Alle modernen Kraftfahrzeuge erfassen zahlreiche Daten und übermitteln diese an Hersteller oder Dienstanbieter, etwa zur Erhöhung der Sicherheit oder für intelligente Verkehrsleitsysteme. Dabei stellen sich bei aller Nützlichkeit auch Grundsatzfragen, etwa wem diese Daten gehören und wer sie wie nutzen darf und ob die Vorgaben der DSGVO beachtet werden.
Autos erfassen schon seit längerem große Datenmengen und ständig werden es mehr. Insbesondere die immer häufiger eingebauten Assistenz-Systeme, die das Autofahren sicherer machen sollen, sind beispielsweise auch auf externe Daten aus der Umgebung angewiesen und bei den völlig autonom fahrenden und vernetzten Kraftfahrzeugen schließlich steigt dieser Informationsbedarf nochmals weiter an.
Weit verbreitete Datensammlung in der Automobilindustrie
Auch schon Autos ohne diese Extras sind fleißige Datensammler und Protokollführer. Sie protokollieren beispielsweise schon standardmäßig umfangreiche Fahrdaten von der Fahrzeit über die maximalen Drehzahlen bis hin zur Zahl der elektromotorischen Gurtstraffungen, die bereits weitreichende Rückschlüsse auf die Fahrweise zulassen.
Navigationslösungen und andere Telematik-Dienste als Informationsquellen
Besonders viele Informationen werden gesammelt, wenn integrierte Navigationslösungen oder andere Telematik-Dienste genutzt werden. Hier können nicht nur die genauen GPS-Positionsdaten sowie die zurückgelegten Kilometer und gefahrenen Geschwindigkeiten erfasst, sondern auch der Wartungszustand des Autos wird z.B. über Daten etwa zum Reifenluftdruck, zum Füllstand beim Wischwasser oder der Kühl- sowie Bremsflüssigkeit kann überwacht werden. Teilweise werden diese Daten automatisch zur Ermittlung eines Fahrer- bzw. Nutzerprofils verwendet.
Diese Überwachung kann sogar so weit gehen, dass auch die Zahl und Zeitpunkte der Verstellvorgänge bei einem elektrisch einstellbaren Fahrersitz protokolliert werden, um darüber etwa zu ermitteln, wie viele unterschiedliche Fahrer den Wagen nutzen, wie etwa der ADAC bei einer Untersuchung herausfand.
Sensor- und Kameratechniken erhöhen den Kfz-Datenpool weiter
Eine weitere Zunahme der erfassten Daten durch Kraftwagen gibt es seit einiger Zeit durch die immer intensiver genutzte Sensor- und Kameratechniken, die Voraussetzung für Assistenzsysteme und das (teil-) autonome Fahren sind. Mithilfe von diversen Kameras werden etwa Verkehrsschilder identifiziert, etwa um Tempolimits oder Gefahrenstellen automatisch zu erkennen und eine angepasste Geschwindigkeit herbeizuführen.
Gläsernes Fahren: Radarsensoren, Ultraschall, Überwachung des Fahrzeuginnenraums
Auch über andere zunehmend eingesetzte Techniken wie Ultraschall oder Radarsensoren sollen etwa Personen oder Gegenstände im Dunkeln besser erkannt werden, um Unfälle zu vermeiden. Selbst eine Überwachung des Fahrzeuginnenraums bzw. der Fahrer durch Kameras ist schon möglich, etwa im Rahmen der sogenannten Müdigkeitsassistenten, die vor dem gefährlichen Sekundenschlaf am Steuer warnen können. Gerade die Erfassung der Umgebung bereitet Datenschützern Sorge, denn hierdurch werden auch Informationen über unbeteiligte Dritte gesammelt.
