Die meisten Retro Hotels speichern massenweise Daten: Unsere E-Mail Adresse, unsere IP-Adresse, unseren IP- und Login-Verlauf mit Standort- sowie Uhrzeitangaben, alle unsere Chatlogs in öffentlichen Räumen, als auch im privaten Chat. Alles was ich sage, wird von erster Minute an aufgezeichnet. Einige von ihnen speichern sogar unsere MAC-Adresse. Dabei ist spätestens nach der von der Europäischen Union verabschiedeten Datenschutzgrundverordnung klar: Einfach so speichern, das geht nicht. Der Nutzer muss ein Recht auf informationelle Selbstbestimmungen haben, hat ein Recht auf Auskunft und muss transparent einsehen können, was zu welchem Zweck gespeichert wird. Datenschutzrechtlich betrachtet sind Retro Hotels jedoch noch bei weitem nicht auf dem aktuellen Stand der Dinge.

Die Zweckbindung nach Art. 5 Abs. 1c DSGVO

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden […]

So schreibt es die DSGVO vor. Wenn es um den Zweck der Datenspeicherung in Hotels geht, wird man beispielsweise im Bezug zu Chatlogs schnell zu dem Entschluss kommen, dass Chatdaten gespeichert werden müssen, um Regelbrecher aus dem Hotel ausschließen zu können. Das ist natürlich ein legitimer Zweck: Durch das Speichern von Chatdaten können User, die sich gegen die Regeln oder Gesetze verhalten, eindeutig identifiziert und bestraft werden. Nicht zuletzt spielt dabei die Beweissicherung eine Rolle. Gerade in öffentlichen Räumen ist das Speichern von Chatverläufen als notwendig anzusehen, da es sich im übertragenen Sinne um einen öffentlichen Raum handelt, der jeder beliebigen Person zugänglich ist. Es ist in aller Regel auch so, dass man auf das Speichern nach dem Login hingewiesen wird. Fraglicher wird diese Thematik im Bezug auf das Speichern und Auswerten von Privatchats, die eigentlich nur von zwei Parteien, dem Absender und Empfänger, gelesen werden können.

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen […]

Art. 6 Abs. 1f DSGVO

Unseren Grundrechten nach ist das private, gesprochene oder geschrieben Wort zumindest unverletzlich – ebenso wie die “Wohnung”, also das, was in unseren eigenen vier Wänden geschieht. Aus dieser Privatsphäre hat sich der „Staat“ rauszuhalten. Zurecht kann man sich die Frage stellen: Hat das Retro Hotel überhaupt das Recht, alles, was ich in einem abgeschlossenen Raum oder privaten Chat versende, mitzulesen, oder ignoriert das nicht jeglichen Grundsatz der Verhältnismäßigkeit? Darüber kann man sich streiten. Dem entgegen halten kann man zumindest, dass auch im privaten Chat Regelbrüche möglich sind, weswegen eine Kontrolle auch hier unabdingbar ist. Doch reicht es nicht, den Chatverlauf erst dann zu speichern, wenn man auf ein regelwidriges Verhalten etwa durch einen Hilferuf aufmerksam gemacht wird?

Im Internet herrscht schon ohnehin das “Notice and Takedown“-Prinzip. Es besagt, dass Betreiber einer Plattform erst dann zum Handeln angehalten sind, sobald sie von einem offensichtlichen Gesetzesverstoß Kenntnis erlangen – sie müssen nicht präventiv alles kontrollieren, was auf ihrer Plattform geschieht. Insgeheim wissen wir jedoch natürlich auch, dass es beim Speichern des Chats nicht nur um rechtliche Bedenken geht, sondern viel mehr um die Gefahr, dass ein User andere User abwerben könnte. Das möchte man natürlich mit allen möglichen Mitteln verhindern. Zu einer möglichen Lösung des Problems kommen wir später.

Datenminimierung und Speicherbegrenzung

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“) [und] in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. („Speicherbegrenzung“) […] 

Den Zweck der Datenerhebung haben wir bereits geklärt. Nach Gesetz müssen sie jedoch erheblich auf den Zweck in einem notwendigen Maße beschränkt sein. Fraglich ist, ob durch das Speichern von Chatverläufen, teils über Wochen oder Monate hinweg, die Verhältnismäßigkeit weiterhin geachtet ist. Theoretisch wäre es doch denkbar, Chatverläufe nur für einen unmittelbar betroffenen Zeitraum zu speichern, je nach Auffassung etwa 1 bis 2 Tage, und danach automatisch leeren zu lassen. Auch könnte man Chatverläufe eines Users schon dann löschen, wenn er gebannt wurde. Denn spätestens dann sind sie für die Identifizierung der betroffenen Person nicht mehr von Nöten und mit dem Erteilen der Sanktion, haben diese keine Funktion mehr. Allenfalls könnte man diejenigen Chatverläufe zwecks Beweissicherung noch einige Zeit separat speichern lassen, die für den Vorfall von Relevanz sind. Retro Hotels speichern jedoch Tag für Tag abertausende Sprechblasen – gelöscht werden sie nur in unregelmäßigen Abständen, die für uns nicht einsehbar sind.

