Jeden Morgen läuft der Lieblingssender, das Navi kennt alle Orte, vor allem die Heimadresse, und der Speicher des Telefons ist voller Kontakte. Moderne Autos sind rollende Computer, welche fleißig Daten sammeln. Sie speichern riesige Mengen an Informationen und teilen diese oft mit den Herstellern oder Dritten. Aufgrund der fortschreitenden informationstechnischen Ausstattung der Kraftfahrzeuge und deren Anbindung an das Internet sowie der Vernetzung der Verkehrsteilnehmer untereinander wird sich dieser Trend fortsetzen und in den kommenden Jahren zu weitreichenden Veränderungen im Straßenverkehr führen. Kritisiert wird seit Jahren die fehlende bzw. unzureichende Transparenz für den Verbraucher.
Der Inhalt im Überblick
Fahrzeugdaten als personenbezogene Daten
Die DSGVO schützt die Verarbeitung personenbezogener Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen.
Bei der Nutzung eines modernen Kraftfahrzeugs wird permanent eine Vielzahl von Informationen erzeugt und verarbeitet. Lassen sich Fahrzeugdaten mit der Fahrzeugidentifikationsnummer oder dem Kfz-Kennzeichen verknüpfen, sind diese als solche personenbezogenen Daten zu qualifizieren und unterfallen somit dem Schutz der DSGVO.
Fahrzeugdaten können einen großen Aufschluss über den dahinterstehenden Nutzer geben. Die Daten können unter anderem dazu genutzt werden, ein Bewegungsprofil zu erstellen. Sie sind jedoch auch dazu geeignet „schon bis auf die psychische Grundausstattung des Fahrers Rückschlüsse zu ziehen“, so der hessische Datenschutzbeauftragte Alexander Roßnagel. „Man kann zum Beispiel das Fahrverhalten rekonstruieren aus den Daten: ob jemand sehr schnell fährt und an jeder Ampel eine Vollbremsung macht oder ob jemand zurückhalten fährt.“
Zulässig ist eines solche Datenverarbeitung dann, wenn sie auf einer informierten Einwilligung der Nutzerinnen und Nutzer beruht. Dazu gehört aber insbesondere, dass die Hersteller über Funktionen und Datenflüsse verständlich aufklären. Bei einzelnen Datenverarbeitungsprozessen kann sich die Rechtsgrundlage auch aus einer gesetzlichen Vorgabe oder einer Sorgfaltspflicht des Herstellers ergeben. Aber auch in diesen Fällen ist Transparenz angebracht.
Daten als Gefahrenquelle
Einige Daten sind sogar besonders sicherheitsrelevant. Hierunter fallen unter anderem die Steuerdaten für die Bremsen. Manipulationen dieser Daten können verheerende Auswirkungen haben.
Gewisse Daten landen möglicherweise sogar auf Servern der Hersteller oder Drittanbieter. Dies kommt ein wenig auf Marke, Modell und Baujahr des Fahrzeugs an. Der Verbraucher muss hierbei darauf vertrauen, dass der Autohersteller ausreichend Schutzmaßnahmen für Fahrzeug und Backend-System getroffen hat. In der Vergangenheit hat es immer wieder Versuche gegeben, Datensätze zu manipulieren oder gar zu stehlen.
„Für potenzielle Angreifer ist das Backend der Hersteller mit seinen vielen Daten deutlich interessanter als ein einzelnes Fahrzeug, daher werden eher diese Verbindungen angegriffen.“,
so Prof. Kraus, Professor für Netzwerksicherheit an der Hochschule Darmstadt. Daher ist es wichtig, dass auch von Gesetzgeberseite ausreichende gesetzliche Grundlagen für Schutzmechanismen etabliert werden, welche die Hersteller und Anbieter zu beachten haben.
Forderung von spezifischen Regelungen
Mittels der Kampagne der Fédération Internationale De L`Automobile (FIA) „MY CAR MY DATA“ fordern europäische Mitgliedsclubs seit langem, spezifische Rechtsvorschriften der EU für den Umgang mit aus Fahrzeugen erhobenen Daten. Ein weiteres Kernanliegen ist der sichere und freie Datenfluss von den Automobilherstellern zu vertrauenswürdigen Drittanbietern. Ein regulierter Ansatz für den Zugriff auf Fahrzeugdaten für vertrauenswürdige Drittanbieter stellt die Autofahrer in den Mittelpunkt und befähigt sie, eine informierte Zustimmung zur Datenerhebung oder -verwendung zu geben. Laut FIA wird so ein starker Datenschutz ermöglicht: Autofahrer können in dieser Weise am besten Dienste und Anbieter auswählen, die ihren Bedürfnissen entsprechen. Eine mögliche Datenerhebung von fahrzeugbezogenen Daten durch Dritte wird so bestenfalls wirksam kanalisiert und transparent. Voraussetzung ist, dass nur mit ausdrücklicher Einwilligung des jeweiligen Betroffenen oder Nutzers Informationen weitergegeben werden dürfen.
