I.
Ausgangssituation ^
Um ein Fahrzeug selbstständig in Betrieb zu setzen, werden zahlreiche Daten benötigt, damit für die Fahrzeuginsassen eine sichere Fahrt gewährleistet und Schäden anderer Verkehrsteilnehmer vermieden werden. Denn durch den Einsatz selbstfahrender Autos soll sich vor allem, die Zahl der Unfälle und Verkehrsopfer verringern. Damit dieses Ziel erreicht wird, arbeitet die Automobilindustrie mit Hochdruck daran, den Prozess der Datenerhebung und -verarbeitung zu perfektionieren. Nur wenn die Insassen sich auf die Technik verlassen können, ist es ihnen möglich, die Zeit auch ohne ständige Beobachtung des Fahrverhaltens des Autos anderweitig zu nutzen. Darin liegt ein entscheidender Mehrwert für die Fahrer.
1.
Welche Daten fallen an? ^
2.
Personenbezogene Daten ^
III.
Rechtsgrundlage der Datenverarbeitung ^
1.
Telekommunikationsgesetz und Telemediengesetz ^
Grundsätzlich bleiben sowohl das deutsche Telekommunikationsgesetz (TKG) als auch das deutsche Telemediengesetz (TMG) neben der DSGVO bereichsspezifisch anwendbar. Ob und inwieweit das TKG und TMG neben der DSGVO Bestand haben werden, wird sich zeigen. Das TKG ist auch im vorliegenden Fall anwendbar, denn es handelt sich bei den eingesetzten Systemen im Bordcomputer des Autos um einen Telekommunikationsdienst gemäß § 3 Nr. 24 TKG. Telekommunikationsdienste sind in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen. Für die Systeme, die autonomes Fahren auf Grundalge einer Datenübertragung per GSM und Internet ermöglichen, wird in der Regel ein Entgelt an die Automobilhersteller zu erbringen sein, denn der reibungslose Ablauf des selbstständigen Fahrens wird hohe Kosten verursachen. Nach Schätzungen von Juniper Research wird allein die Automobilindustrie bis 2018 rund 20 Mrd. Dollar in den Telematik-Bereich investieren.10 Für physische und digitale kommerzielle Dienstleistungen (sog. Smart Services) prognostiziert die Wirtschaftsprüfungsgesellschaft PwC bis 2020 sogar ein Umsatzvolumen von 115 Mrd. Euro.11
2.
Art. 6 Abs. 1 DSGVO ^
a)
Art. 6 Abs. 1 S. 1 lit. b) DSGVO ^
b)
Art. 6 Abs. 1 S. 1 lit. f) DSGVO ^
3.
Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO ^
Eine Kopplung der Abgabe der Einwilligung zur Verarbeitung aller personenbezogenen Daten an die Nutzung des selbstfahrenden Autos wäre unzulässig, da in diesem Fall nicht mehr von einer Freiwilligkeit auszugehen wäre. Dieses «Kopplungsverbot» kommt in Art. 7 Abs. 4 DSGVO zum Ausdruck. Demnach läge keine Freiwilligkeit mehr vor, wenn der Fahrer vor Einsatz des Autos zwingend auch jenen Diensten zustimmen müsste, die personenbezogene Daten verarbeiten, ohne dass diese Dienste für ein selbstfahrendes Auto unbedingt erforderlich sind. Dies umfasst sämtliche «Service»-Dienste: Die Aufzeichnung der Fahrroute, die Kenntnis des Nummernschilds/FIN, Fingerabdrücke, Kamera- und Gesprächsaufzeichnungen, Gewicht des Fahrers, Druckkraft am Lenkrad usw. Diese Angaben sind nicht zwingend erforderlich. Vielmehr sollte das Auto allein durch den Kommunikationsaustausch mit anderen Autos, der Infrastruktur oder Unternehmen selbstständig fahren, sodass es auch anonym eingesetzt werden kann. Ebenso sollten die Dienste jederzeit wieder deaktiviert werden können, während der Einsatz des selbstfahrenden Autos weiterhin möglich bleibt. Die bei der Kommunikation über das Internet erforderliche IP-Adresse sollte an den drei letzten Ziffern unkenntlich gemacht werden.
Vor dem Abschluss des Kaufs, der Miete oder Leasings sollte dem Fahrer anschaulich verdeutlicht werden, welche Dienste unabdingbar für den Betrieb des selbstfahrenden Autos sind und bei welchen Diensten es sich um Zusatzdienste handelt, die hinzu- und jederzeit wieder abgewählt werden können und bei denen personenbezogene Daten erhoben und verarbeitet werden. Dass dieses Vorgehen einen hohen Gestaltungsaufwand mit sich bringt, liegt auf der Hand.