Das betrifft auch unsere Login-Logs. Speichert man diese über einen längeren Zeitraum hinweg, kann man dadurch Rückschlüsse auf das Onlineverhalten einer Person schließen: Wann loggt sich der User für gewöhnlich immer ein und wie lange bleibt er online? Dass so etwas kein Retro Hotel im Grundsatz interessieren dürfte, ist unsere berechtigte Annahme. Man sollte sich jedoch nicht in naiver Sicherheit wiegen und immer kritisch hinterfragen.

Datenschutzrechtlich käme auch ein “Just-in-Case“-Prinzip in Bedacht. Die präventive Vorratsdatenspeicherung, wie sie hierzulande angestrebt wurde, löste nicht umsonst hitzige Debatten aus. Ein Generalverdacht ist das letzte, was man gebrauchen kann. Das vorgeschlagene Prinzip sieht vor, dass die Daten nur temporär gespeichert werden – etwa für 1 Stunde – aber dann vom System automatisch gelöscht werden, wenn der betroffene User in diesem Zeitraum nicht gemeldet wurde. Wurde er gemeldet, bleiben die Chatlogs weiter bestehen, bis sich ein Mitarbeiter den Vorfall angeschaut hat. Die Chatlogs werden so etwa in einer temporären Tabelle der Datenbank verschlüsselt hinterlegt, und können vom Emulator jederzeit entschlüsselt und aufgerufen werden, sobald der betroffene User per Hilferuf gemeldet wurde. Anderenfalls werden sie nach einer gewisser Zeit automatisch gelöscht, da ihnen keine Bedeutung mehr zukommt. Auch hindert man dadurch das unbefugte Abfragen dieser Chatlogs durch Mitarbeiter oder Dritte.

Der Europäische Gerichtshof entschied so in einer Dashcam-Entscheidung beispielsweise, dass im Auto angebrachte Dash-Cams nur dann ununterbrochen aufzeichnen dürfen, wenn die Aufzeichnungen unmittelbar danach wieder zerstört werden – eine Speicherung darf nur geschehen, wenn etwa ein Aufprall registriert wird (Dashcams mit Sensoren). Damit wäre die Zweck-Mittel-Relation wiederhergestellt. Wer jedoch eine Dashcam installiert, die permanent das Geschehen im Verkehr aufzeichnet und auf einen Datenträger ablegt, für den Fall, dass es irgendwann einmal zu einem Unfall kommen könnte, verhält sich unverhältnismäßig und damit unzulässig.

Damit lassen sich im übertragenen Sinn Parallelen zur Aufzeichnung von Chatlogs ziehen. Ist es wirklich erforderlich, jede abgesendete Nachricht für einen unbestimmt langen Zeitraum abzuspeichern? Die Zweck-Mittel-Relation scheint in dieser Hinsicht bedenklich. Selbst wenn dies verhältnismäßig wäre, müsste man sicherstellen, dass die Daten auch nur für den legitimen Zweck verarbeitet werden – und auch nicht zu anderen Anlässen.

Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, […] durch geeignete technische und organisatorische Maßnahmen […].

Retro Hotels müssen technische Maßnahmen ergreifen, um einen Missbrauch vorzubeugen. Die personenbezogenen Daten wie E-Mail Adresse und IP-Adresse, aber auch letzte Loginverläufe, müssten verschlüsselt werden, damit sie nicht von Dritten im Falle einer Sicherheitslücke ausgelesen werden können. Dasselbe betrifft Chatlogs: Die Speicherung im Klartext ist eigentlich tabu – denn gelangt die Datenbank an die Öffentlichkeit, was schon öfters geschehen ist, sind sämtliche Chatverläufe für die Öffentlichkeit bekannt. Es obliegt daher der Verantwortung der Betreiber, Sicherheitsmechanismen einzubauen: Etwa eine Verschlüsselung, die sicherstellt, dass die Chatverläufe nur vom eigenen System mit einem bestimmten Key wieder entschlüsselt werden können.

