Datenschutzrechtliche Zulassungsprüfung für Autos

Die Bundesbeauftragte für den Datenschutz und die informationsfreiheit Andrea Voßhoff fordert eine datenschutzrechtliche Zulassungsprüfung für Autos.

Um der rasanten Digitalisierung des Autos und Straßenverkehrs Rechnung zu tragen fordert Andrea Voßhoff eine datenschutzrechtliche Zulassungsprüfung für Autos. Als Vorbild dafür dienen ihr die vom Bundestag verabschiedeten Zulassungsbedingungen für intelligente Stromzähler, sog. Smart Meter. Für Smart Meter wurden hohe IT-Sicherheitsstandards, Techniken zur Pseudonymisierung von Nutzern und das Privacy by Design-Prinzip festgeschrieben. Die Automotive-Branche kenne mit der Typgenehmigung bereits ähnliche Verfahren.

Auch freiwillige Verhaltensregeln möglich

Neben einer verpflichtenden datenschutzrechtlichen Zulassungsprüfung kämen aber auch freiwillige Verhaltensregeln der Automotive-Branche in Betracht. Die ab 2018 in Kraft tretende Datenschutzgrundverordnung (DS-GVO) sieht solche freiwilligen Verhaltensregeln ausdrücklich vor. Der Vorsitzende der Gesellschaft für Datenschutz und Datensicherheit (GDD) Rolf Schwartmann verlangt zudem eine Folgenabschätzung zur Privatsphäre im vernetzten Auto vom kommenden Jahr an. Grund hierfür ist, dass die Datenverarbeitung im Auto als „risikoreiche Datenverarbeitung“ im Sinne der DS-GVO einzustufen sei.

Voßhoff betrachtet sämtliche Daten als personenbezogen

Nach dem Willen von Andrea Voßhoff sollen alle im vernetzten Auto erhobenen Daten als personenbezogen gelten und entsprechenden gesetzlichen Regelungen unterliegen. Im Rahmen eines Symposiums zum Datenschutz im automatisierten und vernetzten Fahrzeug der Bundesdatenschutzbeauftragten wurden 13 datenschutzrechtliche Empfehlungen zum automatisierten und vernetzten Fahren veröffentlicht. So sollen Automobilhersteller u.a. gewährleisten, dass Fahrzeugnutzer die Verarbeitung bestimmter Daten selektiv erlauben oder untersagen können. Auch der Privacy by default-Grundsatz soll zur Anwendung kommen: Fahrzeuge sollen so voreingestellt sein, dass sie so wenig wie möglich über das Fahrverhalten des Betroffenen erfassen.

Aktuell sieht sich die Automotive-Branche vor einigen rechtlichen Herausforderungen. Neben den nun veröffentlichten Regeln der Bundesdatenschutzbeauftragten brachte auch das Bundesverkehrsministerium neue Ankündigungen: so sollen Daten Sachen gleichgestellt und der Grundsatz der Datensparsamkeit aufgegeben werden.

BfDI kritisiert Entwurf für autonomes Fahren

Die Bundesdatenschutzbeauftragte Andrea Voßhoff hat datenschutzrechtliche Bedenken zum Gesetzesentwurf für autonomes Fahren geäußert. Sie schließt sich damit der Kritik ihrer Länderkollegen an. Das geplante Gesetz ließe zu viele Fragen unbeantwortet.

Das autonome Fahren soll gesetzlich noch vor der Sommerpause ermöglicht werden. Darauf drängt auch die Regierung und hat Bundestag und Bundesrat einen entsprechenden Gesetzesentwurf mit Eilbedürftigkeit vorgelegt.

