Connected Cars – Eine technische Innovation wird zur Herausforderung für den Datenschutz

22.06.2015. 20:35

Die Digitalisierung macht vor keinem Wirtschaftszweig halt. So verwundert es nicht, dass auch die Automobilindustrie gegenwärtig und insbesondere als zukünftigen Trend auf das moderne Auto setzt. Kennzeichen dieser fahrenden Wunderwerke der Technik ist deren ausgeprägte Vernetzung mit Umwelt, Infrastruktur und Internet. Ohne vorherigen menschlichen Impuls kommuniziert das Auto selbstständig mit seiner Umgebung.

Zu verdanken haben wir dies den Innovationen in der Sensor- und Steuerungstechnik. Diese hochsensiblen und in großer Anzahl verbauten Systeme regeln das gesamte Zusammenspiel der technischen Fahrzeugkomponenten und erheben nebenbei zahlreiche Daten und Informationen. Unterstützend zur Seite stehen dabei aber auch die Verbreitung des mobilen – kostengünstigen – Internets und die zahlreichen Fortschritte in der Informations- und Kommunikationstechnologie. Prägnante Beispiele für eben jene Fortschritte sind lernende Maschinen und künstliche Intelligenz.

Primäres Ziel dieser Entwicklungen in der Automobilindustrie ist die Verbesserung der Fahrzeugsicherheit bei gleichzeitiger Erhöhung der Straßenverkehrssicherheit. Exemplarisch sei hier zunächst das automatische Notrufsystem eCall zu nennen. Ab April 2018 müssen alle in der Europäischen Union neu zugelassenen Fahrzeuge mit einem solchen System ausgestattet sein. In einer Unfallsituation setzt der eCall einen automatischen Notruf ab und gibt die entscheidenden Informationen an die entsprechenden Einsatzkräfte weiter. Das funktioniert, indem sich das System beim Auslösen des Airbags mittels einer eigenen SIM-Karte in das Mobilfunknetz einwählt.

Aber auch anhand anderer Konkretisierungen erkennt man die zuvor beschriebene Absicht der Automobilhersteller. So gehören schon heute zahlreiche Fahrerassistenzsysteme wie etwa die automatische Einparkhilfe zum automobilen Alltag. Wirft man allerdings einen genaueren Blick auf die Anwendungsmöglichkeiten dieser Techniken, so erkennt man schnell, dass auch andere Geschäftszweige von diesem Trend profitieren und dies nicht wirklich zur Erhöhung der Sicherheit beiträgt. Eine mögliche Form der Datennutzung ist die Verwendung für Versicherungszwecke (Telematikversicherung). Damit wird die Situation beschrieben, dass ein Kfz-Halter der Versicherung Einblicke in die – vom Auto erhobenen – Daten gewährt und sich die Versicherungsprämien danach richten, was für ein Fahrverhalten der jeweilige Fahrzeugführer zeigt. Dieser „Pay as you drive“-Tarif orientiert sich unter anderem an den Angaben des Autos hinsichtlich Geschwindigkeit und Brems- und Beschleunigungsverhalten.

Schon diese kurze Darstellung verdeutlicht zweierlei im Hinblick auf die Bewertung eines modernen Autos. Das Anwendungs- und Nutzungspotenzial dieser Fahrzeuge ist enorm. Allerdings stellen sich bei der Erhebung einer so großen Datenmenge durch Connected Cars auch massive Anforderungen für den Datenschutz. So handelt es sich bei den erhobenen Sensordaten um personenbezogene Daten i.S.v. § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG). Der Personenbezug gelingt dadurch, dass es objektiv für andere möglich ist, direkt oder indirekt einen solchen Bezug herzustellen, wenn nicht sogar – wie im Falle des automatischen Notrufs – ein automatischer Personenbezug vorliegt.

Die dadurch entstehende Datendichte, Datenqualität und Erhebungsdauer birgt zudem die Gefahr in sich, dass detaillierte Bewegungs-, Verhaltens- und Persönlichkeitsprofile erstellt werden können. Legt man nämlich entsprechende Statistiken zugrunde, so lässt sich festhalten, dass bei einer Fahrzeugnutzung von einer Stunde pro Tag mehr als 100 Mio. Datenpunkte pro Jahr erhoben werden.

Weitere datenschutzrechtliche Probleme liegen in der mangelnden Transparenz und der (eingeschränkten) Datensicherheit. So werden die Daten von den Sensoren automatisch und unsichtbar erhoben. Für den Betroffenen ist dies ein unmerklicher Vorgang. Er kann sein Grundrecht auf informationelle Selbstbestimmung indes nur ausüben, wenn er um die Datenerhebung und deren Verwendung weiß. Jenes Grundrecht gewährleistet dem Einzelnen nämlich die Befugnis, selbst darüber zu entscheiden, welche persönlichen Daten erhoben und verwendet werden dürfen. Hinzu kommt noch die ansteigende Wahrscheinlichkeit, dass Kriminelle ebenso wie Hersteller und Dienstleistungsanbieter versuchen, auf das Fahrzeug über das Internet zuzugreifen.

Rechtlich nicht von der Hand zu weisen ist schließlich auch noch die Tatsache, dass bei derartig großen Datenmengen der Zweckbindungsgrundsatz verletzt wird. Dahinter verbirgt sich der Gedanke, dass personenbezogene Daten nur zu den Zwecken verwendet werden dürfen, zu denen sie erhoben wurden.

