Im unserer Serie zu „vernetzten Autos“ werden wir uns heute damit auseinandersetzen, welche Regelungen für die rechtliche Bewertung von Connected Cars eine Rolle spielen und vor welchen Herausforderungen der Datenschutz bei Connected Cars wirklich steht. Alles in allem werden wir gleich ein bisschen tiefer in die Jurisprudenz einsteigen ... hier ist der dritte Teil unseres Gastautors Hans-Christian Schellhase.
Rechtsgrundlagen
Sofern bei Connected Cars keine bereichsspezifischen Normen vorrangig die Datenverarbeitung regeln, findet das Bundesdatenschutzgesetz (BDSG) Anwendung - jedenfalls dann, wenn personenbezogene Daten nach § 3 Abs. 1 BDSG erhoben werden.
Gesetz über Intelligente Verkehrssysteme (IVSG)
Zunächst kommt als speziellere Regelung das „Gesetz über Intelligente Verkehrssysteme (IVSG)” in Betracht. Das IVSG enthält keine Bestimmungen zum Umgang mit personenbezogenen Daten, vielmehr verweist es im Hinblick auf personenbezogene Daten auf bundesgesetzliche Erlaubnistatbestände. Im IVSG finden sich also keine bereichsspezifischen Datenschutzregelungen, die dem BDSG vorgehen würden.
Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG)
Zwar finden sich bereichsspezifische Datenschutzregeln im TMG und im TKG; die typischen Gefahren, die vom vernetzten Fahrzeug für das Grundrecht auf informationelle Selbstbestimmung ausgehen, werden von den Datenschutzregelungen des TMG und TKG jedoch nicht erfasst. Beide bilden damit auch keine speziellere Regelung.
eCall-Verordnung
Die eCall-Verordnung kommt als bereichsspezifische Vorrangregelung bis zu ihrem Inkrafttreten am 31. März 2018 nicht als Rechtsgrundlage in Betracht. Darüber hinaus gelten ihre Datenschutzbestimmungen nur für das Basissystem, alle Zusatzdienste werden von der Verordnung nicht erfasst.
Bundesdatenschutzgesetz (BDSG)
Die Rechtsgrundlage, auf der sich die Datenverarbeitung im vernetzten Auto datenschutzrechtlich bewegt, kann daher nur das Bundesdatenschutzgesetz (BDSG) sein. Zudem sind die Daten, die beim Betrieb eines Connected Cars anfallen, in der Regel personenbezogene Daten nach § 3 Abs. 1 BDSG.
Personenbezogene Daten?
Die Fahrzeugsensoren erfassen – wie bereits beschrieben – umfassend Daten des Fahrzeugs und der Umgebung. Diese Daten betreffen somit zunächst keine natürliche Person, sondern das jeweilige Fahrzeug. Solche sachbezogenen Daten sind im Grundsatz nicht personenbezogen.
Ein Bezug dieser Daten zu einer bestimmten Person besteht jedoch insoweit, als sie durch die Verknüpfung mit weiteren Informationen Rückschlüsse auf den Halter oder Nutzer des Fahrzeuges zulassen. Beispielsweise können Daten zum Reifendruck oder zur Abnutzung von Bremsen Rückschlüsse etwa auf nachlässige Kontrollen oder eine aggressive Fahrweise zulassen, sofern Daten über den Halter und/oder Fahrer hinzugezogen werden. Diese Daten sind dann nicht mehr rein sach-, sondern personenbezogen.
Bei personalisierten Anwendungen, wie dem automatischen Notruf oder der Telematikversicherung, ergibt sich die Möglichkeit der Herstellung des Personenbezugs aus dem Identifikationszeichen, mit dem die Sensordaten versehen sind. Beim automatischen Notruf ist etwa die Fahrzeugidentifikationsnummer Bestandteil des Datensatzes, der an die Rettungsstelle übermittelt wird.
Bei der Telematikversicherung werden die Sensordaten zwar pseudonymisiert, damit der Messdienstleister keinen Personenbezug herstellen kann. Die Personenbeziehbarkeit muss jedoch nicht für alle in die Prozesskette eingebundenen Beteiligten gleichermaßen gegeben sein. Es reicht aus, wenn sie bei einem Beteiligten gegeben ist. Im Rahmen der Telematikversicherung verfügt der Versicherer über den Schlüssel zur Auflösung. Andernfalls könnte das Versicherungsverhältnis nicht durchgeführt werden.