Art und Umfang der Datenverarbeitung zu ungenau

Andrea Voßhoff hat sich in der Debatte um den Gesetzesentwurf der Kritik der Landesdatenschutzbeauftragten angeschlossen. Konkret handelt es sich um die geplante Neufassung des § 63a des Straßenverkehrsgesetzes. Er schreibt vor, dass ein Datenspeicher in autonom fahrenden Autos Fahrzeugdaten erfassen und drei Jahre speichern soll. Die so gespeicherten Daten sollen bei der Aufklärung eines Unfallhergangs herangezogen werden.

Die Datenschutzbeauftragten bemängeln, dass unklar bleibe welche Fahrzeugdaten genau gespeichert werden sollen. Zudem sei nicht geregelt, ob und unter welchen Bedingungen Daten gelöscht werden und wie die Weitergabe an Dritte gehandhabt wird. Letztlich ist auch noch unklar, in welchen Fällen Unfallgegner und Behörden auf die Daten zugreifen dürfen, um einen Unfallhergang aufklären zu können.

In einem solchen Fall stellt sich unweigerlich das Problem einer wirksamen Einwilligung des Betroffenen in die Verarbeitung seiner Daten. Diese kann u.a. nur dann vorliegen, wenn der Betroffene vollständig und verständlich über Art und Umfang der Datenverarbeitung informiert wurde. Bleiben Veränderungen an dem aktuellen Gesetzentwurf aus sollten sich Unternehmen auf eine anhaltende Rechtsunsicherheit einstellen.

Daten sollen Sachen gleichgestellt werden

Daten sollen Sachen gleichgestellt, der Grundsatz der Datensparsamkeit soll aufgegeben werden. Für die Automotive-Branche besonders interessant: der Halter eines Fahrzeugs soll Eigentümer der Fahrzeugdaten werden.

Das Bundesverkehrsministerium hat ein „Strategiepapier Digitale Souveränität“ veröffentlicht, mit dem es Klarheit in einer seit Jahren unbeantworteten Frage schaffen will: wem gehören Daten?

Daten sollen Sachen gleichgestellt werden

Das Papier des BMVI sieht vor, dass Daten rechtlich Sachen gleichgestellt werden sollen. Nach der aktuellen Rechtslage sind Daten nicht eigentumsfähig. Die Debatte „Wem gehören eigentlich die Daten?“ kann sinnigerweise nur geführt werden, wenn Daten überhaupt im Besitz von irgendjemandem sein können.

Auch die Frage nach der Eigentumszuordnung wird vom Ministerium beantwortet. Das Eigentum samt allen Verfügungsrechten an den Daten soll dem Ersteller der Daten zufallen. Speziell – aber nicht nur – für die Automotive-Branche ist diese Ansicht wichtig. Sie regelt den Streit um die Rechte an Fahrzeugdaten. Das BMVI betont ausdrücklich, dass die Fahrzeugdaten zukünftig Eigentum des Halters sein sollen.

Ministerium will „Datenausweis“

Ferner will das BMVI die Transparenz in der Datenverarbeitung erhöhen. Zu diesem Zwecke soll ein Datenausweis vorgeschrieben werden, der den Verbraucher z.B. „vollumfänglich und verständlich über Umfang und Häufigkeit der Datenerhebung sowie über die Nutzung und Weitergabe der Daten“ informiert.

Gerade bei Fahrzeugdaten herrscht bei Verbrauchern noch Unklarheit über Art und Umfang der Verwendung von Fahrzeugdaten vor. Zu diesem Ergebnis kommt eine Studie des ADAC. Besonders problematisch seien Daten, die gegen den Fahrzeughalter verwendet werden können. Auch im Zusammenhang mit dem Strafrecht wird diese Problematik diskutiert.