Rechtliche Problemstellen gibt es damit zu Genüge. Primär ist dabei das BDSG anwendbar, wobei es zu beachten gilt, dass mit der eCall-Verordnung ein Bereich rund um das vernetzte Auto spezialgesetzlich geregelt wird.

Gemäß § 4 Abs. 1 BDSG dürfen personenbezogene Daten nur erhoben, verarbeitet und genutzt werden, soweit eine gesetzliche Erlaubnis oder Anordnung besteht oder der Betroffene eingewilligt hat. Mangels spezieller Erlaubnistatbestände für die Erhebung und Verwendung solcher Daten beim vernetzten Auto kann nur auf § 28 Abs. 1 S. 1 Nr. 1 und Nr. 2 BDSG zurückgegriffen werden. Die Regelung erlaubt eine Datenerhebung und -verwendung als Mittel für die Erfüllung eigener Geschäftszwecke, wenn es entweder für die Begründung, Durchführung oder Erfüllung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen (Nr. 1) oder zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Abschluss der Nutzung oder Verarbeitung besteht (Nr. 2).

Bei vielen Anwendungen des vernetzten Autos wie beispielsweise Navigationssystemen fehlt es bereits an dem Merkmal „als Mittel zur Erfüllung eigener Geschäftszwecke“. Denn hier steht die Erhebung und Verwendung der Daten selbst im Vordergrund und ist nicht lediglich angelehnt an das geschäftliche Interesse.

Problematisch können aber auch Anwendungen sein, die auf den ersten Blick von § 28 Abs. 1 S. 1 Nr. 1 BDSG gedeckt sind. Als Beispiel sei hier die Telematikversicherung genannt. Liegt ein entsprechender Versicherungsvertrag vor, so scheinen die Datenerhebung und deren Verwendung zulässig zu sein. Indes gilt dies nur für den Fall, in dem Versicherungsnehmer und Fahrer personenidentisch sind. Eine Datenerhebung von Personen, die nicht Versicherungsnehmer sind, ist hingegen unzulässig. Sie können auch nicht mit in den Versicherungsvertrag einbezogen werden. Dies wäre juristisch betrachtet ein unzulässiger Vertrag zulasten Dritter.

Die letzte Möglichkeit die Zulässigkeit der Datenverarbeitung zu erzielen ist daher eine Einwilligung. Bei praxisnaher Auslegung ist dies beim vernetzten Auto aber nur schwer möglich. Da die Einwilligung höchstpersönlicher Natur ist, scheitert diese Möglichkeit der Legalisierung der Datenverarbeitung spätestens dann, wenn mehrere Personen das Fahrzeug führen wollen. Erschwerend treten noch die gesetzlichen Formanforderungen hinzu. § 4a BDSG ordnet für die Rechtmäßigkeit der Einwilligung ein Schriftformerfordernis an. Das lässt sich praktisch kaum realisieren.

Schlussendlich lässt sich sagen, dass ein vernetztes Auto nur schwer mit dem Grundrecht auf informationelle Selbstbestimmung in Einklang zu bringen ist. Das Recht jedes Einzelnen, selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen ist hier kaum möglich. Zwar kann auch dieses Grundrecht eingeschränkt und damit die Datenerhebung und –verwendung durch das vernetzte Auto ermöglicht werden. Dafür bedarf es aber einer Rechtsvorschrift oder der wirksamen Einwilligung des Betroffenen. Wie gesehen wird durch das geltende Recht nur ein kleiner Teil aller möglichen Fallkonstellationen abgedeckt.

Um die Vorzüge der voranschreitenden Technologie in vollem Umfang nutzen zu können, ist daher der Gesetzgeber gefordert auch datenschutzrechtlich einen Rahmen zu schaffen, der es ermöglicht die personenbezogenen Daten aller Betroffenen rund um das vernetzte Auto hinreichend zu schützen.

Quelle:
Lüdemann, Volker: Connected Cars – Das vernetzte Auto nimmt Fahrt auf, der Datenschutz bleibt zurück, ZD 2015, S. 247 ff.

Das könnte Sie auch interessieren

02 Juli 2014

EuGH: Internetsuchmaschinenbetreiber…

Der EuGH hat in seinem Urteil in der Rechtssache C 131-12 Google Spain SL, Google Inc. / Agencia Española…

Mehr Erfahren
30 Juni 2014

AG Düsseldorf: Werbende…

Das AG Düsseldorf hat in seinem Urteil vom 09.04.2014 zum Aktenzeichen 23 C 3876/13 entschieden, dass…

Mehr Erfahren
06 Juni 2014

LArbG Berlin-Brandenburg:…

Das LArbG Berlin- Brandenburg hat in seinem Urteil vom 11.04.2014 zum Aktenzeichen 17 Sa 2200/13 entschieden,…

Mehr Erfahren
14 Mai 2014

EuGH: Vorratsdatenspeicherung…

Am 08.04.2014 hat der Europäische Gerichtshof (EuGH) entschieden, dass die europäische Richtlinie zur…

Mehr Erfahren
14 Mai 2014

Landesdatenschutzbeauftragte…

Mehrere Landesbeauftragte für den Datenschutz und die Informationsfreiheit sahen sich in letzter Zeit…

Mehr Erfahren
04 März 2014

Ordnungswidrigkeitsverfahren…

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI R-P) hat…

Mehr Erfahren