Neuwagen senden Fahrzeugdaten an Behörde. Ohne Datenschutzkonzept?

News

Im April 2019 wurde die EU-Verordnung 2019/631 ohne viel Aufsehen erlassen. Datenschutzrechtlich ist sie durchaus einen Blick wert. Denn ab 2021 werden Fahrzeugdaten von Neuwagen nicht nur an die Hersteller, sondern auch an mitgliedstaatliche Behörden sowie an die EU-Kommission zur Auswertung weitergeleitet. Dieser Beitrag beleuchtet die datenschutzrechtliche Situation der Automobildaten aufgrund der neuen Verordnung.

Datenerhebung im Fahrzeug

Grundsätzlich ist die Datenerhebung in Automobilen für die nachfolgenden drei Segmente denkbar:

  • reine Fahrzeugdaten
    Technische Daten (Fehlerprotokoll wegen Luftdruck, Zustand der Bremsen etc.)
  • Fahrzeugdaten in Bezug auf die Außenwelt
    Spätestens im Zeitalter des autonomen Fahrens, soll das Automobil mit anderen Fahrzeugen sowie der Umgebung (Erkennen von Hindernissen) eigenständig kommunizieren. Aber auch heute schon werden GPS-Daten erfasst.
  • Daten über den Benutzer
    Benutzerkonten zum Ver- und Entriegeln, Fahrstil, Sitzposition, Telefonbücher etc.

Bei den Fahrzeugdaten ist nicht unbedingt auf den ersten Blick ein Personenbezug und damit die Anwendbarkeit der DSGVO gem. Art. 2 DSGVO erkennbar. Mit diesen Daten allein ist die dahinter stehende natürliche Person, also der Halter oder Fahrer, gem. Art. 4 Nr. 1 DSGVO noch nicht identifiziert. Dies ist sie immer dann, wenn die Informationen für sich alleine genommen nicht ausreichen, um sie der Person direkt zuzuordnen.

Jedoch ist eine Identifikation durch das Hinzuziehen oder die Kombination weiterer Informatio­nen möglich, d.h. die natürliche Person ist identifizierbar. Da die gesammelten Fahrzeugdaten letztendlich in den Datenbanken mit anderen Informationen kombiniert und über KI (künstliche Intelligenz) ausgewertet werden können, kann der Personenbezug generiert werden. Mit der Folge, dass die Daten wahrscheinlich Personenbezug haben und die DSGVO Anwendung findet.

Die Übertragung der Daten an die mitgliedstaatlichen Behörden und von diesen an die Kommission ist daher, sofern diese nicht ausreichend aggregiert erfolgt, datenschutzrechtlich relevant.

Wer interessiert sich für die Daten?

Es liegt auf der Hand, dass es zahlreiche natürliche und juristische Personen sowie Behörden gibt, die sich für die Vielzahl an unterschiedlichsten Daten interessieren, die in einem Fahrzeug anfallen.

  • der Halter und Fahrer des Fahrzeugs
  • die Werkstatt zur Fehleranalyse und für Maßnahmen der Kundenbindung
  • der Hersteller zur Qualitätssicherung und Produktverbesserung
  • Versicherungen für individuelle Versicherungsangebote
  • Behörden zur Vereitelung von Straftaten und Ordnungswidrigkeiten sowie für planerische Maßnahmen (Stadtplanung, Verkehrsführung, Parkplatzbedarf, Einhaltung der CO2-Werte)

Was bezweckt die neue EU-Verordnung

Nachdem die Selbstverpflichtung der Automobilindustrie zur Reduktion der CO2-Werte gescheitert war, legt die neue Verordnung CO2-Flottengrenzwerte fest, die von den Behörden anhand der übermittelten Fahrzeugdaten überprüft werden sollen.

