Moderne Automobile generieren viele Informationen zu verschiedensten Zwecken, so etwa zur Unterstützung des Fahrers, zur Gewährleistung der Sicherheit, oder zur Weiterentwicklung der Technologie (insbesondere des autonomen Fahrens) anhand von durch die Fahrzeugflotte gesammelten Daten.
1.
Die «Tesla Model X» der Kapo BS ^
Die Kantonspolizei Basel-Stadt (KaPo BS) beschaffte Ende 2018 sieben Fahrzeuge des Typs «Tesla Model X». Im Rahmen dieser Beschaffung wurden in der Presse Vorwürfe laut, die Fahrzeuge würden Bild- und Tonaufnahmen machen, weshalb sie aus datenschutzrechtlichen Gründen nicht eingesetzt werden dürften.
Mit seinem Schlussbericht zu einer in diesem Fall durchgeführten Vorabkontrolle vom 26. April 2019 schildert der Datenschutzbeauftragte des Kantons Basel-Stadt (DSB-BS) die Rechtslage und gibt Empfehlungen ab. Die Behauptung, die Fahrzeuge seien aus datenschutzrechtlichen Gründen nicht einsetzbar, dementiert er.1
Der DSB-BS führt aus, das fragliche «Model X» nehme unter anderem Videodaten von seiner Umgebung auf, die kurzzeitig im Fahrzeug zwischengespeichert und dann gelöscht würden. Einzig im Fall eines sicherheitsrelevanten Vorfalls, insbesondere einer Auslösung oder Beinahe-Auslösung von Airbags, würden die Daten an die Herstellerin weitergeleitet.
Optional kann sodann die Funktion einer «Dashcam» (d.h. einer Kamera, die das Fahrgeschehen beobachtet) eingeschaltet werden; diese speichert Daten auf einem lokalen Datenträger.
Zudem werden nach der Betätigung eines Knopfs für Sprachsteuerung Tondaten aufgezeichnet und zwecks Spracherkennung an eine Dienstleisterin weitergeleitet und in der Folge wieder an das Fahrzeug zurückgesendet.
2.
Datenschutzrechtliche Grundlagen ^
Der Umgang öffentlicher Organe des Kantons BS mit Personendaten richtet sich nach dem kantonal-baslerischen Gesetz über die Information und den Datenschutz (IDG-BS)2. Nach § 9 Abs. 1 IDG-BS darf ein öffentliches Organ Personendaten bearbeiten, wenn dafür eine gesetzliche Grundlage besteht und wenn die Bearbeitung zur Erfüllung der gesetzlichen Aufgabe geeignet und erforderlich und für den Betroffenen zumutbar ist. Bei der Weitergabe an Dritte (wie die Herstellerin eines Flottenfahrzeugs) sind die Voraussetzungen praktisch identisch (§ 21 IDG-BS).3
Wesentlich ist im vorliegenden Fall zunächst, ob es sich bei den aufgezeichneten Daten überhaupt um Personendaten handelt. Personendaten sind Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen (§ 3 Abs. 3 IDG-BS). Aufzeichnungen von Kameras können demnach Personendaten enthalten, etwa wenn Gesichter erkennbar sind.
Bezüglich der Kameras hält der DSB-BS fest, dass eine Übermittlung personenbezogener Daten an die Herstellerin nur in den seltensten Fällen überhaupt erfolgen würde, nämlich bei Unfällen des betreffenden Fahrzeugs. Das Risiko einer Persönlichkeitsverletzung sei daher sehr gering. Dennoch sei zu prüfen, ob die automatische Übermittlung allenfalls unterbunden werden könne.4
Die optionale Funktion einer Dashcam wird von der Basler Polizei derzeit nicht genutzt; eine entsprechende gesetzliche Grundlage fehlt denn auch. Ein dauerhaftes Filmen des Strassengeschehens durch Private wäre allerdings zulässig, sofern die Aufnahmen nur im Bedarfsfall gespeichert und ansonsten regelmässig wieder gelöscht werden, und sofern die Daten zu keinen anderen Zwecken als zum Beweis von Verkehrsregelverletzungen bzw. zur Klärung entsprechender Haftungsfragen verwendet werden.5
Bezüglich der Sprachdaten fehlt ein Personenbezug, weil Aussenstehende grundsätzlich keine Kenntnis davon haben, wer sich zu einem bestimmten Zeitpunkt im Fahrzeug befindet. Das IDG-BS ist damit nicht anwendbar. Auch weitere Daten, die das Fahrzeug sammelt, hält der DSB-BS aus denselben Gründen für unproblematisch. Dies gilt beispielsweise für Daten zum Fahrzeugzustand oder für die Geolokalisierung.6
3.
