München, Berlin, Frankfurt, Hannover - in immer mehr deutschen Städten bietet Obike Leihfahrräder an. BR Data und BR Recherche haben nun ein Datenleck beim Anbieter der gelben Räder entdeckt. Persönliche Daten und Bewegungsdaten von Nutzern auf der ganzen Welt waren bis vor Kurzem frei zugänglich.

You can find an English version of this text here.

Namen aus Deutschland, Handynummern aus der Schweiz, E-Mailadressen aus Großbritannien, Profilfotos aus Malaysia. Journalisten von BR Data und BR Recherche konnten im Internet Nutzerdaten des Fahrradverleihs Obike einsehen. Die Daten waren weder verschlüsselt noch anderweitig geschützt, sogar exakte Bewegungsdaten von Fahrten mit den Leihrädern lagen nach BR-Informationen mindestens zwei Wochen lang offen. Obike-Nutzer auf der ganzen Welt waren von diesem Datenleck betroffen.

Die Recherchen des BR zeigen, dass vor allem die Social-Media-Funktionen der Smartphone-App problematisch waren. Die App von Obike bietet Nutzern die Möglichkeit, Einladungs-Codes und Fahrten in den sozialen Netzwerken zu teilen. Damit ermöglichten sie, ohne es zu merken, den direkten Zugriff auf ihre persönlichen Daten. Kriminelle hätten durch diese Sicherheitslücke Kundendaten kopieren können - auch von Nutzern, die nichts über soziale Netzwerke geteilt haben. Nachdem der BR die Firma Obike mit dem Datenleck konfrontiert hatte, wurden die Sicherheitslücken geschlossen. Schriftlich teilt Obike mit:

"Obike tut alles, um eventuelle Sicherheitslücken schnell zu beheben und Nutzerdaten zu schützen." Obike auf eine BR-Anfrage

Karte der von oBike gespeicherten Bewegungsdaten

Der BR hat eine Testperson auf eine Fahrt mit einem Obike geschickt. Der genaue Streckenverlauf war danach im Netz frei einsehbar.

Am Schwarzmarkt sind Nutzerdaten wie die von Obike Gold wert. Erst vergangene Woche machte ein Daten-Diebstahl beim US-Fahrdienstleister Uber Schlagzeilen. Der Konzern zahlte Hackern 100.000 Dollar, damit sie die gestohlenen E-Mail-Adressen und Telefonnummern von Kunden vernichten.

Verstoß gegen Datenschutzgesetz

Persönliche Informationen wie diese waren über die Obike-Schnittstelle einsehbar (zum Teil durch den BR unkenntlich gemacht)

Auch wenn das Datenleck bei Obike mittlerweile behoben ist, der fahrlässige Umgang mit den Nutzerdaten könnte dennoch Folgen haben. Das Bayerische Landesamt für Datenschutzaufsicht (LDA) bestätigte dem BR, dass es sich bei dem Datenleck um einen Verstoß gegen das Datenschutzgesetz handle: „Die Firma Obike begeht nach unserer Auffassung einen datenschutzrechtlichen Verstoß, weil die Vorgaben der Datensicherheit nicht eingehalten sind“, sagte LDA-Präsident Thomas Kranig. Seinen deutschen Firmensitz hat Obike in Berlin. Die BR-Recherchen haben die Berliner Datenschutzbeauftragte alarmiert:

"Zur Vorbereitung eines Kontrollverfahrens prüft die Berliner Beauftragte für Datenschutz und Informationsfreiheit derzeit ihre Zuständigkeit für diesen Sachverhalt." Die Berliner Datenschutzbeauftragte

Und es gibt noch ein weiteres Problem mit Obike: Der Service des Fahrradverleihs verstößt nach Ansicht von Datenschützer Thomas Kranig auch gegen das Transparenzgebot. Denn welche Daten Obike von seinen Nutzern erfasse und was damit geschehe, sei beim Download der App nicht ersichtlich: „Es gibt Informationen, dass sie Bewegungsprofile erstellen und dass sie diese sogenannten verbundenen Unternehmen zur Verfügung stellen. Aber der Nutzer erfährt nicht, zu welchen Zwecken das gemacht wird und auch nicht, welche diese verbundenen Unternehmen sind, die diese Bewegungsprofile erhalten sollen“, so Kranig.

Markenrechte im Steuerparadies

Welche Unternehmen mit Obike verbunden sind, ist gar nicht so leicht herauszufinden. Denn hinter Obike steht ein internationales Geflecht an Firmen: OBG Germany GmbH, oBike Asia Pte Limited in Singapur oder etwa Obike Inc. im Steuerparadies Britische Jungferninseln. Obike teilt sich zudem einige Geschäftsadressen oder Mitarbeiter mit den Firmen Avazu und DotC United - Firmen, die unter anderem mit Online- und App-Werbung ihr Geld verdienen. Obike bestreitet, seine Nutzerdaten mit diesen Firmen zu teilen und teilt auf Anfrage schriftlich mit: “Das Geschäftsmodell von oBike in Deutschland sieht es heute nicht vor, Werbung von Dritten über die App auszuspielen.“ Die europäischen Rechte an der Marke Obike liegen bei der Firma DotC United Inc., die ebenfalls auf den Britischen Jungferninseln registriert ist.

Steuerexperte Gerhard Wipijewski von der Bayerischen Finanzgewerkschaft hat Erfahrung mit ähnlichen Firmenkonstruktionen:

"Ohne dass ich den konkreten Fall kenne, ist davon auszugehen, dass der Preis für die Markennutzung sehr hoch ist. In Deutschland bleibt dann von den Gewinnen, die dieses Unternehmen erzielt, nichts bis nur sehr wenig übrig und der Großteil des möglichen Ertrags fließt ins Ausland, landet auf den Britischen Jungferninseln und wird dort weitgehend steuerfrei sein." Gerhard Wipijewski, Bayerische Finanzgewerkschaft

Obike teilte dem BR mit, die Markenrechte für Obike lägen bei Dotc United, weil sich Obike noch in der Gründungsphase befunden habe, als die Firma im Juni dieses Jahres in Europa an den Start ging. Alle Einkünfte von Obike in Deutschland würden in Deutschland versteuert.

Mittlerweile ist Obike dabei, weiter zu expandieren. Noch in diesem Jahr sollen die gelben Räder auch in Städten wie Prag, Athen, Budapest und Lissabon stehen. In Deutschland möchte Obike nun auch in kleinere Kommunen gehen. Landshuts Oberbürgermeister Alexander Putz beispielsweise posierte bereits auf Facebook mit einem Obike und nannte das Konzept spannend. Allerdings kannte er da die BR-Recherchen noch nicht. Jetzt will er sich das noch einmal überlegen.

"Die Gier nach Daten im Mobilitätssektor ist groß. Chinesische Anbieter sind neu auf dem deutschen Markt. Dass so kurz nach dem Start in Deutschland eine Datenpanne passiert, wirft viele Fragen auf. Wenn Fahrradverleih mit einem datengetriebenen Geschäftsmodell verknüpft wird, muss Datenschutz und Datensicherheit auf höchstem Niveau gesichert sein." Marion Jungbluth, Verbraucherzentrale Bundesverband (vzbv)