Die Automobilindustrie ist nicht nur im Wandel was die Antriebstechnik anbelangt. Wesentliche Änderungen ergeben sich auch im Hinblick auf die Daten, da der Automobilsektor zunehmend digitalisiert wird. Was bei der Datenerhebung im Fahrzeug zu beachten ist, beleuchtet dieser Beitrag.
Der Inhalt im Überblick
- Was muss bei der Datenerhebung im Fahrzeug geregelt werden?
- 1. Information über die Datenverarbeitung
- 2. Personenbezogene Daten – Identifikation bzw. Identifizierbarkeit der Person
- 3. Rechtsgrundlage für den konkreten Verarbeitungszweck
- 4. Erforderlichkeit der Datenverarbeitung
- 5. Speicherdauer oder Kriterien für die Speicherdauer
- 6. Drittbetroffene von der Datenerhebung
- 7. Datenerhebung beim Nicht-Halter
- 8. Keine Updates ohne OK des Halters
- 9. Datenschutzmanagement und Verarbeitungsverzeichnis
- 10. Verantwortlichkeit für die Datenverarbeitung
- Ohne Datenschutz keine personenbezogene Datenerhebung im Fahrzeug
Was muss bei der Datenerhebung im Fahrzeug geregelt werden?
Die Datenquellen und die Datenkategorien in den Fahrzeugen sind zahlreich. Daneben sind unterschiedliche Akteure mit der Datenverarbeitung betraut. Über all diese Aktivitäten muss die betroffene Person zum Zeitpunkt der Datenverarbeitung von dem Verantwortlichen für den konkreten Verarbeitungsvorgang informiert sein.
1. Information über die Datenverarbeitung
Die Hersteller sind gehalten, die betroffene Person über die zu verarbeitenden personenbezogenen Daten Art. 4 Nr. 1 DSGVO explizit und nicht nur rudimentär gem. Art. 13 DSGVO in den AGB, Benutzerhandbüchern, Website, Datenschutzerklärung und sonstigen Informationen hinsichtlich
- dem Verantwortlichen,
- dem Datenschutzbeauftragten,
- dem Zweck,
- den Datenkategorien und Empfängern,
- ggf. den berechtigten Interessen des Verantwortlichen,
- ggf. einer Drittlandsübermittlung,
- der Dauer der Speicherung,
- über die Betroffenenrechte inkl. Widerrufs-, Widerspruchs- und Beschwerderecht sowie
- über eine automatisierte Entscheidungsfindung und
- eine ggf. Zweckänderung
zu informieren.
2. Personenbezogene Daten – Identifikation bzw. Identifizierbarkeit der Person
Ein Personenbezug liegt nicht nur dann vor, wenn die betroffene Person durch das Datum identifiziert ist, sondern auch dann, wenn die Identifizierbarkeit besteht, d.h. wenn eine Zuordnungsregel von dem Betroffenen selbst oder von einer dritten Stelle gegeben ist (z.B. Fahrzeugidentifikationsnummer FIN, Kennzeichen), die eine Identifizierung der betroffenen Person ermöglicht. Die FIN stellt eine solche Zuordnungsregel dar, die neben dem Halter auch den Fahrer oder Mitfahrenden identifiziert, z.B. wenn das Auto einem Firmenmitarbeiter zur alleinigen Nutzung überlassen wurde oder über das Fahrerprofil die Sitzeinstellung vorgenommen werden kann.
Auch Bilder über andere Kfz und Personen im Umkreis des eigentlichen Fahrzeuges, die über Dashcams erhoben werden, sind mit dem nötigen Zusatzwissen z.B. Gesichtserkennungssoftware identifizierbare Daten s.o. Wächterstatus bei Tesla. Auch aus der geschickten Kombination von Sachdaten (AU, HU, KM-Stand, Zulassung, Wartungsintervalle) kann eine Identifizierbarkeit der betroffenen Person erfolgen, so dass auch hierin personenbezogene Daten gesehen werden können.
3. Rechtsgrundlage für den konkreten Verarbeitungszweck
Besteht Klarheit über den Personenbezug der Daten und die Datenkategorien müssen der betroffenen Person die Zwecke der Datenverarbeitung konkret bestimmt, in klarer und verständlicher Sprache beschrieben werden. Allgemeinfloskeln wie etwa
„um unsere Produkte und Dienstleistungen bereitzustellen bzw. zu erbringen oder diese zu verbessern und zu erweitern“
„um mit Ihnen zu kommunizieren“
reichen hierzu nicht. Vielmehr sind die Zwecke und die Rechtsgrundlage so detailliert zu beschreiben, dass die betroffene Person diese konkret nachvollziehen und beurteilen kann.
4. Erforderlichkeit der Datenverarbeitung
Die Datenverarbeitung muss ferner explizit für die Zweckerreichung gem. Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung) erforderlich sein. Hierbei ist im Fahrzeug bereits mittels Voreinstellungen durch den Hersteller abzusichern, dass Daten, die für konkrete Zwecke nicht erforderliche sind, gar nicht erst gem. Art. 25 Abs. 2 DSGVO erhoben werden (Privacy by Default). Um die Erforderlichkeit der Datenverarbeitung überprüfen zu können, ist eine detaillierte Beschreibung der zweckorientierten Datenverarbeitung zwingend notwendig. Ferner muss der Betroffene über die Rechtsgrundlage pro bezweckter Datenverarbeitung informiert werden, um dem Transparenzgebot aus Art. 5 Abs. 1 lit. a DSGVO Rechnung zu tragen.