Die potentielle Gefahr des Missbrauchs geht jedoch nicht nur von Dritten aus, sondern auch von Hotelmitarbeitern selbst. Wer stellt eigentlich sicher, dass nicht irgendein neugieriger Mitarbeiter meine Chatverläufe mitliest, nur weil es ihn interessiert, obwohl das gar nicht der legitime Zweck der Sache ist? Wir wissen gar nicht, wer genau Zugriff auf die Chatlogs hat und was er mit diesem Zugriff macht. Offizieller Weise dürfte der Mitarbeiter Chatverläufe nur dann lesen, wenn er berechtigten Grund zur Annahme eines Regel- oder Gesetzesbruches durch den User hat. Die Administration müsste daher den Zugriff auf Chatlogs insoweit begrenzen, dass sie beispielsweise nur nach einem Hilferuf zugänglich gemacht werden können, oder der Mitarbeiter für jeden gesuchten Chatlog, etwa im Housekeeping, Rechenschaft und Begründung für die Abfrage leisten muss: „Warum habe ich mir diesen Chatlog durchgelesen?“ Es muss sicher gestellt werden, dass die Chatlogs nicht willkürlich durch x-beliebige Hotelmitarbeiter eingesehen werden können, ohne, dass irgend jemand etwas davon weiß.

Rechenschaftspflicht

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). […] Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […] die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln […]

In der Theorie müssten uns Retro Hotels nachweisen und erklären können, welche Daten zu welchem Zweck in welchem Umfang erhoben werden. Das geschieht jedoch nur begrenzt bist gar nicht. Fakt ist: Als Nutzer habe ich weitgehende Rechte. Ich habe auch das Recht auf “Vergessen-Werden” und auf die Löschung sämtlicher meiner Daten in der hoteleigenen Datenbank, wenn ich von diesem Recht Gebrauch mache.

Nicht zuletzt möchte ich als mögliche Lösung auf die „End-zu-End-Verschlüsselung“ eingehen. Diese Technologie wird heutzutage in beinahe allen fortschrittlichen Messengern eingesetzt, auch bei WhatsApp, Instagram und Facebook. Die Verschlüsselung stellt sicher, dass niemand außer Empfänger und Absender die Nachrichten lesen kann – nicht einmal der Plattformbetreiber selbst. Das wäre zumindest ein großer Schritt in Richtung Privatsphäre, der aber auch mit nicht vertretbaren Nachteilen verbunden wäre: Wenn seitens des Hotels nichts mehr gespeichert wird, könnte man die Einhaltung der Hotelregeln und Gesetze nicht mehr effektiv kontrollieren. Soviel Privatsphäre wäre dann, zumindest für eine hauptsächlich auf Jugendliche ausgerichtete Plattform, auch zu viel des Guten.

Das utopische Retro Hotel speichert die Daten seiner User daher in nur begrenztem Umfang: Es verschlüsselt sie, speichert diese nur notwendigerweise wenige Tage, sorgt dafür, dass kein Mitarbeiter oder Dritter ohne legitimen Zweck diese Daten auslesen kann und stellt sicher, dass die erhobenen Daten im Verhältnis zur Privatsphäre des Einzelnen stehen. Ungeachtet dessen ist uns allen klar, dass Retro Hotels von keinem Gesetz erfasst werden können. Faktisch sind Retro Hotels weder Unternehmen, noch in irgendeiner Hinsicht an gesetzliche Rechte oder Pflichten gebunden. Es wäre zudem äußerst paradox, wenn ein bloßes Hobby-Projekt, das selbst illegal ist, sich plötzlich um internationale Bestimmungen und Gesetze kümmert. Die DSGVO findet auf Retro Hotels daher zurecht keine Anwendung. Dieser Artikel wurde von einem rechtlichen Laien geschrieben. Er soll nur einen Vergleich zum heute geltenden Datenschutzrecht aufzeigen und eine mögliche datenschutzrechtlich konforme Auslegung in Erwägung bringen, bewusst dessen, dass Retro Hotels sich nicht daran halten müssen oder können. Dabei haben wir uns insbesondere mit der Thematik des Chatlogs in einer äußerst vereinfachten Weise befasst. Die DSGVO und die nationalen Datenschutzgesetze gehen jedoch viel, viel weiter in die Tiefe und befassen sich mit zahlreichen weiteren Problemfeldern, die in diesem gar Artikel nicht behandelt wurden. Alle Angaben sind ohne Anspruch auf Vollständigkeit, Richtigkeit oder Verbindlichkeit.