Das vernetzte Auto

Ein Beitrag von Robert Postler, Datenschutzberater der MKM-Gruppe

Das vernetzte Auto – eine datenschutzrechtliche Gradwanderung

Das vernetzte Auto ist mittlerweile Realität. Aktuelle Fahrzeuge ab der Mittelklasse sind in der heutigen Zeit, je nach Ausstattung, nahezu permanent online. Mit der sogenannten Echtzeit-Daten-Kommunikation werden zu jederzeit Daten erfasst, verarbeitet und mit anderen vernetzten Automobilen (Car-to-Car) oder der Verkehrsinfrastruktur (Car-to-Infrastructure) geteilt, um die Verkehrsinformationen der einzelnen Verkehrsteilnehmer zu optimieren oder sich gegebenenfalls auf aktuelle Verkehrssituationen einzustellen.

Zusätzlich werden in vernetzten Fahrzeugen vermehrt eine große Anzahl an Fahrerassistenzsystemen (z.B. eine Fahrerbeobachtungskamera zur Müdigkeitserkennung, Spurwechselwarner, Abstandsradar, etc.) angeboten und serienmäßig verbaut. Aufgabe dieser Assistenzsysteme ist es den Fahrkomfort der Fahrer zu erhöhen und den Straßenverkehr sicherer zu gestalten.

In der Folge ergeben sich mit den verschiedenen Komfort- und Assistenzsystemen neue Sicherheitsrisiken und die Anforderungen an den Datenschutz sowie der Betriebs- und Datensicherheit erhöhen sich. Auch muss die Wahlfreiheit der Nutzer weiterhin gewährleistet und sichergestellt werden. Die informationelle Selbstbestimmung könnte sich in diesem Zusammenhang als problematisch erweisen, denn der Fahrzeughalter/-fahrer muss umfassend informiert werden, welche Daten zu welchem Zweck erhoben, verarbeitet und versendet werden.

Grundsätze des Datenschutzes müssen gewahrt bleiben

In jeder Fahrstunde werden in einem vernetzten Fahrzeug bis zu 25 Gigabyte von bis zu 70 Sensoren und Computern erfasst und verarbeitet. Die Systeme in zukünftig autonom fahrenden Automobilen werden dabei noch wesentlich größere Datenmengen generieren, verarbeiten und speichern. Die datenschutzrechtlichen Grundsätze der Datenvermeidung, der Datensparsamkeit und der Zweckbindung müssen dabei zwingend gewahrt werden. Inwieweit dies bei den Datenmengen, die in der Regel auf ein individuelles Fahrzeug und damit zumindest auf den Halter zurückzuführen sind, berücksichtig wird, ist fraglich.

Dies gilt auch für den Gesetzesentwurf zur Änderung des Straßenverkehrsgesetzes § 63a StVG n.F. welcher eine Art Vorratsdatenspeicherung in Form einer Blackbox für sog. „Kraftfahrzeugen mit hoch- oder vollautomatisierter Fahrfunktion“ vorsieht. Die Landesdatenschutzbeauftragten der Länder Baden-Württemberg, Niedersachsen und Bayern, in deren Zuständigkeitsbereich die Automobilindustrie fällt, zeigen sich sehr skeptisch sowie ablehnend, da das Konzept im Hinblick auf die Datenhoheit bei Haftungsfragen und die Verwendung der Daten z.B. durch Behörden keine ausreichende Klärung biete.

Eigentum an Daten weiterhin unklar

Eine bislang häufig gestellte Frage ist, wem die sogenannten Eigentumsrechte an den erhobenen Daten zuzuschreiben sind. Schätzungen der Automobilindustrie zufolge beträgt der Wert der erhobenen Daten aus einem 3 Jahres-Leasingfahrzeug ca. 1.500 bis 2.000 Euro (Spiegel v. 7.3.2015, S. 64, 66). Interessenten sowie mögliche Eigentümer gibt es viele – Fahrzeugnutzer, Fahrzeughalter, Hersteller, Versicherer, Leasinggeber, Dienstleister oder auch staatliche Stellen.

