Automatische Fahrzeugdatenübermittlung schafft den gläsernen Bürger

Fachbeitrag

Auf dem Weg zum gläsernen Bürger setzt sich der deutsche Gesetzgeber gerne rigoros über datenschutzrechtliche Expertenhinweise hinweg, und so gehören die Bürgeridentifikations- und die Fahrzeugidentifikationsnummer (FIN) zum beliebten Repertoire des deutschen Gesetzgebers. Die damit zusammenhängende datenschutzrechtliche Problematik, insbesondere im Hinblick auf die mit der FIN verknüpfte Fahrzeugdatenübermittlung, beleuchtet dieser Artikel.

Bürgeridentifikationsnummer und Fahrzeugidentifikationsnummer

Daten über den einzelnen Bürger gibt es genügend, aber wie schön müsste es aus Sicht der Politiker und Behörden sein, wenn mit einem Blick und Klick alle Daten eines Bürgers vorliegen würden. So soll für das baldige E-Government, trotz der von Experten detailliert vorgebrachten Bedenken und möglicher alternativer Lösungsansätze, die Steueridentifikationsnummer zur Bürgernummer werden und den Datenaustausch zwischen Behörden ermöglichen. Der Bürger bezahlt für diesen Komfort einen sehr hohen Preis und dies, obwohl es datenschutzkonform mit weniger personenbezogenen Daten ginge.

Ähnlich verhält es sich mit der Fahrzeugidentifikationsnummer, auch diese lässt sich für zahlreiche Datenkombinationen in einer Super-Datenbank vortrefflich nützen, weshalb der Gesetzgeber nur zu gerne darauf zugreift.

Was ist die Fahrzeugidentifikationsnummer (FIN)?

Die Fahrzeugidentifikationsnummer (frühere Fahrgestellnummer) ist eine international genormte Seriennummer mit 17 Ziffern, bestehend aus der Herstellerkennung (World Manufacturer Identifier), dem herstellerspezifischen Schlüssel und der vom Baujahr abhängigen fortlaufenden Nummer, die das Fahrzeug von der Herstellung bis zur Verschrottung beibehält. Sie ist ein personenbezogenes Datum, dass sich auf eine identifizierte und identifizierbare Person bezieht. Alle Daten, die im Auto sowohl offline als auch online erfasst werden, können über die FIN einer identifizierbaren Person zugeordnet werden.

Mit dieser Verknüpfung gepaart mit der Bürgeridentifikationsnummer können im weiteren Verlauf in einer Super-Datenbank nicht nur umfassende Persönlichkeitsprofile erstellt werden, vielmehr wird der Bürger vollends gläsern.

Welche personenbezogenen Daten werden im Fahrzeug verarbeitet?

Angesichts der umfassenden Datenverarbeitung in den Fahrzeugen werden riesige Mengen an personenbezogenen Daten und enorme Datenströme produziert, die über die FIN Personen zugeordnet werden können. Beispielsweise:

  • Diagnosedaten für Wartungs- , Reparatur-, Verbesserungs-, Notfallzwecke vom Fahrzeug und ggf. von einzelnen Komponenten
  • Daten für vernetzte Verkehrssysteme und weitere vernetzte Dienste bezogen auf das Fahrzeug, den Straßenverkehr oder andere Dienste (Wetter, Kartendienste, etc.)

Welche Interessenten an den Daten gibt es?

  • Hersteller, Händler, OEM-Aftersales (inkl. Teilezulieferer, Versicherungen, App-Anbieter etc.)
  • Telematic-Servicebetreiber, Straßenbetreiber (Maut)
  • Mobilitätsdienstleister (Carsharing, Werbung)
  • andere Akteure (andere Verkehrsteilnehmer, Privatpersonen, Anwohner, sonstige Dritte, Mitinsassen)
  • Staat und Wissenschaft (Steuerbehörden, Infrastruktur, sonstige Behörden) und im Falle der oben angeführten Durchführungsverordnung für Strom- und Sprit-Verbrauchsdaten auch an das EU-Umweltamt

Welche Vorhaben unter Bezug auf die FIN liegen derzeit vor?

