Connected Cars – Eine technische Innovation wird zur Herausforderung für den Datenschutz

22 June 2015

Die Digitalisierung macht vor keinem Wirtschaftszweig halt. So verwundert es nicht, dass auch die Automobilindustrie gegenwärtig und insbesondere als zukünftigen Trend auf das moderne Auto setzt. Kennzeichen dieser fahrenden Wunderwerke der Technik ist deren ausgeprägte Vernetzung mit Umwelt, Infrastruktur und Internet. Ohne vorherigen menschlichen Impuls kommuniziert das Auto selbstständig mit seiner Umgebung.

Zu verdanken haben wir dies den Innovationen in der Sensor- und Steuerungstechnik. Diese hochsensiblen und in großer Anzahl verbauten Systeme regeln das gesamte Zusammenspiel der technischen Fahrzeugkomponenten und erheben nebenbei zahlreiche Daten und Informationen. Unterstützend zur Seite stehen dabei aber auch die Verbreitung des mobilen – kostengünstigen – Internets und die zahlreichen Fortschritte in der Informations- und Kommunikationstechnologie. Prägnante Beispiele für eben jene Fortschritte sind lernende Maschinen und künstliche Intelligenz.

Primäres Ziel dieser Entwicklungen in der Automobilindustrie ist die Verbesserung der Fahrzeugsicherheit bei gleichzeitiger Erhöhung der Straßenverkehrssicherheit. Exemplarisch sei hier zunächst das automatische Notrufsystem eCall zu nennen. Ab April 2018 müssen alle in der Europäischen Union neu zugelassenen Fahrzeuge mit einem solchen System ausgestattet sein. In einer Unfallsituation setzt der eCall einen automatischen Notruf ab und gibt die entscheidenden Informationen an die entsprechenden Einsatzkräfte weiter. Das funktioniert, indem sich das System beim Auslösen des Airbags mittels einer eigenen SIM-Karte in das Mobilfunknetz einwählt.

Aber auch anhand anderer Konkretisierungen erkennt man die zuvor beschriebene Absicht der Automobilhersteller. So gehören schon heute zahlreiche Fahrerassistenzsysteme wie etwa die automatische Einparkhilfe zum automobilen Alltag. Wirft man allerdings einen genaueren Blick auf die Anwendungsmöglichkeiten dieser Techniken, so erkennt man schnell, dass auch andere Geschäftszweige von diesem Trend profitieren und dies nicht wirklich zur Erhöhung der Sicherheit beiträgt. Eine mögliche Form der Datennutzung ist die Verwendung für Versicherungszwecke (Telematikversicherung). Damit wird die Situation beschrieben, dass ein Kfz-Halter der Versicherung Einblicke in die – vom Auto erhobenen – Daten gewährt und sich die Versicherungsprämien danach richten, was für ein Fahrverhalten der jeweilige Fahrzeugführer zeigt. Dieser „Pay as you drive“-Tarif orientiert sich unter anderem an den Angaben des Autos hinsichtlich Geschwindigkeit und Brems- und Beschleunigungsverhalten.

Schon diese kurze Darstellung verdeutlicht zweierlei im Hinblick auf die Bewertung eines modernen Autos. Das Anwendungs- und Nutzungspotenzial dieser Fahrzeuge ist enorm. Allerdings stellen sich bei der Erhebung einer so großen Datenmenge durch Connected Cars auch massive Anforderungen für den Datenschutz. So handelt es sich bei den erhobenen Sensordaten um personenbezogene Daten i.S.v. § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG). Der Personenbezug gelingt dadurch, dass es objektiv für andere möglich ist, direkt oder indirekt einen solchen Bezug herzustellen, wenn nicht sogar – wie im Falle des automatischen Notrufs – ein automatischer Personenbezug vorliegt.

Die dadurch entstehende Datendichte, Datenqualität und Erhebungsdauer birgt zudem die Gefahr in sich, dass detaillierte Bewegungs-, Verhaltens- und Persönlichkeitsprofile erstellt werden können. Legt man nämlich entsprechende Statistiken zugrunde, so lässt sich festhalten, dass bei einer Fahrzeugnutzung von einer Stunde pro Tag mehr als 100 Mio. Datenpunkte pro Jahr erhoben werden.

Weitere datenschutzrechtliche Probleme liegen in der mangelnden Transparenz und der (eingeschränkten) Datensicherheit. So werden die Daten von den Sensoren automatisch und unsichtbar erhoben. Für den Betroffenen ist dies ein unmerklicher Vorgang. Er kann sein Grundrecht auf informationelle Selbstbestimmung indes nur ausüben, wenn er um die Datenerhebung und deren Verwendung weiß. Jenes Grundrecht gewährleistet dem Einzelnen nämlich die Befugnis, selbst darüber zu entscheiden, welche persönlichen Daten erhoben und verwendet werden dürfen. Hinzu kommt noch die ansteigende Wahrscheinlichkeit, dass Kriminelle ebenso wie Hersteller und Dienstleistungsanbieter versuchen, auf das Fahrzeug über das Internet zuzugreifen.

Rechtlich nicht von der Hand zu weisen ist schließlich auch noch die Tatsache, dass bei derartig großen Datenmengen der Zweckbindungsgrundsatz verletzt wird. Dahinter verbirgt sich der Gedanke, dass personenbezogene Daten nur zu den Zwecken verwendet werden dürfen, zu denen sie erhoben wurden.

