Ein Beitrag von Robert Postler, Datenschutzberater der MKM-Gruppe
Das vernetzte Auto – eine datenschutzrechtliche Gradwanderung
Das vernetzte Auto ist mittlerweile Realität. Aktuelle Fahrzeuge ab der Mittelklasse sind in der heutigen Zeit, je nach Ausstattung, nahezu permanent online. Mit der sogenannten Echtzeit-Daten-Kommunikation werden zu jederzeit Daten erfasst, verarbeitet und mit anderen vernetzten Automobilen (Car-to-Car) oder der Verkehrsinfrastruktur (Car-to-Infrastructure) geteilt, um die Verkehrsinformationen der einzelnen Verkehrsteilnehmer zu optimieren oder sich gegebenenfalls auf aktuelle Verkehrssituationen einzustellen.
Zusätzlich werden in vernetzten Fahrzeugen vermehrt eine große Anzahl an Fahrerassistenzsystemen (z.B. eine Fahrerbeobachtungskamera zur Müdigkeitserkennung, Spurwechselwarner, Abstandsradar, etc.) angeboten und serienmäßig verbaut. Aufgabe dieser Assistenzsysteme ist es den Fahrkomfort der Fahrer zu erhöhen und den Straßenverkehr sicherer zu gestalten.
In der Folge ergeben sich mit den verschiedenen Komfort- und Assistenzsystemen neue Sicherheitsrisiken und die Anforderungen an den Datenschutz sowie der Betriebs- und Datensicherheit erhöhen sich. Auch muss die Wahlfreiheit der Nutzer weiterhin gewährleistet und sichergestellt werden. Die informationelle Selbstbestimmung könnte sich in diesem Zusammenhang als problematisch erweisen, denn der Fahrzeughalter/-fahrer muss umfassend informiert werden, welche Daten zu welchem Zweck erhoben, verarbeitet und versendet werden.
Grundsätze des Datenschutzes müssen gewahrt bleiben
In jeder Fahrstunde werden in einem vernetzten Fahrzeug bis zu 25 Gigabyte von bis zu 70 Sensoren und Computern erfasst und verarbeitet. Die Systeme in zukünftig autonom fahrenden Automobilen werden dabei noch wesentlich größere Datenmengen generieren, verarbeiten und speichern. Die datenschutzrechtlichen Grundsätze der Datenvermeidung, der Datensparsamkeit und der Zweckbindung müssen dabei zwingend gewahrt werden. Inwieweit dies bei den Datenmengen, die in der Regel auf ein individuelles Fahrzeug und damit zumindest auf den Halter zurückzuführen sind, berücksichtig wird, ist fraglich.
Dies gilt auch für den Gesetzesentwurf zur Änderung des Straßenverkehrsgesetzes § 63a StVG n.F. welcher eine Art Vorratsdatenspeicherung in Form einer Blackbox für sog. „Kraftfahrzeugen mit hoch- oder vollautomatisierter Fahrfunktion“ vorsieht. Die Landesdatenschutzbeauftragten der Länder Baden-Württemberg, Niedersachsen und Bayern, in deren Zuständigkeitsbereich die Automobilindustrie fällt, zeigen sich sehr skeptisch sowie ablehnend, da das Konzept im Hinblick auf die Datenhoheit bei Haftungsfragen und die Verwendung der Daten z.B. durch Behörden keine ausreichende Klärung biete.
Eigentum an Daten weiterhin unklar
Eine bislang häufig gestellte Frage ist, wem die sogenannten Eigentumsrechte an den erhobenen Daten zuzuschreiben sind. Schätzungen der Automobilindustrie zufolge beträgt der Wert der erhobenen Daten aus einem 3 Jahres-Leasingfahrzeug ca. 1.500 bis 2.000 Euro (Spiegel v. 7.3.2015, S. 64, 66). Interessenten sowie mögliche Eigentümer gibt es viele – Fahrzeugnutzer, Fahrzeughalter, Hersteller, Versicherer, Leasinggeber, Dienstleister oder auch staatliche Stellen.
