Digitale Mobilität und der Datenschutz

Fachbeitrag

Dieser Artikel betrachtet die Herausforderungen rund um die Mobilität 4.0. Dies betrifft Daten, die in vernetzten, intelligenten Fahrzeugen verwendet und produziert werden. Dabei handelt es sich zum einen um Maschinendaten aber auch um viele personenbezogene Daten.

Welche Daten fallen an?

Neben den Maschinendaten und Umfelddaten fallen in modernen und in Zukunft autonom fahrenden Fahrzeugen auch allerhand personenbezogene Daten an. Zwar kann es sich dabei auch um reine Maschinendaten handelt, die sich nur auf eine Sache beziehen. Im Wesentlichen handelt es sich bei den Maschinendaten jedoch um solche, die weder gespeichert noch gesendet werden z.B. die Innentemperatur im Fahrzeug.

Gerade im Zusammenhang mit der intelligenten Mobilitätssteuerung ist jedoch zu bedenken, dass die Zusammenführung und die Auswertung von einer großen Menge an unterschiedlichen Daten, die zwar ursprünglich anonym waren, sich so verdichten und kombinieren lassen, dass diese zu personenbezogenen Daten werden können. Eine Person wird nämlich bereits dann identifizierbar, wenn diese mittels Zuordnung zu einer Kennnummer oder zu Standortdaten gem. Art. 4 Nr. 1 DSGVO identifiziert werden kann. Daher sind Standortdaten im Navigationssystem, die zugleich zur Lokalisierung herangezogen werden können, personenbezogene Daten.

Aufgrund der ungeheuren erfassten Datenmenge gibt es beim autonomen Fahren kaum mehr Daten, die keinen Personenbezug aufweisen. Denn ein Personenbezug liegt bereits immer dann schon vor, wenn aufgrund der Kombination von Daten die Möglichkeit der Identifizierung besteht.

Daneben fallen die klassischen personenbezogenen Daten an:

  1. Infotainment- und Komforteinstellungen: z.B. personalisierter Zugriff auf Dienste
  2. Technische Daten: z.B. Sensor-Daten d. Sitzes (signalisiert die Anzahl der Insassen)
  3. Betriebswerte: z.B. Verbrauch

Für welche Zwecke werden die Daten erhoben?

Bei jedem Fahrzeughersteller und auch bei jedem Fahrzeugnutzer fallen unterschiedliche Daten im Fahrzeug an, dies erfolgt je nach Verwendungskontext, so kann z.B. ein Nutzer einen Telematikversicherungstarif gewählt haben, den ein anderer Fahrzeugnutzer nicht beansprucht.

Mit kleinen Unterschieden fallen grundsätzlich in folgenden Bereichen Daten an:

  1. Daten in Medien- und Telekommunikationsdienste, die im Fahrzeug bereitgestellt werden (Infotainment, Karten-, Verkehrsdienste, Versicherungen etc.)
  2. Daten für einen vorhandenen Unfallspeicher
  3. Daten für Wartungs- und Reparaturzwecke sowohl online als auch offline
  4. Daten für die Fahrzeugweiterenwicklung (Verbesserung von Komponenten)

Das Interesse an diesen Daten ist vielfältig und beschränkt sich nicht nur auf den Fahrzeughersteller und die Werkstatt. Es existiert vielmehr ein eigener Markt für diese Daten, so bieten Versicherungen mittlerweile spezielle Tarife an, Mobilitätsdienstleister interessieren sich ebenso wie Steuer- und Strafverfolgungsbehörden.

Rechtliche Aspekte der verarbeiteten Daten

Das autonome Fahren bzw. auch die Mobilitätssteuerung auf den Straßen betrifft verschiedene rechtliche Aspekte. Für deren rechtliche Beurteilung kann zum einen die noch nicht erlassene E-Privacy-Verordnung aber auch die DSGVO maßgeblich sein.

E-Privacy Verordnung

Die Mobilität 4.0 bedient sich unterschiedlicher Datenquellen, die kombiniert werden, u.a. Daten aus dem Bereich der elektronischen Kommunikationsdaten z.B. Erfassen von Ausgangs- und Zielpunkten der Kommunikation, Datum, Uhrzeit sowie der Dauer und Art der Kommunikation, aber auch Inhalte (Textnachrichten, Bilder etc.) oder auch Daten zu Endgeräten, die der zukünftigen ePrivacy-VO-E gem. Art. 4 ePrivacy-VO-E unterfallen dürften.

DSGVO

Daneben dürfte je nach Datenverarbeitung auch die DSGVO auf den einzelnen Verarbeitungsschritt Anwendung finden, bei dem personenbezogene Daten gem. Art. 2 Abs. 1 DSGVO verarbeitet werden. In diesem Fall wird für die Datenverarbeitung aufgrund des in der DSGVO geltenden Grundsatzes des Verbotes mit Erlaubnisvorbehalt eine Rechtsgrundlage benötigt.

Rechtmäßigkeit der Datenverarbeitung nach der DSGVO

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ergibt sich aus Art. 6 DSGVO. Wobei die vielfältigen Zwecke und Interessen für die die personenbezogenen Daten rund um das Fahrzeug erhoben werden, die Auswahl der Rechtsgrundlage nicht leicht machen.