Rechtliche Problemstellen gibt es damit zu Genüge. Primär ist dabei das BDSG anwendbar, wobei es zu beachten gilt, dass mit der eCall-Verordnung ein Bereich rund um das vernetzte Auto spezialgesetzlich geregelt wird.

Gemäß § 4 Abs. 1 BDSG dürfen personenbezogene Daten nur erhoben, verarbeitet und genutzt werden, soweit eine gesetzliche Erlaubnis oder Anordnung besteht oder der Betroffene eingewilligt hat. Mangels spezieller Erlaubnistatbestände für die Erhebung und Verwendung solcher Daten beim vernetzten Auto kann nur auf § 28 Abs. 1 S. 1 Nr. 1 und Nr. 2 BDSG zurückgegriffen werden. Die Regelung erlaubt eine Datenerhebung und -verwendung als Mittel für die Erfüllung eigener Geschäftszwecke, wenn es entweder für die Begründung, Durchführung oder Erfüllung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen (Nr. 1) oder zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Abschluss der Nutzung oder Verarbeitung besteht (Nr. 2).

Bei vielen Anwendungen des vernetzten Autos wie beispielsweise Navigationssystemen fehlt es bereits an dem Merkmal „als Mittel zur Erfüllung eigener Geschäftszwecke“. Denn hier steht die Erhebung und Verwendung der Daten selbst im Vordergrund und ist nicht lediglich angelehnt an das geschäftliche Interesse.

Problematisch können aber auch Anwendungen sein, die auf den ersten Blick von § 28 Abs. 1 S. 1 Nr. 1 BDSG gedeckt sind. Als Beispiel sei hier die Telematikversicherung genannt. Liegt ein entsprechender Versicherungsvertrag vor, so scheinen die Datenerhebung und deren Verwendung zulässig zu sein. Indes gilt dies nur für den Fall, in dem Versicherungsnehmer und Fahrer personenidentisch sind. Eine Datenerhebung von Personen, die nicht Versicherungsnehmer sind, ist hingegen unzulässig. Sie können auch nicht mit in den Versicherungsvertrag einbezogen werden. Dies wäre juristisch betrachtet ein unzulässiger Vertrag zulasten Dritter.

Die letzte Möglichkeit die Zulässigkeit der Datenverarbeitung zu erzielen ist daher eine Einwilligung. Bei praxisnaher Auslegung ist dies beim vernetzten Auto aber nur schwer möglich. Da die Einwilligung höchstpersönlicher Natur ist, scheitert diese Möglichkeit der Legalisierung der Datenverarbeitung spätestens dann, wenn mehrere Personen das Fahrzeug führen wollen. Erschwerend treten noch die gesetzlichen Formanforderungen hinzu. § 4a BDSG ordnet für die Rechtmäßigkeit der Einwilligung ein Schriftformerfordernis an. Das lässt sich praktisch kaum realisieren.

Schlussendlich lässt sich sagen, dass ein vernetztes Auto nur schwer mit dem Grundrecht auf informationelle Selbstbestimmung in Einklang zu bringen ist. Das Recht jedes Einzelnen, selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen ist hier kaum möglich. Zwar kann auch dieses Grundrecht eingeschränkt und damit die Datenerhebung und –verwendung durch das vernetzte Auto ermöglicht werden. Dafür bedarf es aber einer Rechtsvorschrift oder der wirksamen Einwilligung des Betroffenen. Wie gesehen wird durch das geltende Recht nur ein kleiner Teil aller möglichen Fallkonstellationen abgedeckt.

Um die Vorzüge der voranschreitenden Technologie in vollem Umfang nutzen zu können, ist daher der Gesetzgeber gefordert auch datenschutzrechtlich einen Rahmen zu schaffen, der es ermöglicht die personenbezogenen Daten aller Betroffenen rund um das vernetzte Auto hinreichend zu schützen.

Quelle:
Lüdemann, Volker: Connected Cars – Das vernetzte Auto nimmt Fahrt auf, der Datenschutz bleibt zurück, ZD 2015, S. 247 ff.

Das könnte Sie auch interessieren

10 June 2020

Jetzt ist wieder Cookie-Zeit

Ab und zu im Leben eines Verantwortlichen sollte / muss man sich mit dem Thema Internetrecht und im speziellen…

Mehr Erfahren
04 June 2020

Besucherlisten nach der…

Das ist wieder so eine Sache. Wir alle wissen im Grunde, dass etwas getan werden muss, fragen uns aber,…

Mehr Erfahren
04 December 2019

Änderung der Personen-Bestellgrenze…

Die Grenze, ab wieviel Personen ein DSB zu benennen ist, wurde von 10 auch 20 angehoben. Mit dem zweiten…

Mehr Erfahren
11 November 2019

Bußgeld in Höhe von 14,5…

Da die Deutsche Wohnen SE in einem Archivsystem Daten jahrelang nach Beendigung von Mietverhältnissen,…

Mehr Erfahren
01 October 2019

Neues EuGH Urteil zu…

Werden Cookies verwendet, sind jetzt auch die Vorgaben des EuGH (Urt. v. 01.10.2019, Az. C-673/17, „Planet49“)…

Mehr Erfahren
17 September 2019

BVerwG Urteil zu Facebook…

Urlaubsbedingt etwas verspätet möchte ich an dieser Stelle auf die Entscheidung des BVerwG Urteil vom…

Mehr Erfahren