5. Speicherdauer oder Kriterien für die Speicherdauer
Die Aufbewahrungsdauer der verarbeiteten und gespeicherten Daten ist durch den Hersteller für die betroffene Person kenntlich zu machen. Angesichts der Vielzahl an erhobenen Daten zu unterschiedlichsten Zwecken ist ein allgemeiner Hinweis, dass die Daten gelöscht werden, wenn diese gem. Art. 5 Abs. 1 lit. 2, 17 Abs. 1 lit. a DSGVO nicht mehr für die ursprünglichen Zwecke benötigt werden, keine ausreichende Information des Betroffenen im Sinne von Art. 13, 14 Abs. 2 lit. a DSGVO. Eine derart undifferenzierte Aussage genügt dem Transparenzgebot nicht. Es ist dem Betroffenen damit weder explizit die Dauer der Speicherung, noch sind hierfür die Kriterien der Speicherung benannt.
6. Drittbetroffene von der Datenerhebung
Die Erklärungen über die Datenerhebung durch den Hersteller erfolgt grundsätzlich zwischen Halter des Fahrzeuges und dem Hersteller. Betroffene Mitfahrende oder andere Dritte, die nicht mit dem Halter identisch sind, werden hiervon nicht umfasst. Hier besteht nur die Möglichkeit, dass der Fahrzeughalter bei dem Hersteller für die Fahrzeugnutzenden, also ggf. für den Fahrer oder die Mitfahrenden ein Auskunftsersuchen stellt.
7. Datenerhebung beim Nicht-Halter
Selbst wenn man kein Auto eines US-Anbieters fährt, kann über externe Software z.B. Google Maps ein Datentransfer in ein Drittland erfolgen, mit all den Konsequenzen, die sich aus dem Schrems-II-Urteil hieraus ergeben, siehe Aktualisierte Orientierungshilfe aus Baden-Württemberg. Hierüber ist der Betroffene nicht nur zu informieren, vielmehr ist seine Einwilligung hierzu einzuholen.
8. Keine Updates ohne OK des Halters
Software-Updates dürfen nur aufgespielt werden, wenn dies der Halter aktiv zulässt.
9. Datenschutzmanagement und Verarbeitungsverzeichnis
Der Hersteller hat ferner in seinem Verarbeitungsverzeichnis die einzelnen Verarbeitungsvorgänge im Fahrzeug mit den Zwecken, Datenkategorien, Empfängern ggf. Drittlandstransfer, Auftragsverarbeitungen, Löschfristen und den technisch organisatorischen Maßnahmen aufzunehmen. Er muss zudem Vorkehrungen treffen, dass die datenschutzrechtlichen Prozesse durchgeführt und belegt werden können (Art. 5 Abs. 2 DSGVO).
10. Verantwortlichkeit für die Datenverarbeitung
Die Verantwortlichkeit zwischen Halter und Hersteller ist explizit, klar und unmissverständlich zu regeln. Es darf keine ungeregelten Grauzonen geben.
So liegt teilweise die Verantwortlichkeit bei dem Hersteller manchmal aber auch beim Fahrzeughalter, d.h. es ist in Teilen eine gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO anzunehmen, weil sowohl von dem Hersteller als auch dem Fahrzeughalter eigenständige Entscheidungen in Bezug auf die Verarbeitung getroffen werden und ohne die Entscheidung des anderen keine Verarbeitung der Daten erfolgen kann (kumulatives Zusammenwirken). Dies trifft insbesondere auf die Verarbeitung der Aufnahmen der Dashcam zu, da dem Halter des Fahrzeuges die Möglichkeit gegeben ist, die Erhebung, Speicherung und Weiterverarbeitung der Aufnahmen zu beeinflussen.
In einigen Bereichen sind der Halter und der Hersteller jeweils als eigener Verantwortlicher tätig, z.B. ist der Fahrzeughalter für den Export der Bilder aus der Dashcam eigenverantwortlich tätig.
Ohne Datenschutz keine personenbezogene Datenerhebung im Fahrzeug
Bei der Datenerhebung im Fahrzeug ist neben den AGB, dem Verbraucherschutz auch der Datenschutz zu beachten. Für alle Akteure sollte klar sein, dass ein Fahrzeug nicht nur technische Voraussetzungen erfüllen muss, um im Straßenverkehr zugelassen zu werden. Zusehends sich auch andere Aspekte auf die Zulassung zum europäischen Straßenverkehr von Bedeutung, wie etwa der Datenschutz. Die Datenschutzaufsichtsbehörden sollten auf dessen Einhaltung pochen. Damit diese Ihren Aufgaben nachkommen können, müssten sie mit mehr Manpower ausgestattet werden. Gerade zu Beginn der Digitalisierung kann man die Macht der Konzerne noch einbremsen. Man sollte die Gelegenheit hierzu nicht, wie bei den Internetkonzernen, verstreichen lassen.