In Fachzeitschriften, diversen Artikeln und Stellungnahmen wurde versucht das Thema Dateneigentum rechtlich einzuordnen. Dabei wird jedoch festgestellt, dass der zivilrechtliche Eigentumsbegriff nach § 903 i.V.m. § 90 BGB dabei nicht einschlägig ist. Auch scheidet eine analoge Anwendung dieser Paragrafen nach herrschender Meinung ebenso aus, wie die Zuordnung über das Eigentum am Speichermedium oder den urheberrechtlichen Schutz des Datenbankherstellers. Dennoch wird derzeit die Handlungshoheit bzw. Beherrschbarkeit der Daten mit eigentumsähnlichen Rechten geregelt. Am ehesten kann dabei die strafrechtliche Zuweisung des Dateneigentums (Skripturakt) überzeugen. Demnach ist Eigentümer der Daten, wer sie unmittelbar erstellt, übermittelt oder gespeichert hat. Dies spricht in erster Linie für den Fahrer des Fahrzeugs, was jedoch im Gesamtkontext nicht unumstritten ist.

Dennoch überzeugt die Annäherung über den Skripturakt hinsichtlich der Thematik am ehesten. Sie ist jedoch in keinem Fall ausgereift. Stattdessen muss zwischen den verschiedenen Datenarten sehr genau unterschieden und darauf abgestellt werden, wer die Verantwortung für den entsprechenden Skripturakt trägt.

Die Gesetzgebung und die Autoindustrie müssen handeln

Um den erhöhten Ansprüchen an den Datenschutz und die Datensicherheit gerecht zu werden hat das EU-Parlament die Richtlinie zur Netzwerk- und Informationssicherheit (kurz: NIS-RL) am 06.07.2016 verabschiedet, mit dem Ziel, nationale Strategien hinsichtlich der Sicherheit von Netz- sowie Informationssystemen in den jeweiligen Mitgliedsstaaten zu  entwickeln. Die Mitgliedsstaaten der Europäischen Union haben damit die Aufgabe, die NIS-RL bis zum 09.05.2018 in nationales Recht umzusetzen. Damit sollen Sicherheitsanforderungen für sog. wesentliche Dienste (öffentliche oder private Dienste-Einrichtungen, welche einen IT-Dienst anbieten oder bereitstellen; zu vergleichen mit Betreibern kritischer Infrastrukturen im IT-Sicherheitsgesetz) und für Anbieter digitaler Dienste (zu vergleichen mit Telemediendienstanbietern im TMG) festgelegt werden.

Neben der Gesetzgebung ist jedoch auch die Automobilindustrie gefordert. Die in den Fahrzeugen verbauten, datenverarbeitenden Systeme müssen datenschutzfreundlich gestaltet werden. Bei der Planung von Komponenten und Systemen ist dabei auf Datenschutz- und Datensicherheitsaspekte einzugehen (Privacy by Design). Gleiches gilt für die Ausgestaltung der herstellerseitig voreingestellten Grundeinstellungen (Privacy by Default).

Deutsche Gesetzgebung hat Vorgaben teilweise vorab erfüllt – dennoch besteht weiterhin Anpassungsbedarf

Die in der NIS-RL bestehenden Vorgaben wurden zum größten Teil in Deutschland durch das am 25.07.2015 in Kraft getretene Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz) vorweggenommen. In Teilen steht das IT-Sicherheitsgesetz mit der NIS-RL hingegen im Konflikt, da einige Überschneidungen in beiden Werken vorhanden sind, welche weitere Anpassungen im deutschen Recht erforderlich machen. Betreffend des Dateneigentums wird der „Flickenteppich“ wohl vorerst beibehalten.

Wie die Anpassungen im Genauen aussehen werden ist hingegen offen. Damit dies sorgfältig und zeitnahe geschieht, mahnen bereits Unternehmensverbände an, die Rechtsunsicherheit für Betroffene zu beseitigen. In unserem Blog auf mkm-partner.de bleiben wir an dem Thema rund um das vernetzte Auto dran und berichten über künftige Entwicklungen.