„Flottengrenzwert bedeutet, dass der Durchschnitt aller in der Europäischen Union (EU) in einem Jahr zugelassenen Fahrzeuge diesen Wert nicht überschreitet. Nicht jedes einzelne neue Auto muss also diesen Flottengrenzwert einhalten.“

Ab 2021 soll daher jedes neue, verkaufte Fahrzeug speichern,

  • wie weit es gefahren wird und
  • welcher Sprit- bzw. Stromverbrauch pro Sekunde, Stunde und über den ganzen Lebenszyklus beim Betrieb des Fahrzeugs anfällt

Mit dieser Datenerhebung soll ein weiterer Abgasskandal vermieden werden. Bleibt zu hoffen, dass hieraus kein Datenskandal wird. Denn derzeit ist noch nicht geklärt, wer auf die Daten zugreifen darf, und wie die konkrete Datenerhebung erfolgen soll. Bedenkt man, dass über die Fahrzeugidentifikationsdaten (FIN) jeder Halter identifizierbar ist und betrachtet man den teilweise vollzogenen nicht zweckgebundenen Gebrauch der Corona-Adressdaten in der Gastronomie durch die Polizeibehörden, dann kann man sich gut vorstellen, was mit dieser Fülle an Daten aus dem Fahrzeug alles möglich sein kann und was besser datenschutzrechtlich im Vorfeld beachtet werden sollte.

In der Verordnung 2019/631 ist in Art. 7 Abs. 1 geregelt, dass

„jeder Mitgliedstaat für jedes Kalenderjahr gemäß Anhang II Teil A und Anhang III Teil A der vorliegenden Verordnung die Angaben über alle neuen Personenkraftwagen und alle neuen leichten Nutzfahrzeuge erfasst, die in seinem Hoheitsgebiet zugelassen werden. Diese Angaben werden den Herstellern bzw. den in den einzelnen Mitgliedstaaten von den Herstellern benannten Importeuren oder Vertretern zur Verfügung gestellt“.

Betrachtet man Anhang II Teil A stellt man fest, dass auch die FIN an die Kommission transferiert werden muss, d.h. insgesamt werden personenbezogene Daten von erheblichen Ausmaß an die Kommission übermittelt und in den einzelnen mitgliedstaatlichen Behörden erhoben. Auf Verlangen der Kommission kann diese sogar gemäß Art. 7 III VO 2019/631 das vollständige Datenmaterial, also nicht nur im aggregierten Zustand verlangen.

Datenraum Mobilität als Datenpool

Daneben plant die Bundesregierung noch einen „Datenraum Mobilität“ bis Oktober 2021. In diesen sollen alle, also auch öffentliche und private Verkehrsbetriebe Daten liefern, unabhängig ob sie auf der Straße, Schiene, Luft oder Wasser betrieben werden. Zusätzlich mit den Daten aus den Fahrzeugen ergibt sich hieraus ein Datenfundus, der ungeahnte Möglichkeiten bietet. Erfasst werden soll auch, ob und wie viele Personen im Auto mitfahren, die Fahrweise und andere Aktivitäten, hier sind der Phantasie auf lange Sicht vorerst keine Grenzen gesetzt.

Grenzen für die Datenerhebung und Datennutzung

Die beabsichtigen Zwecke, durch Verringerung des CO2-Ausstoßes die Umwelt zu schonen sowie die Mobilität in einer wandelnden Gesellschaft sicherzustellen, sind aller Ehren wert. Diese sollte aber unbedingt einhergehen mit einem ausgereiften Datenschutzkonzept. Ein solches ist für die Verordnung 2019/631 derzeit allenfalls lückenhaft vorhanden. Die Datenerhebung und Datennutzung auch durch national Behörden und mitgliedstaatliche Institutionen bedarf aber eindeutig geregelter Grenzen.

Es wäre wünschenswert, wenn es hierzu klare Vorgaben gäbe. Die Ausarbeitungen hierzu sollen in den kommenden drei Monaten erfolgen. Dies erscheint zeitlich mehr als knapp in Anbetracht der Datenfülle, Brisanz der Daten und Anzahl der Akteure. Aber warten wir es ab. Wir lassen uns gerne vom Gegenteil überzeugen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.