Der Personenbezug ist auch bei allen übrigen Sensordaten gegeben. Die Personenbeziehbarkeit ergibt sich daraus, dass es objektiv für andere möglich ist, direkt oder indirekt einen Bezug zu einer Person herzustellen. Die Daten aus der Bordelektronik etwa lassen sich durch Hersteller, Vertragshändler, Werkstätten oder Kfz-Sachverständige ohne großen Aufwand auslesen, einfach durch Anschließen des Fahrzeugs an das elektronische Auslesegerät. Damit können die technischen Daten zumindest dem Fahrer, Halter oder Eigentümer zugeordnet werden. Liegen Verknüpfungsdaten vor, sind auch Bezüge zu Mitfahrern und weiteren Personen denkbar.
Personenbezogene Daten!
Zwar werden Sensordaten nicht in jedem Fall mit einer natürlichen Person verknüpft, auf die Beurteilung der Personenbeziehbarkeit hat dies jedoch keinen Einfluss. Das Datenschutzrecht stellt für die Frage ob ein Datum personenbezogen ist oder nicht, u.a. auf den Zeitpunkt der Erhebung ab. Besteht zu diesem Zeitpunkt objektiv die Gefahr eines Personenbezugs, ist das jeweilige Datum als personenbezogen zu qualifizieren, auch wenn sich die Gefahr später nicht realisiert. Andernfalls käme es zu Schutzlücken.
Darüber hinaus ist wichtig, dass sich die unterschiedliche Sensitivität von Sensordaten nicht in der Qualifizierung einer Information als personenbezogenes Datum niederschlagen kann, sondern allenfalls in der Beurteilung des Schutzbedarfs, der Schutzstufe der jeweiligen Information.
Anonymisierte Weiterverarbeitung
Die Erhebung von Daten, die anonymisiert weiterverarbeitet werden sollen, unterliegt beim Vernetzten Auto ebenfalls dem Datenschutzrecht. Zwar entfällt der Personenbezug, wenn die Daten anonymisiert werden, etwa bei anonymisierten Navigationsdaten, um Stauinformationen in Echtzeit zu generieren oder um Karten-Updates zu erstellen. Bei der Übermittlung der Daten an den Anbieter ist für diesen jedoch anhand von IP-Adressen, SIM-Kartennummern oder ähnlichen Kennungen zwangsläufig erkennbar, von welchem Fahrzeug die Daten stammen und welcher Person sie somit zuzuordnen sind. Da der Anbieter die Übertragung dieser Metadaten durch das Fahrzeug veranlasst, erhebt er also personenbezogene Daten. Dabei ist es unerheblich, ob die Daten zur Kenntnis genommen oder sonst inhaltlich genutzt werden sollen. Eine spätere Anonymisierung durch den Anbieter des Dienstes ist demnach nicht ausreichend.
Herausforderungen für den Datenschutz
Die Herausforderungen für den Datenschutz beim vernetzten Auto liegen mithin darin, dass es sich bei Sensordaten um personenbezogene Daten handelt, aus denen hochdetaillierte Profile des Fahrers, des Mitfahrers und ggf. anderer Personen im Fahrzeugumfeld erstellt werden können.
Die Datenerhebung und -verarbeitung findet zudem unmerklich und allgegenwärtig statt.
Darüber hinaus besteht die Gefahr, dass der spätere Datenumgang nicht vom ursprünglichen Erhebungszweck gedeckt ist. Zu guter Letzt bringt die umfassende Vernetzung erhebliche Risiken für die Datensicherheit mit sich.
Gefahr hochdetaillierter Profile
Die anfallenden personenbezogenen Daten sind kritisch, weil sich aus ihnen differenzierte Bewegungs-, Verhaltens- und Persönlichkeitsprofile ableiten lassen. Tiefe und Aussagekraft der Profile sind dabei deutlich höher als bei Profilen, die auf Grundlage der Auswertung von Internetspuren erstellt wurden. Grund hierfür sind Datendichte, Datenqualität und Erhebungsdauer.