Zum einen der Gesetzentwurf der Bundesregierung zum autonomen Fahren sowie die Durchführungsverordnung für die Verbrauchsdaten, die Hersteller verpflichtet den Strom- und Spritverbrauch gebündelt ab dem 01.04.2022 an das EU Umweltamt (EUA) zu senden. In beiden Fällen wird auf die FIN abgestellt und wen wundert es, in beiden Fällen wird von Experten die bisherige Umsetzung des Datenschutzes heftigst kritisiert.

Was wäre dringend in den Gesetzen zu regeln?

Betrachtet man die Fülle der personenbezogenen Daten, die rund um den Betrieb des Fahrzeuges von dem Fahrzeugnutzer, der in den meisten Fällen mit dem Halter identisch sein dürfte, erhoben und verarbeitet werden, kann man verstehen, dass es auf der Seite der Interessenten hohe Begehrlichkeiten in Bezug auf die Daten gibt. Anzumerken ist, dass es nicht nur befugte Interessenten für die Daten gibt, sondern auch Kriminelle.

Dringender Handlungsbedarf besteht in Hinblick auf:

  • die Datensouveränität durch den dauerhaften Fahrzeugnutzer gegenüber allen potentiellen Interessenten
  • den Zugriff auf die im Fahrzeug und den Komponenten erfassten Daten, der nur bei Erlaubnis oder Vorliegen einer konkreten Rechtsgrundlage für die Datenverarbeitung erfolgen darf
  • dem Einsatz nutzerfreundlicher Software
  • der Regelung welche Daten wie für Gemeinwohlzwecke zur Verfügung gestellt werden müssen, dann aber so, dass kein Personenbezug möglich ist, d.h. ohne Bezugnahme auf die FIN
  • der Speicherbegrenzung

Handlungsbedarf bezogen auf den Gesetzesentwurf zum autonomen Fahren

In dem Gesetzesentwurf zum autonomen Fahren fehlt es in § 1g Abs. 2 an einer abschließenden Nennung der Speichergründe und der Speicherfrist. Ähnlich verhält es sich in § 1g Abs. 4, welcher zwar das Kraftfahrt-Bundesamt (KBA) ermächtigt die Daten des Fahrzeughalters zu verarbeiten, soweit dies für den sicheren Betrieb erforderlich ist, aber die konkreten Voraussetzungen, also was für den sicheren Betrieb erforderlich ist, nicht aufzählt. Auch die Weitergabe der Daten durch das KBA zu Forschungszwecken ist in dem Gesetzesentwurf vorgesehen, allerdings wird in diesem Zusammenhang nicht die mögliche Verknüpfung mit anderen Daten etwa von Telefonanbietern einschränkend geregelt, denn allein mit den Positions- und Zeitangaben lassen sich Fahrzeugnutzer ohne größere Probleme identifizieren. Die Weitergabe zu Forschungszwecken sollte daher detailliert geregelt werden, d.h.

  • die Weitergabe zu Forschungszwecken sollte nur auf Antrag erfolgen,
  • der Nutzen der Forschung für das Gemeinwesen muss dargelegt werden,
  • die Daten dürfen nur in anonymisierter Form verarbeitet werden,
  • Art. 12 ff DSGVO muss von den Verantwortlichen gewahrt werden,
  • eine Datenschutz-Folgenabschätzung ist durchzuführen.

Handlungsbedarf bezogen auf die Durchführungsverordnung für Strom- und Sprit-Verbrauchsangaben in Fahrzeugen

Aufgrund der Durchführungsverordnung müssen KFZ-Hersteller ab dem 01.04.2022 Daten zum Strom- und Spritverbrauch an das EU-Umweltamt über den gesamten Fahrbetrieb (Lebenszyklus) des Fahrzeuges zusammen mit der FIN melden. Damit soll die reale Entwicklung der Fahrzeugleistung im Betrieb erfasst werden. Angesichts eines Fahrzeug-Lebenszyklus von 15 Jahren und eines anvisierten Aufbewahrungszeitraumes von 20 Jahren, kann man ersehen, um welchen immensen Datenbestand es sich handelt und wie hoch der Sicherungsbedarf sein wird, um einen Datenabfluss oder Datenmissbrauch bzw. einen Angriff auf diese Daten der europäischen Fahrzeugnutzer zu verhindern. Wozu diese konkreten Verbrauchswerte zusammen mit der FIN gespeichert werden müssen, erschließt sich nicht. In Anbetracht des Datenminimierungsgrundsatzes sollte davon Abstand genommen werden, denn die Überprüfung der Verbrauchsangaben durch die Hersteller kann auch ohne Personenbezug erfolgen.