Empfehlungen des Datenschutzbeauftragten ^
Der DSB-BS empfiehlt in seinem Schlussbericht,
- die Deaktivierung der automatischen Übermittlung von Bilddaten bei sicherheitsrelevanten Vorgängen zu prüfen;
- bei Aktualisierungen der Hard- oder Software oder Aktivierung bisher nicht genutzter Funktionen (bspw. Dashcam) nötigenfalls eine erneute Vorabkontrolle durchzuführen;
- die Nutzung der Synchronisierungsfunktion des Fahrzeugs mit Daten von Mobiltelefonen von Fahrzeuginsassen personalrechtlich zu regeln;
- personalrechtliche Grundlagen für die Bearbeitung der durch weitere Sensoren (GPS, etc.) erhobenen Daten zu schaffen;7
- durch organisatorische Massnahmen sicherzustellen, dass diese Daten [durch die Polizei selber] nur rechtmässig bearbeitet werden;
- die Erfassung von Strassenabschnittsdaten nicht zu aktivieren.
4.
Zwischenfazit für Flottenfahrzeuge ^
Im Ergebnis ist die Verwendung eines modernen Fahrzeugs als Flottenfahrzeug also in aller Regel unproblematisch, weil die Herstellerin und ihre Hilfspersonen bei einer Flotte nicht feststellen können, wer sich im Fahrzeug befindet, und weil damit gar keine Personendaten vorliegen.
5.
Besonderheiten bei privat genutzten Fahrzeugen ^
Heikler ist die Situation in Fällen privater Fahrzeuge, bei denen die Fahrzeugherstellerin heute oftmals einen Personenbezug zum Halter herstellen kann.8
Sollen etwa personenbezogene Daten wie die Geolokalisierung oder Informationen zur Fahrweise einer betroffenen Person (Geschwindigkeit, Bremsmanöver o.dgl.) an die Herstellerin übermittelt werden, so ist hierfür i.d.R. eine Einwilligung vorausgesetzt. Eine solche Einwilligung muss freiwillig sein, und sie ist grundsätzlich frei widerruflich (Art. 5 Abs. 4 Datenschutzgesetz DSG; Art. 7 Abs. 3 und 4 der europäischen Datenschutz-Grundverordnung EU-DSGVO).
Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, ist nach der EU-DSGVO zu fragen, ob die Erfüllung des Vertrags davon abhängig gemacht wird, dass Daten preisgegeben werden, die für die Erfüllung des Vertrags nicht erforderlich sind (sogenanntes «Koppelungsverbot»).9
So dürfte der Kauf des Fahrzeugs oder die Nutzung bestimmter Funktionen nicht davon abhängig gemacht werden, dass der Kunde das Sammeln von Daten in personalisierter Form erlaubt, obwohl vollständig anonymisierte Daten denselben Zweck ebenfalls erfüllen würden (dies dürfte etwa bei der exakten Geolokalisierung von Fahrzeugen oder bei Informationen zur Fahrweise der Fall sein). Dabei ist insbesondere darauf hinzuweisen, dass es sich auch bei der Fahrzeugidentifikationsnummer um ein Personendatum handelt, sofern die Herstellerin die Möglichkeit hat, die Fahrzeugidentifikationsnummer mit dem Kunden zu verknüpfen (blosse Pseudonymisierung).
Die Schweizer Lehre ist sich bisher uneins bei der Beurteilung, wie weit das geltende Recht ein Koppelungsverbot im Sinn der EU-DSGVO kennt. Mit dem zu erwartenden Nachvollzug der EU-DSGVO in der Schweiz ist jedoch wohl damit zu rechnen, dass die Regelung auch in der Schweiz verschärft wird, handelt es sich doch um einen wesentlichen Aspekt der europäischen Datenschutzregulierung, ohne den die Gleichwertigkeit (Adäquanz) der Schweizer Regeln im Vergleich zur EU-DSGVO in Frage gestellt werden könnte.10
Simon Schlauri
- 1 Datenschutzbeauftragter des Kantons Basel-Stadt, Alarmpikettfahrzeuge der Kantonspolizei, Vorabkontrolle: Schlussbericht, 26. April 2019, tinyurl.com/y53k64ob.
- 2 SG 153.260, tinyurl.com/y4rwwtnm.
- 3 DSB-BS (FN 1), 10 f.
- 4 DSB-BS, Schlussbericht (FN 1), 3.
- 5 Vgl. Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, Erläuterungen zu Videoüberwachung in Fahrzeugen (Dashcam), tinyurl.com/y475ye28.
- 6 DSB-BS, Schlussbericht (FN 1), 16.
- 7 So könnte etwa ein Vorgesetzter die Daten des Fahrzeuges auslesen, um festzustellen, ob ein bestimmter Mitarbeiter dieses wie im Dienstplan vorgesehen genutzt hat.
- 8 Vgl. DSB-BS, Schlussbericht (FN 1), 17.
- 9 Vgl. etwa das Urteil des Obersten Gerichtshofs von Österreich (OGH) vom 31. August 2018, Az.: 6Ob140/18h, tinyurl.com/y292heuv.
- 10 Art. 5 Abs. 2 des aktuellen Entwurfs des Bundesrates genügt dieser Anforderung m.E. noch nicht, zumal auch die Botschaft unklar bleibt; BBl 2017, 7027.