Datenschatz Auto – rollende Computer als Datensammler

Fachbeitrag

Jeden Morgen läuft der Lieblingssender, das Navi kennt alle Orte, vor allem die Heimadresse, und der Speicher des Telefons ist voller Kontakte. Moderne Autos sind rollende Computer, welche fleißig Daten sammeln. Sie speichern riesige Mengen an Informationen und teilen diese oft mit den Herstellern oder Dritten. Aufgrund der fortschreitenden informationstechnischen Ausstattung der Kraftfahrzeuge und deren Anbindung an das Internet sowie der Vernetzung der Verkehrsteilnehmer untereinander wird sich dieser Trend fortsetzen und in den kommenden Jahren zu weitreichenden Veränderungen im Straßenverkehr führen. Kritisiert wird seit Jahren die fehlende bzw. unzureichende Transparenz für den Verbraucher.

Fahrzeugdaten als personenbezogene Daten

Die DSGVO schützt die Verarbeitung personenbezogener Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen.

Bei der Nutzung eines modernen Kraftfahrzeugs wird permanent eine Vielzahl von Informationen erzeugt und verarbeitet. Lassen sich Fahrzeugdaten mit der Fahrzeugidentifikationsnummer oder dem Kfz-Kennzeichen verknüpfen, sind diese als solche personenbezogenen Daten zu qualifizieren und unterfallen somit dem Schutz der DSGVO.

Fahrzeugdaten können einen großen Aufschluss über den dahinterstehenden Nutzer geben. Die Daten können unter anderem dazu genutzt werden, ein Bewegungsprofil zu erstellen. Sie sind jedoch auch dazu geeignet „schon bis auf die psychische Grundausstattung des Fahrers Rückschlüsse zu ziehen“, so der hessische Datenschutzbeauftragte Alexander Roßnagel. „Man kann zum Beispiel das Fahrverhalten rekonstruieren aus den Daten: ob jemand sehr schnell fährt und an jeder Ampel eine Vollbremsung macht oder ob jemand zurückhalten fährt.“

Zulässig ist eines solche Datenverarbeitung dann, wenn sie auf einer informierten Einwilligung der Nutzerinnen und Nutzer beruht. Dazu gehört aber insbesondere, dass die Hersteller über Funktionen und Datenflüsse verständlich aufklären. Bei einzelnen Datenverarbeitungsprozessen kann sich die Rechtsgrundlage auch aus einer gesetzlichen Vorgabe oder einer Sorgfaltspflicht des Herstellers ergeben. Aber auch in diesen Fällen ist Transparenz angebracht.

Daten als Gefahrenquelle

Einige Daten sind sogar besonders sicherheitsrelevant. Hierunter fallen unter anderem die Steuerdaten für die Bremsen. Manipulationen dieser Daten können verheerende Auswirkungen haben.

Gewisse Daten landen möglicherweise sogar auf Servern der Hersteller oder Drittanbieter. Dies kommt ein wenig auf Marke, Modell und Baujahr des Fahrzeugs an. Der Verbraucher muss hierbei darauf vertrauen, dass der Autohersteller ausreichend Schutzmaßnahmen für Fahrzeug und Backend-System getroffen hat. In der Vergangenheit hat es immer wieder Versuche gegeben, Datensätze zu manipulieren oder gar zu stehlen.

„Für potenzielle Angreifer ist das Backend der Hersteller mit seinen vielen Daten deutlich interessanter als ein einzelnes Fahrzeug, daher werden eher diese Verbindungen angegriffen.“,

so Prof. Kraus, Professor für Netzwerksicherheit an der Hochschule Darmstadt. Daher ist es wichtig, dass auch von Gesetzgeberseite ausreichende gesetzliche Grundlagen für Schutzmechanismen etabliert werden, welche die Hersteller und Anbieter zu beachten haben.

Forderung von spezifischen Regelungen

Mittels der Kampagne der Fédération Internationale De L`Automobile (FIA) „MY CAR MY DATA“ fordern europäische Mitgliedsclubs seit langem, spezifische Rechtsvorschriften der EU für den Umgang mit aus Fahrzeugen erhobenen Daten. Ein weiteres Kernanliegen ist der sichere und freie Datenfluss von den Automobilherstellern zu vertrauenswürdigen Drittanbietern. Ein regulierter Ansatz für den Zugriff auf Fahrzeugdaten für vertrauenswürdige Drittanbieter stellt die Autofahrer in den Mittelpunkt und befähigt sie, eine informierte Zustimmung zur Datenerhebung oder -verwendung zu geben. Laut FIA wird so ein starker Datenschutz ermöglicht: Autofahrer können in dieser Weise am besten Dienste und Anbieter auswählen, die ihren Bedürfnissen entsprechen. Eine mögliche Datenerhebung von fahrzeugbezogenen Daten durch Dritte wird so bestenfalls wirksam kanalisiert und transparent. Voraussetzung ist, dass nur mit ausdrücklicher Einwilligung des jeweiligen Betroffenen oder Nutzers Informationen weitergegeben werden dürfen.

Die Forderung nach der strikten Beachtung der Einwilligung des Betroffenen wird in Deutschland breit unterstützt. So hat etwa die Verbraucherschutzministerkonferenz (VSMK) schon 2019 die Einführung von dezentralen „Datenportale (Dashboards)“ gefordert. Verbraucherinnen und Verbraucher erhielten so eine „digitale Souveränität“, in dem sie Daten löschen, ändern oder verwalten können.

Verkehrsgerichtstag

Die Liste der Interessenten an den Daten ist lang. Ob Hersteller, Versicherer, Werkstätten oder gar Behörden, alle wollen sie an den Datenschatz gelangen. Am Donnerstag will der Verkehrsgerichtstag in Goslar die Sicht der Verbraucher und Anforderungen an den Datenschutz in Autos diskutieren, ebenso wie die Verwendung dieser Daten und eine grenzübergreifende Nutzung von Fahrzeugdaten aus polizeilicher Sicht. Debattenteilnehmer sind Juristen, Entscheidungsträger von Ministerien sowie Vertreter von Polizei und Verbänden. Es bleibt abzuwarten, ob und wenn ja, welche Ergebnisse dort erzielt werden.

Fest steht jedoch, dass es wichtig ist, Impulse für künftige gesetzliche Mobilitätsreglungen zu schaffen. Dem Datenschutz ist hierbei eine gewichtige Rolle einzuräumen. Denn getreu dem Motto des AvD „Mein Auto, meine Daten“ sollte der Verbraucher wenigstens annährend wissen, was mit seinen Daten geschieht.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

Ein Kommentar zu diesem Beitrag

  1. Alles richtig. Allerdings kann das Mobiltelefon das alles und noch viel mehr und viel genauer und viel lückenloser. 24h sitzt niemand im Auto, aber das Telefon nehmen viele mit in Bett und überwachen sogar den Schlaf. Sollte man also nicht erst einmal da anfangen? Verstehen das die Aufsichtsbehörden nicht? Traut man sich nicht an die amerikanischen, chinesischen und koreanischen Datensammler ran? Oder hat man schlicht aufgegeben und stürzt sich auf die europäischen Automobilhersteller als relativ kleine Daten-Fische?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.