Auf der 39. Internationale Datenschutzkonferenz hat die Bundesdatenschutzbeauftragte, Andrea Voßhoff, eine Resolution zum Datenschutz in vernetzten und automatisierten Fahrzeugen initiiert. Wir Autofahrer sollten genau hinschauen was mit unseren Daten passiert, denn die Auswirkungen werden weitreichend sein.
Der Inhalt im Überblick
Die 39. Internationale Datenschutzkonferenz
In Hongkong hat die 39. Internationale Datenschutzkonferenz, ein globales Forum der Datenschutzaufsichtsbehörden, grundlegende Datenschutzanforderungen für vernetzte und automatisierte Fahrzeuge beschlossen. Auf deutsche Initiative wurde dort eine fünfseitige Resolution verabschiedet, die den Schutz personenbezogener Daten der Fahrzeugnutzer fordert. Dies nutzte die Bundesdatenschutzbeauftragte für eine Pressemitteilung.
„to fully respect the users´ rights to the protection of their personal data and privacy“
Alle „beteiligten Parteien“ sollten
„das Recht der Fahrzeugnutzer auf Privatsphäre und den Schutz ihrer personenbezogenen Daten in jeder Phase der Entwicklung und Herstellung neuer Produkte und Dienste (…) beachten.“
Unter anderem wurden Automobilhersteller und -Zulieferer, Gesetzgeber und Normierungsgremien als solche beteiligten Parteien explizit benannt.
Man kann darüber streiten, ob das Auto tatsächlich ein „Symbol von Freiheit und Unabhängigkeit“ ist, wie die Bundesdatenschutzbeauftragte Andrea Voßhoff sagte. Unstrittig sollte sein, dass die Digitalisierung des Straßenverkehrs große Veränderungen mit sich bringen wird. Frau Voßhoff hatte sich schon Anfang Juni dafür ausgesprochen, die technischen Zulassungsanforderungen um Datenschutz und IT-Sicherheits-Aspekte zu ergänzen. Damals erstellte das BfDI eine 13 Punkte umfassende Empfehlungsliste „zum automatisierten und vernetzten Fahren“.
Vernetzte Fahrzeuge, wo denn?
Monatlich erreichen uns Autofahrer neue Meldungen über Projekte. VW plant z.B. ab 2019 eine erste Modellreihe serienmäßig mit der Funktechnik Public WLAN (pWLAN) ausrüsten. Damit könnte der Wahrnehmungsbereich des Fahrzeugs um mehrere hundert Meter erweitert werden und Fahrzeuge „kommunizieren direkt untereinander und mit der Verkehrsinfrastruktur“. Wie lange werden diese Daten gespeichert? Sekunden? Tage? Jahre?
Wir hatten im Sommer über ein Urteil des LG Köln berichtet, bei dem umfangreiche Telemetrie-Daten des E-Steuerungsmoduls eines Carsharing-Fahrzeugs ausgewertet wurden und zu einer Nachkommastellen genauen Unfallrekonstruktion führten. Ein sekündlicher Geschehensablauf der Tat. In diesem Fall waren die Daten auch nach über einem Jahr abrufbar.
Aber nicht nur die Datenschutz, auch die IT-Sicherheitsaspekte werden immer wichtiger. Schon 2015 über nahmen Hacker in einem Versuch die Kontrolle über ein fahrendes Fahrzeug. In einem Interview vom 24.04.2016 wies der Präsident des BSI Arne Schönbohm auf die Risiken gezielter Hackerangriffe auf moderne Kraftfahrzeuge hin. Es ist Zeit für neue Qualitätskriterien.
Typzulassungen & Privacy by design
„Privacy by design“ also Datenschutz durch Technikgestaltung wurde zwar bereits in der 1995 erlassenen Datenschutzrichtlinie indirekt berücksichtigt, gewinnt jetzt aber durch den Verordnungscharakter der DSGVO Bedeutung. Die Autoindustrie kennt das Verfahren der Typzulassungen. Laut Frau Voßhoff könnte in diesem Rahmen „Privacy by design“ mit Leben gefüllt werden. Datenschutzkonformität als fester Zulassungsbestandteil eines Fahrzeugs.
Mit der DSGVO kommt noch ein weiterer Aspekt zum Tragen. Es wird eine vorausgehende Folgenabschätzung notwendig sein.
Nach Art. 35 Abs. 1 DSGVO ist eine Datenschutz-Folgeabschätzung grundsätzlich immer dann durchzuführen wenn:
„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.
Dies lässt einen größeren Anwendungsbereich für die Datenschutz-Folgeabschätzung erwarten, als dies noch für die Vorabkontrolle nach dem BDSG (§ 4d Abs. 5 BDSG) der Fall war.
All dies muss keine Benachteiligung der Industrie sein. Zu Ende gedacht, steckt für die Hersteller darin die Chance, dass ein sorgfältig geplantes Produkt weniger Folgekosten verursacht.
Datenschutz als Qualitätsmerkmal!
Sehen wir auch die Chancen, die vernetzte Fahrzeuge bieten. Verkehrsoptimierung, Unfallvermeidung, Notfallhilfe und Unfallaufklärung sind sinnvolle Ziele. Geringere Versicherungsprämien klingen auf den ersten Blick auch gut. Nur bei dem Gedanken an die dafür notwendige Überwachung wird manchem eine Falte auf der Stirn erscheinen. Und über autonomes Fahren haben wir noch gar nicht gesprochen.
Wir werden in Zukunft beim Autokauf tiefer in die Datenschutzbestimmungen gucken müssen. Zumindest wenn wir dieses Qualitätsmerkmal wertschätzen. Die Regularien der DSGVO helfen uns, denn die Industrie wird sich bewegen müssen, möchte sie nicht hohe Bußgelder riskieren. Am Ende entscheiden wir, die Verbraucher.