem waren weitere Informationen wie beispielsweise die Außentemperatur oder die Position des zur Buchung verwendeten Mobiltelefons in den Daten enthalten.

Wenn man den Pressestellen von DriveNow und BMW glaubt, ist unklar, woher die Daten eigentlich stammen. DriveNow dementiert, dass man solche Daten speichere. BMW selbst verweist auf mehrere „Datenspeicher“ im Fahrzeug, aus denen sich jedoch keine Bewegungsprofile erstellen ließen. Aber das Gericht sagt dem Manager Magazin, dass die Daten aus dem „Datenbestand von BMW“ stammten.

BMW hatte in der Vergangenheit schon Datenschutzprobleme bei seinem Fahrzeugen. Im Februar dieses Jahres hatte der ADAC herausgefunden, dass bestimmte Fahrzeuge des Herstellers Standortdaten speichern. Die Polizei NRW hatte bei der Anschaffung von BMW-Fahrzeugen deswegen extra vertraglich festgelegt, dass keine Daten an BMW übermittelt werden.

Wir haben die Pressestellen von DriveNow und bei BMW angeschrieben und um Klärung gebeten, woher die Daten stammen. Sobald wir eine Antwort haben, veröffentlichen wir diese hier.

Update:
Auf Anfrage von netzpolitik.org erklärt DriveNow:

Bei den Daten handelte es sich um Fahrzeugdaten. BMW hat diese auf staatsanwaltliche Anfrage geliefert, um den schlimmen Unfall aufzuklären. DriveNow war hierbei nicht involviert.
Wir speichern ausschließlich Start- und Endpunkte einer Fahrt, aber legen keine Bewegungsprofile an. Einen Beispieldatensatz der Start- & Endpunkte kann ich Ihnen leider nicht senden. Im Grunde umfasst er den Standort (Straße/Hausnummer, wie auch in der DriveNow App bei jedem Fahrzeug angezeigt wird) und die genaue Zeit des Mietstarts und des Mietendes eines Kunden, woraus dann die Rechnung erstellt wird.

Und BMW hat nun auch geantwortet:

Die BMW Group erhebt und speichert keine Bewegungsprofile ihrer Kunden.

Um den Betrieb von Fahrzeugen im Carsharing zu ermöglichen, werden ausschließlich diese Carsharing Fahrzeuge mit einem gesonderten Carsharing Modul (CSM) ausgestattet, das beispielsweise die Standortdaten des Fahrzeugs speichert. Das Carsharing Modul (CSM) ist nicht ab Werk in Fahrzeugen der BMW Group verbaut, sondern wird ausschließlich zur Durchführung von Carsharing Diensten nachträglich eingebaut (derzeit ca. 5.000 Fahrzeuge weltweit).

Das CSM speichert während der Fahrt bestimmte Daten zum Fahrzeugzustand und ‑betrieb im Carsharing Modul innerhalb des Fahrzeugs. Die Daten im CSM werden in verschlüsselter Form im CSM gespeichert und rollierend überschrieben.

Der Carsharing-Betreiber (zum Beispiel DriveNow) erhält Orts- und Zeitangabe von Mietbeginn und Mietende zu einem bestimmten Fahrzeug zum Zwecke des Dienstangebots und zur Rechnungsstellung an den Kunden.

Weitere Daten aus dem CSM stehen dem Carsharing-Betreiber nicht zur Verfügung. Sie werden ausschließlich von der BMW Group und nur im Einzelfall zu konkreten Supportzwecken bei Kundenrückfragen/-beschwerden oder technischen Problemen abgerufen.

Die BMW Group hat keinen Zugriff auf die Vertragsdaten eines Kunden, die eine Identifikation des Kunden ermöglichen. Diese liegen ausschließlich beim Carsharing-Betreiber. Die BMW Group kann daher aufgrund der CSM Daten nicht nachvollziehen, welcher Kunde ein Fahrzeug genutzt hat und damit keine Verbindung zwischen Fahrzeug- und Kundendaten herstellen.

Im vorliegenden Fall des im Sommer 2015 in Köln verunfallten Fahrzeugs wurden nach behördlicher Aufforderung die Fahrzeugdaten durch die BMW Group aus dem CSM abgerufen und damit sichergestellt. Dieser Datensatz wurde aufgrund einer staatsanwaltlichen und gerichtlichen Anforderung an das Landgericht Köln herausgegeben. Dort wurden die beiden Datensätze des Fahrzeugs und des DriveNow Kunden zusammengeführt und daraus ein personenbezogenes Bewegungsprofil rekonstruiert.