Jeder einzelne der in einem modernen Mittelklassefahrzeug verbauten Sensoren produziert bei sekundengenauer Auslesung 31,5 Mio. Datenpunkte pro Jahr. Wenn man davon ausgeht, dass jedes Steuergerät mindestens über einen Sensor verfügt, sind dies pro Fahrzeug mehr als 2,5 Mrd. Datenpunkte pro Jahr. Heruntergerechnet auf eine durchschnittliche Nutzung des Autos von einer Stunde pro Tag, sind dies immer noch mehr als 100 Mio. Datenpunkte pro Jahr, die im Auto anfallen. Deren Qualität ist hoch, da es sich um gemessene und mithin manipulationsarme Daten handelt. Diese Daten werden zudem über längere Zeiträume erfasst, weshalb zufällige Schwankungen im Datenbestand ausgeglichen werden.
Der stete Datenstrom, der das Auto verlässt, erlaubt im Ergebnis hochdetaillierte Einblicke in das Verhalten, die Beziehungen, die Vorlieben, die Persönlichkeitsstruktur, das Kommunikationsverhalten und – je nach verwendeten Sensoren – in die Gesundheit des Fahrers und anderer Personen. Eine einzelne Beobachtung mag dabei für sich genommen harmlos sein, werden jedoch solche Daten zusammengeführt, alles mit allem kombiniert und ausgewertet, kann dies zu folgenschweren Verletzungen der Privatsphäre führen. Dieses Risiko erhöht sich weiter, wenn die ausgelesenen Daten mit Daten aus anderen Quellen verknüpft und kombiniert werden. Das wirtschaftliche Potenzial derartiger Daten – nicht nur für Werbezwecke – und damit der Anreiz, diese zu nutzen, liegt damit auf der Hand.
Kenntnis- und Kontrollverlust
Diese Gesamtproblematik wird verschärft, wenn Daten durch zwischengeschaltete Dienstleister fernausgelesen werden. Alle Daten laufen so über mehrere Stationen und gelangen in den Machtbereich von wechselnden und teilweise unbekannten Akteuren. Der Fahrer und Halter des vernetzten Fahrzeugs hat dann keine Kenntnis (und geschweige denn Kontrolle) mehr darüber, wer wann welche Automobildaten ausliest. Dies ist mit dem Grundrecht auf informationelle Selbstbestimmung nicht vereinbar.
Mit den erhobenen Daten lassen sich nicht nur Profile erstellen, sondern auch Verhaltensweisen prägen. Sollte sich etwa die Telematikversicherung durchsetzen, können Betroffene allein durch die Prämiengestaltung der Versicherung unter ökonomischen Zugzwang geraten, der Überwachung zuzustimmen.
Unmerkliche und allgegenwärtige Datenerhebung
Die datenschutzrechtliche Problematik wird zusätzlich durch die mangelnde Transparenz verschärft.
Der Betroffene kann sein Recht auf informationelle Selbstbestimmung nur wahrnehmen, wenn er um die Datenerhebung und Datenverwendung weiß. Sensoren erheben die Daten allerdings automatisch, lautlos und unsichtbar, der Weg der Daten ist damit ausgesprochen intransparent. Der Betroffene hat damit kaum eine Möglichkeit, zu überblicken, wer wann welche Daten ausliest und wofür diese verwendet werden.
Ausfluss der mangelnden Transparenz hinsichtlich der Datenerhebung und Datenverarbeitung ist zudem, dass für den Betroffenen schwierig zu erkennen ist, wer für die Einhaltung der Datenschutzregeln verantwortlich ist.
§ 3 Abs. 7 BDSG sieht vor, dass jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt, eine verantwortliche Stelle ist. Im Kontext des vernetzten Autos gerät diese Regelung an ihre Grenze, denn sie ist auf überschaubare Sachverhalte und Rechtsverhältnisse angelegt. Die Komplexität, die aus der Vielzahl von Beteiligten und Rechtsbeziehungen sowie der Masse an Datenvorgängen gekennzeichnet ist, kann hiermit jedoch nicht hinreichend erfasst werden. Bei Datenverarbeitungsprozessen mit einer Vielzahl von Beteiligten ist kaum feststellbar, wer wann welche Datenverarbeitung initiiert oder veranlasst hat.