Echtzeitdaten von Verkehrsteilnehmer für die Cloud
Für den vernetzten Autoverkehr der Zukunft, bei denen intelligente Navigationssysteme mit Ampeln oder variablen Verkehrsschildern zusammenarbeiten werden zudem Cloud-Lösungen benötigt, die mit Echtzeitdaten der Verkehrsteilnehmer gefüttert werden. Zusammen mit der 5G-Mobilfunktechnik soll es in Deutschland dazu in Zukunft den sogenannten „Datenraum Mobilität“ geben, für den ein bestimmter Frequenzbereich reserviert wird.
Nach den Plänen der Bundesregierung sollen herüber dann die von den Autoherstellern erhobenen Datensätze gespeichert werden, um eine Vernetzung der Verkehrsteilnehmer untereinander und mit der Infrastruktur zu ermöglichen, die dann auch ohne die Dienste von datensammelnden Konzernen wie Google oder Apple funktionieren soll.
Wem gehören die Auto-Daten?
Doch bei all diesen Zukunftsplänen wurde die Datenschutzproblematik von Herstellern und auch Verbrauchern lange Zeit eher wenig Beachtung geschenkt. Hierzulande haben allerdings die Datenschutzbehörden schon vor einiger Zeit auf diese Probleme aufmerksam gemacht und Fragen wie nach dem Eigentumsrecht an den Daten gestellt.
Die Eigentumsfrage ist dabei noch relativ einfach zu klären. Sofern es sich um personenbezogene Daten handelt, gehören diese Daten auch der jeweiligen Person, also etwa dem Halter bzw. Fahrer.
Wann sind Kfz-gesammelte Daten personenbezogen?
Als personenbezogen gelten Daten dann, wenn sie sich auf eine bestimmte oder bestimmbare Person beziehen. Als bestimmbar gilt eine Person etwa dann, wenn sie sich beispielsweise über die Fahrgestellnummer oder ähnliche Informationen identifizieren lässt.
- Diese personenbezogenen Daten dürfen nur dann z.B. von Herstellern oder Dienstanbietern erhoben und verarbeitet werden,
- wenn dies durch eine gesetzliche Regelung explizit erlaubt ist oder der Betroffene seine Einwilligung dazu gegeben hat.
Anders sieht dies bei anonymisierten Daten aus. Als anonymisiert gelten solche Daten, die sich in keiner Weise, auch nicht durch zusätzliche Verknüpfungen zu einer Person rückverfolgen lassen.
Datenschutzbehörde Niedersachsen beantwortet Fragen zu Datenschutz und Kfz-gesammelte Daten
Fragen zur Einordung der Daten und weitere Grundsatzfragen zum Thema Datenschutz im Kfz beantwortet etwa die Datenschutzbehörde Niedersachsen in einer Art Datenschutz FAQ, wobei hier allerdings noch das alte Datenschutzrecht aus den Zeiten vor der DSGVO die Grundlage bildet.
Datensammeln rund um's Auto im DSGVO-Zeitalter
Bei vielen modernen Kraftfahrzeugen beginnt die Datenerfassung, etwa durch integrierte Navigationssysteme oder Telematik-Lösungen schon direkt nach der ersten Inbetriebnahme. Mittels der oftmals integrierten mobilen Internetanbindung werden die Daten dabei meist automatisch zu den Anbietern übertragen.
Datensammel-Zustimmung per Kaufvertrag?
Die notwendige, explizite Zustimmung für die Datenverarbeitung geben die Käufer zumindest bei den Diensten der Hersteller bereits bei der Unterzeichnung des Kaufvertrags. Hier finden sich in den AGBs üblicherweise die Hinweise zur Datenerhebung und die Einwilligung zur Verarbeitung. In den meisten Fällen versichern die Anbieter dabei allerdings auch, dass Daten nur in anonymisierter Form verarbeitet werden.
Seit 2018 gilt auch für Autohersteller die Datenschutzgrundverordnung (DSGVO). Dementsprechend müssen die Kunden nicht nur über Art und Umfang der Datenerfassung informiert werden und die Zustimmung zur Verarbeitung eingeholt werden, sondern es gelten somit auch hier etwa Auskunftsansprüche und es muss auch auf Widerspruchsmöglichkeiten aufmerksam gemacht werden.