IV.
Wer ist zugriffsberechtigt? ^
- der Fahrer selbst und ggf. Mitfahrer (z.B. Navigation, Car Entertainment, WLAN);
- Fahrassistenzsysteme (z.B. automatisches Einparken, autonomes Fahren);
- andere Fahrer/Fahrzeuge (z.B. Abstandkontrolle, Kollisionswarnung);
- Werkstatt/Hersteller (z.B. Diagnose, Frühwarnung);
- Taxis, Autovermietung, Car-Sharing-Anbieter (z.B. Abrechnung);
- Versicherungen (z.B. Pay as you drive Police);
- Infrastruktur-Betreiber/Verkehrszentrale/Polizei (z.B. Verkehrsmeldungen, Maut, eCall).14
V.
Technischer Schutz ^
VI.
Privacy by Design/Default ^
VII.
Fazit ^
Magnus Grünheidt, Datenschutzberater/Justiziar bei der datenschutz süd GmbH.
- 1 ARD Radio Feature von Jörn Klare, 21. September 2016 (Abschied vom Faktor Mensch), http://www.ard.de/home/radio/Abschied_vom_Faktor_Mensch/3377362/index.html (alle Internetquellen zuletzt abgerufen am 15. November 2016).
- 2 Dietmar Neuerer, SPD verärgert über Dobrindt-Vorstoß, Handelsblatt, 4. November 2016, http://www.handelsblatt.com/politik/deutschland/automatisiertes-fahren-spd-veraergert-ueber-dobrindt-vorstoss/14790978.html; Dobrindt plant rechtliche Grundlage für autonomes Fahren, ZEIT ONLINE, 18. Juli 2016, http://www.zeit.de/mobilitaet/2016-07/bundesregierung-alexander-dobrindt-autonomes-fahren-gesetz.
- 3 Ford: Ab 2021 selbstfahrende Serien-Autos, AUTO BILD, 19. August 2016, http://www.autobild.de/artikel/ford-ab-2021-selbstfahrende-serien-autos-6061045.html.
- 4 ARD Radio Feature von Jörn Klare, 21. September 2016 (Fn. 1).
- 5 Ebd.
- 6 Christian Wüst, Die Vermessung des Wüterichs, Spiegel ONLINE, 19. Oktober 2009, http://www.spiegel.de/spiegel/a-656024.html.
- 7 Ebd.
- 8 So auch die Gemeinsame Erklärung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder und des Verbandes der Automobilindustrie (VDA) vom 26. Januar 2016, https://www.vda.de/de/themen/innovation-und-technik/vernetzung/gemeinsame-erklaerung-vda-und-datenschutzbehoerden-2016.html.
- 9 BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209, 269, 362, 420, 440, 484/83, BVerfGE 65, 1.
- 10 Juniper Research, Press Release: Connected Car Opportunity to Reach $20 Billion by 2018 Driven by Soft Revenues, 27 May 2014, https://www.juniperresearch.com/press-release/connected-cars-pr1.
- 11 ARD Radio Feature von Jörn Klare, 21. September 2016 (Fn. 1).
- 12 So auch die Entschließung der 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 8./9. Oktober 2014 in Hamburg, https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/88DSK_DatenschutzImKfz.pdf?__blob=publicationFile&v=5.
- 13 Ebd.
- 14 Astrid Auer-Reinsdorff/Isabell Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl., Beck Verlag, München 2015, § 34 Rn. 582.
- 15 So auch die Entschließung der 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 8./9. Oktober 2014 in Hamburg (Fn. 12).
- 16 So auch die Entschließung der 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 8./9. Oktober 2014 in Hamburg (Fn. 12).
- 17 Bundesministerium für Verkehr und digitale Infrastruktur, Pressemitteilung: Auftaktsitzung der Ethik-Kommission zum automatisierten Fahren, 30. September 2016, http://www.bmvi.de/SharedDocs/DE/Pressemitteilungen/2016/157-dobrindt-ethikkommission.html?linkToOverview=DE/Presse/Pressemitteilungen/pressemitteilungen_node.html%23id233284.
- 18 Vgl. auch Stefan Randak, Diese Hürden müssen selbstfahrende Autos noch nehmen, manager magazin, 25. Juli 2016, http://www.manager-magazin.de/politik/meinungen/autonomes-fahren-huerden-der-neuen-technik-a-1104515.html.