Bereits seit 2020 müssen neu zugelassene Fahrzeugtypen mit einem Verbrauchsmessgerät (ON-Board-Fuel Consumption Meter OBFCM) ausgestattet sein, das den Kraftstoffverbrauch pro zurückgelegter Strecke, Kraftstoffdurchsatz und die Fahrgeschwindigkeit speichert. Ab 2021 gilt dies auch für alle Neuwagen,

  • so dass Fahrzeug-, Motor-, Kraftstoff- oder Stromangaben über eine standardisierte Schnittstelle an die Hersteller übermittelt und von diesen gebündelt inkl. FIN an die Kommission gesendet werden.
  • Zugleich sollen auch technische Prüfstellen (TÜV) die Messwerte inkl. FIN erfassen.

Diese beiden Datenströme werden dann an das EU-Umweltamt übermittelt und von diesem unter weiterhin bestehenden Personenbezug ausgewertet. Wozu der Personenbezug über die FIN benötigt wird, erschließt sich nicht.

Der Weg zum gläsernen Bürger

Dieses Fuel Consumption Monitoring und der Gesetzesentwurf zum autonomen Fahren führen zweifelsohne zum gläsernen Autofahrer. Kombiniert man das im weiteren Verlauf mit der durch das E-Government anvisierten Datenbank, kommt man vollends zum gläsernen Bürger. Solange die Verbrauchsdaten mit FIN an die EUA übertragen werden, ist der Datenschutz in keinster Weise gewährleistet. Auch die vorgesehene Möglichkeit des Fahrzeugnutzers, der Erfassung der Daten im Wege eines Opt-Out zu widersprechen, ist nur ein Feigenblatt, denn es finden sich in der Durchführungsverordnung keine Ausgestaltungsdetails hierzu und man kann sich gut ausmalen, dass dies freiwillig durch die Industrie nicht gerade nutzerfreundlich erfolgen wird.

Der Gesetzgeber ist daher gefordert, sich nicht nur verbal dem Datenschutz zu verpflichten, sondern im Zuge einer stringenten Gesetzgebung zukunftweisende Maßstäbe zu setzen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

4 Kommentare zu diesem Beitrag

  1. Es macht mich zunehmend traurig (vorsichtig ausgedrückt!), wie unter diversen Vorwänden unsere Freiheits- und Bürgerrechte ausgehöhlt werden, ohne dass ein grosser Aufschrei durch die Öffentlichkeit geht. Sind sich denn nur Wenige bewusst, welche im Datenschutz seit 1984 erkämpfte Rechte, welche in verschiedenen Stufen seit 1848 erkämpfte Bürgerrechte aktuell mehr oder weniger kritiklos geopfert werden?

  2. Mir fehlt etwas die Verhältnismäßigkeit. Ein KFZ erfasst nur eine Teilmenge der Daten eines Mobiltelefons. Interessant wäre daher ein Vergleich zwischen KFZ und Mobiltelefon sowie deren Auswirkung auf die Betroffenen.
    Beim Mobiltelefon ruft niemand nach Regulation, obwohl es deutlich mehr Identifikatoren gibt (IMEI, IMSI sind mit der FIN vergleichbar dazu die Telefonnummer), die dazu unter den Mobilfunk-Anbietern ausgetauscht werden. Dazu kommen noch Hersteller, Betriebssystemhersteller, Werbenetzwerke und App-Hersteller, die fast uneingeschränkt und um Größenordnung detailliertere Profile der Nutzer erstellen können, da mehr und qualitativ genauere Daten erfasst werden.

    • Leider denken Sie da nicht weit genug. Das Handy kann ich jederzeit zu Hause lassen oder an Orten aufbewahren, wo eine Nachverfolgung vermieden werden kann. Der Pkw dagegen lässt sich nicht einfach abschalten, wenn ich unterwegs sein muss, und wenn es nur der tägliche Weg zur Arbeit mit Umweg über „…“ sein sollte.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.