Die Schwierigkeit, Verantwortung zuzuordnen, erhöht sich zukünftig weiter, wenn im Zuge des autonomen Fahrens hochkomplexe flüchtige Sensornetze entstehen, in denen Fahrzeuge und Umwelt noch gewaltigere Mengen von Daten untereinander spontan austauschen oder wenn Sensordaten ins Ausland transferiert und dort verarbeitet werden.
Aufhebung der Zweckbindung
Die beschriebenen riesigen Datenmengen sind per se schon missbrauchsgefährdet. Mit einem etwaigen Herauslösen der Daten aus ihrem ursprünglichen Kontext stellt sich jedoch ein weiteres Problem: die Verletzung des Zweckbindungsgrundsatzes.
Personenbezogene Daten dürfen nur zu Zwecken verwandt werden, zu denen sie erhoben worden sind. Dieser Grundsatz ist mit Big Data-Anwendungsbereichen, wie dem vernetzten Auto, fast nicht in Einklang zu bringen. Je komplexer die gewünschte Unterstützung durch die IT ist, desto schwieriger wird es, den Zweck der Datenerhebung vorher konkret festzulegen. Vielfältige und wechselnde Zwecke lassen sich nicht im Vorhinein mit der für den Zweckbindungsgrundsatz erforderlichen Genauigkeit eingrenzen. Lernende Maschinen, wie das autonome Fahrzeug, sind daher unter diesen Bedingungen kaum bzw. im Grunde überhaupt nicht darstellbar.
Die Einhaltung des Zweckbindungsgrundsatzes ist aber nicht nur vor dem Hintergrund der technischen Entwicklung problematisch. Verstöße gegen die datenschutzrechtliche Zweckbindung drohen auch durch staatliche Eingriffe, denn das bloße Vorhandensein von umfangreichen Daten weckt auch bei staatlichen Stellen Begehrlichkeiten. So könnten etwa mittels Telematikversicherung erhobene Daten von Gerichten und Strafverfolgungsbehörden genutzt werden, um die Aufklärung von Verkehrsdelikten zu beschleunigen und zu vereinfachen. Zudem sind die beschriebenen möglichen Daten grundsätzlich auch für das Finanzamt und die Sozialbehörden interessant.
Datensicherheit
Die Vernetzung des Autos ist zudem eine gewaltige Herausforderung für die Gewährleistung der Datensicherheit.
In dem Maße, wie Hersteller, Werkstätten und Dienstleistungsanbieter über das Internet auf das Fahrzeug zugreifen können, steigt auch die Wahrscheinlichkeit, dass Online-Kriminelle den Zugang suchen. Welche Gefahren hier drohen, wurde Anfang des Jahres 2015 bekannt, als der ADAC aufdeckte, dass auf Grund von Sicherheitslücken im Connected-Drive-System von BMW mehr als 2 Mio. Fahrzeuge per SMS illegal geöffnet werden konnten. In den USA ist es darüber hinaus vor kurzem gelungen, von außen die vollständige Kontrolle über ein Fahrzeug zu übernehmen. Die Verwendung standardisierter Plattformen und einheitlicher Architekturen, wie sie mit dem eCall eingeführt werden, erhöht die Verletzlichkeit gegen Angriffe von außen dabei zusätzlich.
Weitere Risiken für die Sicherheit drohen von der Komplexität der Anwendungen und den noch unbekannten Wechselwirkungen der Systeme.
Ausblick auf Teil 4 – Erlaubnistatbestände und Einwilligung
Inwieweit nun Daten im Zusammenhang mit vernetzten Autos erhoben, verarbeitet und genutzt werden dürfen, erfahren Sie im nächsten und vierten Teil unserer Serie. Wir entnehmen den zahlreichen Kommentaren, dass wir bei Ihnen eine hinreichende Neugier für die Problematik der umfassend vernetzten Autos geweckt haben – was uns freut und auf Ihr weiteres Interesse hoffen lässt.