Der Fall Tesla
Problematisch kann es allerdings werden, wenn die Hersteller in Ländern ansässig sind, die deutlich weniger strengen Datenschutzvorgaben unterliegen als in Europa üblich. Insbesondere trifft dies etwa auf die USA zu, weshalb mittlerweile auch das zweite transatlantische Datenschutzabkommen zwischen der EU und den USA vom EuGH gekippt wurde.
So hat sich nun etwa der frühere schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert für das Netzwerk Datenschutzexpertise mit dem Datenschutz bei Fahrzeugen des US-Herstellers Tesla beschäftigt, die sich u.a. durch einen besonders hohen Einsatz von datensammelnden Techniken wie Kameras und Sensoren auszeichnen.
In seiner Studie stellt Weichert dem US-Hersteller kein gutes Zeugnis aus. Zusammenfassend wird aufgrund der vielen Verstöße gegen die DSGVO gefolgert, dass die Tesla-Fahrzeuge auf europäischen Straßen nicht zugelassen werden dürften.
Wo Tesla gegen die DSGVO verstößt
So wird etwa grundsätzlich bemängelt, dass Tesla für die Verarbeitung auch personenbezogener Daten keine konkreten Zwecke benenne und damit gegen den Artikel 5 DSGVO verstoße. Zudem werde nicht einmal die Rechtsgrundlage genannt, die der Datenverarbeitung zugrunde liege.
Beispiel: Als Negativbeispiel führt die Studie etwa die Video- und Ultraschallüberwachung an, die sowohl während er Fahrt als auch beim Parken aktiviert werden kann, und die gewissermaßen als Rundum-Dashcam fungiert und Bilder der Umgebung speichert. Dabei können die Aufnahmen mittels USB-Schnittstelle jederzeit ausgelesen und ausgewertet werden, wobei Aufnahmen von Personen oder Kennzeichen unverfremdet ausgegeben werden. Durch Anbindung von Gesichtserkennungssystemen ließen sich dann sogar Passanten eindeutig identifizieren.
Tesla verstößt gegen Grundsätze der Datenminimierung und Erforderlichkeit der Datenverarbeitung
In einem seit dem letzten Jahr verfügbaren Wächtermodus könnten die Tesla-Fahrzeuge diese Aufzeichnung sogar automatisch bei auffälligen Bewegungen in der Nähe des Fahrzeugs starten. Insgesamt genüge Tesla damit nicht den Anforderungen an Datenminimierung und die Erforderlichkeit der Datenverarbeitung. Zudem würden die Betroffenen nicht in der vorgeschriebenen Weise informiert. So würden Informationen nicht in einer hinreichend präzisen und verständlichen Sprache gegeben, oder wichtige Informationen wie etwa zur Speicherdauer fehlten komplett.
Schließlich beanstandet die Studie auch den Umstand, dass Tesla die Daten in die USA und möglicherweise auch in weitere Drittstaaten ohne ausreichendes Datenschutzniveau übertrage und schließlich auch die AGBs sowohl in formeller als auch inhaltlicher Hinsicht gegen die Vorgaben des BGB verstießen.
Hintergrund: Wenn GPS-Ortung zur Überwachung missbraucht wird
Insbesondere in der Logistikbranche sind Decoder in den Fahrzeugen selbstverständlich, damit diese geortet werden können. Doch GPS-Ortung kommt auch bei anderen Unternehmen immer mehr zur Anwendung. Damit lassen sich z. B. Fahrzeiten und Kraftstoffverbrauch dokumentieren. Aber auch Standort- und Standzeit. Stimmt die Unternehmenskultur und das Compliance-Management nicht, kann es vorkommen, dass Informationen zur Überwachung der Mitarbeiter genutzt werden. Auch laut dem Bayrischen Landesamt für Datenschutzaufsicht nehmen die Beschwerden wegen solcher Datenschutz-Probleme am Arbeitsplatz zu.