In Fachzeitschriften, diversen Artikeln und Stellungnahmen wurde versucht das Thema Dateneigentum rechtlich einzuordnen. Dabei wird jedoch festgestellt, dass der zivilrechtliche Eigentumsbegriff nach § 903 i.V.m. § 90 BGB dabei nicht einschlägig ist. Auch scheidet eine analoge Anwendung dieser Paragrafen nach herrschender Meinung ebenso aus, wie die Zuordnung über das Eigentum am Speichermedium oder den urheberrechtlichen Schutz des Datenbankherstellers. Dennoch wird derzeit die Handlungshoheit bzw. Beherrschbarkeit der Daten mit eigentumsähnlichen Rechten geregelt. Am ehesten kann dabei die strafrechtliche Zuweisung des Dateneigentums (Skripturakt) überzeugen. Demnach ist Eigentümer der Daten, wer sie unmittelbar erstellt, übermittelt oder gespeichert hat. Dies spricht in erster Linie für den Fahrer des Fahrzeugs, was jedoch im Gesamtkontext nicht unumstritten ist.
Dennoch überzeugt die Annäherung über den Skripturakt hinsichtlich der Thematik am ehesten. Sie ist jedoch in keinem Fall ausgereift. Stattdessen muss zwischen den verschiedenen Datenarten sehr genau unterschieden und darauf abgestellt werden, wer die Verantwortung für den entsprechenden Skripturakt trägt.
Die Gesetzgebung und die Autoindustrie müssen handeln
Um den erhöhten Ansprüchen an den Datenschutz und die Datensicherheit gerecht zu werden hat das EU-Parlament die Richtlinie zur Netzwerk- und Informationssicherheit (kurz: NIS-RL) am 06.07.2016 verabschiedet, mit dem Ziel, nationale Strategien hinsichtlich der Sicherheit von Netz- sowie Informationssystemen in den jeweiligen Mitgliedsstaaten zu entwickeln. Die Mitgliedsstaaten der Europäischen Union haben damit die Aufgabe, die NIS-RL bis zum 09.05.2018 in nationales Recht umzusetzen. Damit sollen Sicherheitsanforderungen für sog. wesentliche Dienste (öffentliche oder private Dienste-Einrichtungen, welche einen IT-Dienst anbieten oder bereitstellen; zu vergleichen mit Betreibern kritischer Infrastrukturen im IT-Sicherheitsgesetz) und für Anbieter digitaler Dienste (zu vergleichen mit Telemediendienstanbietern im TMG) festgelegt werden.
Neben der Gesetzgebung ist jedoch auch die Automobilindustrie gefordert. Die in den Fahrzeugen verbauten, datenverarbeitenden Systeme müssen datenschutzfreundlich gestaltet werden. Bei der Planung von Komponenten und Systemen ist dabei auf Datenschutz- und Datensicherheitsaspekte einzugehen (Privacy by Design). Gleiches gilt für die Ausgestaltung der herstellerseitig voreingestellten Grundeinstellungen (Privacy by Default).
Deutsche Gesetzgebung hat Vorgaben teilweise vorab erfüllt – dennoch besteht weiterhin Anpassungsbedarf
Die in der NIS-RL bestehenden Vorgaben wurden zum größten Teil in Deutschland durch das am 25.07.2015 in Kraft getretene Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz) vorweggenommen. In Teilen steht das IT-Sicherheitsgesetz mit der NIS-RL hingegen im Konflikt, da einige Überschneidungen in beiden Werken vorhanden sind, welche weitere Anpassungen im deutschen Recht erforderlich machen. Betreffend des Dateneigentums wird der „Flickenteppich“ wohl vorerst beibehalten.
Wie die Anpassungen im Genauen aussehen werden ist hingegen offen. Damit dies sorgfältig und zeitnahe geschieht, mahnen bereits Unternehmensverbände an, die Rechtsunsicherheit für Betroffene zu beseitigen. In unserem Blog auf mkm-partner.de bleiben wir an dem Thema rund um das vernetzte Auto dran und berichten über künftige Entwicklungen.