Die Forderung nach der strikten Beachtung der Einwilligung des Betroffenen wird in Deutschland breit unterstützt. So hat etwa die Verbraucherschutzministerkonferenz (VSMK) schon 2019 die Einführung von dezentralen „Datenportale (Dashboards)“ gefordert. Verbraucherinnen und Verbraucher erhielten so eine „digitale Souveränität“, in dem sie Daten löschen, ändern oder verwalten können.
Verkehrsgerichtstag
Die Liste der Interessenten an den Daten ist lang. Ob Hersteller, Versicherer, Werkstätten oder gar Behörden, alle wollen sie an den Datenschatz gelangen. Am Donnerstag will der Verkehrsgerichtstag in Goslar die Sicht der Verbraucher und Anforderungen an den Datenschutz in Autos diskutieren, ebenso wie die Verwendung dieser Daten und eine grenzübergreifende Nutzung von Fahrzeugdaten aus polizeilicher Sicht. Debattenteilnehmer sind Juristen, Entscheidungsträger von Ministerien sowie Vertreter von Polizei und Verbänden. Es bleibt abzuwarten, ob und wenn ja, welche Ergebnisse dort erzielt werden.
Fest steht jedoch, dass es wichtig ist, Impulse für künftige gesetzliche Mobilitätsreglungen zu schaffen. Dem Datenschutz ist hierbei eine gewichtige Rolle einzuräumen. Denn getreu dem Motto des AvD „Mein Auto, meine Daten“ sollte der Verbraucher wenigstens annährend wissen, was mit seinen Daten geschieht.
Alles richtig. Allerdings kann das Mobiltelefon das alles und noch viel mehr und viel genauer und viel lückenloser. 24h sitzt niemand im Auto, aber das Telefon nehmen viele mit in Bett und überwachen sogar den Schlaf. Sollte man also nicht erst einmal da anfangen? Verstehen das die Aufsichtsbehörden nicht? Traut man sich nicht an die amerikanischen, chinesischen und koreanischen Datensammler ran? Oder hat man schlicht aufgegeben und stürzt sich auf die europäischen Automobilhersteller als relativ kleine Daten-Fische?
Nur weil es andere, ebenfalls wichtige Themen gibt, sollte man das Auto nicht aus den Augen verlieren. Eine ganz einfache Regel, die jeder für sich selbst umsetzen kann, ist: Wenn ich einen Mietwagen oder ein Leasing-Auto zurückgebe, dann setze ich vor der Abgabe das Infotainment-System auf die Werkseinstellung zurück“. Und wenn ich nicht weiß, wie das geht, dann verbinde ich mein Handy gar nicht erst mit dem Fahrzeug.
Das könnte man in eine Unternehmensrichtlinie schreiben, den Mitarbeitern bekannt geben, und schon hat schon mal einen ganz ansehnlichen Teil der Angriffsfläche reduziert.
Informationssicherheit kann so einfach sein, wenn man sich nur mal auf das Machbare, Einfache konzentriert. Perfektion gibt es nur selten.
Leider lässt die aktuelle Diskussion um mehr Transparenz zum Datensammeln und Weiterleiten von Datenströmen in modernen Autos das Zentralste außen vor: die schlichte Option, einem Neuwagen auch das Erheben, Sammeln und Senden von Daten generell zu verbieten. Insbesondere physisch zu deaktivieren – selbiges hat für OTA (over the air) Zugriffe auf das Fahrzeug zt gelten!
Was nützt eine vermeintliche Transparenz, wenn man sich gegen das Grundlegende selbst nicht wehren kann? Was würde es dem Schwein auf der Schlachtbank nützen, wenn ihm zuvor, selbstverständlich „ganz transparent“, der Name seines Schlachters bekannt gegeben würde? Eine wahre Option ist das nicht.