BfDI veröffentlicht Jahresbericht 2015/2016

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Andrea Voßhoff hat ihren Tätigkeitsbericht für 2015 und 2016 vorgelegt.

Der Tätigkeitsbericht geht insbesondere auf die Umsetzung der ab 25. Mai 2018 unmittelbar geltenden Datenschutz-Grundverordnung (DSGVO) ein. Bis zu diesem Zeitpunkt muss die Verordnung in nationales Recht umgesetzt sein.

Voßhoff mahnt Bundesregierung zur Zurückhaltung

In ihrem Bericht mahnt Andrea Voßhoff die Bundesregierung zur Zurückhaltung, wenn es um die Möglichkeit der Einschränkung von Betroffenenrechten – insbesondere Auskunfts- und Widerspruchsrechte – geht. Dies ist laut DSGVO zum Schutz bestimmter wichtiger Rechtsgüter zulässig. Die Bundesregierung solle von dieser Möglichkeit nur zurückhaltend Gebrauch machen und sich auf Einzelfälle beschränken.

Fokus auf Datenschutz im Automobil

Die Frage nach ausreichendem Datenschutz im Automobil stand im Berichtszeitraum u.a. im Fokus der Tätigkeit. Voßhoff weist darauf hin, dass datenschutzrechtliche Probleme dem Verbraucher durchaus bewusst sind und kritisch betrachtet werden.

Die Bundesdatenschutzbehörde und die Landesdatenschutzbehörden sind sich einig: sämtliche Daten, die beim Betrieb eines Fahrzeugs anfallen, sind als personenbezogen zu betrachten und unterliegen den entsprechenden Regelungen des Datenschutzrechts. Die Behörden sehen vor allem die Automobilindustrie in der Pflicht: die Grundsätze des Privacy by Design und Privacy by Default müssen angewendet werden.

Weitere wichtige Themen des Berichts sind der Beschäftigtendatenschutz und die Zukunft des transatlantischen Datenverkehrs.

Datenschutzrechtliche Zulassungsprüfung für Autos

Die Bundesbeauftragte für den Datenschutz und die informationsfreiheit Andrea Voßhoff fordert eine datenschutzrechtliche Zulassungsprüfung für Autos.

Um der rasanten Digitalisierung des Autos und Straßenverkehrs Rechnung zu tragen fordert Andrea Voßhoff eine datenschutzrechtliche Zulassungsprüfung für Autos. Als Vorbild dafür dienen ihr die vom Bundestag verabschiedeten Zulassungsbedingungen für intelligente Stromzähler, sog. Smart Meter. Für Smart Meter wurden hohe IT-Sicherheitsstandards, Techniken zur Pseudonymisierung von Nutzern und das Privacy by Design-Prinzip festgeschrieben. Die Automotive-Branche kenne mit der Typgenehmigung bereits ähnliche Verfahren.

Auch freiwillige Verhaltensregeln möglich

Neben einer verpflichtenden datenschutzrechtlichen Zulassungsprüfung kämen aber auch freiwillige Verhaltensregeln der Automotive-Branche in Betracht. Die ab 2018 in Kraft tretende Datenschutzgrundverordnung (DS-GVO) sieht solche freiwilligen Verhaltensregeln ausdrücklich vor. Der Vorsitzende der Gesellschaft für Datenschutz und Datensicherheit (GDD) Rolf Schwartmann verlangt zudem eine Folgenabschätzung zur Privatsphäre im vernetzten Auto vom kommenden Jahr an. Grund hierfür ist, dass die Datenverarbeitung im Auto als „risikoreiche Datenverarbeitung“ im Sinne der DS-GVO einzustufen sei.

Voßhoff betrachtet sämtliche Daten als personenbezogen

Nach dem Willen von Andrea Voßhoff sollen alle im vernetzten Auto erhobenen Daten als personenbezogen gelten und entsprechenden gesetzlichen Regelungen unterliegen. Im Rahmen eines Symposiums zum Datenschutz im automatisierten und vernetzten Fahrzeug der Bundesdatenschutzbeauftragten wurden 13 datenschutzrechtliche Empfehlungen zum automatisierten und vernetzten Fahren veröffentlicht. So sollen Automobilhersteller u.a. gewährleisten, dass Fahrzeugnutzer die Verarbeitung bestimmter Daten selektiv erlauben oder untersagen können. Auch der Privacy by default-Grundsatz soll zur Anwendung kommen: Fahrzeuge sollen so voreingestellt sein, dass sie so wenig wie möglich über das Fahrverhalten des Betroffenen erfassen.

Aktuell sieht sich die Automotive-Branche vor einigen rechtlichen Herausforderungen. Neben den nun veröffentlichten Regeln der Bundesdatenschutzbeauftragten brachte auch das Bundesverkehrsministerium neue Ankündigungen: so sollen Daten Sachen gleichgestellt und der Grundsatz der Datensparsamkeit aufgegeben werden.

BfDI kritisiert Entwurf für autonomes Fahren

Die Bundesdatenschutzbeauftragte Andrea Voßhoff hat datenschutzrechtliche Bedenken zum Gesetzesentwurf für autonomes Fahren geäußert. Sie schließt sich damit der Kritik ihrer Länderkollegen an. Das geplante Gesetz ließe zu viele Fragen unbeantwortet.

Das autonome Fahren soll gesetzlich noch vor der Sommerpause ermöglicht werden. Darauf drängt auch die Regierung und hat Bundestag und Bundesrat einen entsprechenden Gesetzesentwurf mit Eilbedürftigkeit vorgelegt.

Art und Umfang der Datenverarbeitung zu ungenau

Andrea Voßhoff hat sich in der Debatte um den Gesetzesentwurf der Kritik der Landesdatenschutzbeauftragten angeschlossen. Konkret handelt es sich um die geplante Neufassung des § 63a des Straßenverkehrsgesetzes. Er schreibt vor, dass ein Datenspeicher in autonom fahrenden Autos Fahrzeugdaten erfassen und drei Jahre speichern soll. Die so gespeicherten Daten sollen bei der Aufklärung eines Unfallhergangs herangezogen werden.

Die Datenschutzbeauftragten bemängeln, dass unklar bleibe welche Fahrzeugdaten genau gespeichert werden sollen. Zudem sei nicht geregelt, ob und unter welchen Bedingungen Daten gelöscht werden und wie die Weitergabe an Dritte gehandhabt wird. Letztlich ist auch noch unklar, in welchen Fällen Unfallgegner und Behörden auf die Daten zugreifen dürfen, um einen Unfallhergang aufklären zu können.

In einem solchen Fall stellt sich unweigerlich das Problem einer wirksamen Einwilligung des Betroffenen in die Verarbeitung seiner Daten. Diese kann u.a. nur dann vorliegen, wenn der Betroffene vollständig und verständlich über Art und Umfang der Datenverarbeitung informiert wurde. Bleiben Veränderungen an dem aktuellen Gesetzentwurf aus sollten sich Unternehmen auf eine anhaltende Rechtsunsicherheit einstellen.