1. Einwilligung in freiwilliger informierter Form

Die Datenverarbeitung kann auf die beim Betroffenen vor der Verarbeitung eingeholte Einwilligung gestützt werden. Als Ausfluss der Privatautonomie unterliegt diese zwar grundsätzlich keinem Formzwang sollte im Zuge der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO der der Verantwortliche aus Art. 4 Nr. 7 DSGVO unterliegt aber in irgendeiner Weise dokumentiert werden. Problematisch ist, dass die Einwilligung zum einen gem. Art. 7 Abs. 3 DSGVO jederzeit frei widerruflich ist und sich auf einen oder mehrere konkrete Zwecke beziehen muss.

Letzteres hat zur Folge, dass in verständlicher Weise über den Umfang und die Art der Datenverarbeitung im Vorfeld aufgeklärt werden muss. In Bezug auf die digitale Mobilität mit all ihren denkbaren und oft auch noch unbekannten Ausformungen ist diese Gestaltung der Einwilligung allerdings nur schwer darstellbar.

Darüber hinaus muss die Einwilligung freiwillig in informierter Weise gem. Art. 4 Nr. 11 DSGVO erteilt werden. Bei der Inanspruchnahme von komplexen Mobilitätsdienstleistungen rund um das Fahrzeug, müsten die erhobenen Daten für den angebotenen Service auch erforderlich sein.

Die Freiwilligkeit einer Einwilligung ist auch fraglich, wenn die Datenverarbeitung entweder vollständig oder gar nicht nach dem Motto „Take it or leave it“ konzipiert ist.

2. Datenverarbeitung zur Vertragserfüllung

Die Datenverarbeitung kann auch zur Erfüllung eines Vertrages gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO im Zuge der angebotenen Mobilitätsdienstleistung oder der intelligenten Mobilitätssteuerung erforderlich sein. Allerdings sind in diesem Zusammenhang die zu verarbeitenden Daten auf die beschränkt, die zur Erreichung des Vertragszwecks erforderlich und geeignet sind sowie gleichzeitig das mildeste Mittel darstellen.

Abzustellen ist daher immer auf das konkrete Vertragsverhältnis und die hieraus resultierenden konkreten Verpflichtungen. Konsequenterweise dürfen die nach Art. 6 Abs. 1 S.1 lit. b DSGVO erhobenen Daten auch nur für die Dauer der primären Zweckerreichung gespeichert werden, denn damit entfällt die Erforderlichkeit.

Eine Rechtfertigung der Datenverarbeitung über die Vertragserfüllung scheidet bei sensiblen Daten nach Art. 9 DSGVO aus, jedoch ist das Vorliegen dieser sensiblen Daten ohne den Verwendungskontext schwer definierbar.

Je nach Vertragsgestaltung könnten von der Vertragserfüllung auch noch die Datenverarbeitungen umfasst sein, die sich auf die Optimierung der Systeme beziehen. Personenbezogene Dienstleistungen müssen bei Vertragsschluss durch den Betroffenen klar erkennbar sein, z.B. bei Abschluss von Telematikversicherungstarifen oder Assistenzsystemen bei Fahrzeugen, bei denen regelmäßig zwischen Fahrzeughalter und Fahrzeughersteller ein Vertrag zur Datenverarbeitung geschlossen wird.

3. Berechtigtes Interesse

Auch das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO kann als Rechtsgrundlage für die Datenverarbeitung bei intelligenten Mobilitätssteuerungen dienen. Als Interesse kommt jedes wirtschaftliche oder ideelle Interesse des Verarbeiters in Betracht, wobei die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen dürfen. Beispielhaft sei hier angeführt, dass der Hersteller bei einem Unfall die Fehlerfreiheit des Fahrzeuges mit den erhobenen Daten belegen will.

4. Rechtliche Verpflichtung

Die Datenverarbeitung kann insbesondere auch nach Art. 6 Abs. 1 S. 1 lit. c DSGVO zur Erfüllung einer rechtlichen Verpflichtung gerechtfertigt sein, wie dies etwa durch den eCall im Wege der eCall-Verordnung oder § 63a StVG erfolgt.

Weitergehende zukünftige Regelungen

In Anbetracht der Tatsache, dass das autonome, vernetzte Fahren gerade erst in den Kinderschuhen steckt und sich bereits jetzt ein großer Markt für die Daten

  • Primärmarkt für Fahrzeugdaten (Hersteller und Aftermarket wie Versicherungen oder Carsharing)
  • Sekundärmarkt mit anderen Anbietern

abzeichnet. Bleibt abzuwarten, ob die aktuelle DSGVO und die zukünftige ePrivacy-VO den unterschiedlichen Geschäftsmodellen und Anforderungen an den Datenschutz ausreichend Rechnung tragen können. Offen ist nach wie vor die Frage, wer beim autonomen Fahren der Verantwortliche ist und wer die Datenhoheit über die erhobenen Daten hat. Mit den Öffnungsklauseln in der DSGVO gibt es aber schon jetzt Möglichkeiten für den Gesetzgeber, auf die Anforderungen der Zukunft zu reagieren.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.