An vielen Stellen haben wir bereits über den Datenschutz im vernetzten Fahrzeug berichtet. Nun nimmt das Thema wieder Fahrt auf. Am 26. Januar 2016 hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder mit dem Verband der Automobilindustrie (VDA) eine gemeinsame Erklärung zu den datenschutzrechtlichen Aspekten bei der Nutzung vernetzter und nicht vernetzter Kraftfahrzeuge abgegeben (zu finden auf der Homepage des VDA).
Bei diesem Papier geht es im Ausgangspunkt um die Frage, ob die Daten aus dem Fahrzeug einen Personenbezug haben oder nicht. Meiner Ansicht nach zutreffend bejahen die Beteiligten eine Personenbeziehbarkeit zumindest immer dann, wenn die Vielzahl der erzeugten Daten durch Hinzuziehung weiterer Informationen Rückschlüsse auf den Fahrer zulassen. Dies wird in der Regel dann der Fall sein, wenn sich die Information mit der Fahrzeugidentifikationsnummer oder dem amtlichen Kennzeichen verknüpfen lassen.
Datenverarbeitung Offline vs. Online
Neu in der Diskussion sind hingegen die Bezeichnungen von Datenschutz „offline“ und „online“. Eine Datenspeicherung, die innerhalb des Fahrzeugs stattfindet, wird als „offline“ deklariert, eine Übermittlung von Daten aus dem Fahrzeug heraus im Gegensatz dazu „online“. Von Bedeutung wird diese Unterscheidung an verschiedenen Stellen. So erfolge bspw. bei „Offline“-Autos eine Datenspeicherung ohne vorherige Erhebung. Dies liege daran, dass die Daten im Fahrzeug lediglich abgelegt werden und es sich somit noch nicht um eine Beschaffung von Daten über den Betroffenen handele (§ 3 Abs. 3 BDSG). Demzufolge ist also derjenige als verantwortliche Stelle anzusehen, der die Daten aus dem Fahrzeug ausliest. In der Praxis wird das in den meisten Fällen die Werkstatt sein. Bei den „Online“-Autos erfolgt die Datenerhebung bereits zu dem Zeitpunkt, an dem die Fahrzeuge die Daten nach außen kommunizieren. Verantwortlich sind daher in diesem Zusammenhang diejenigen Stellen, an die die Daten übermittelt werden. Dies können einerseits die Automobilhersteller selbst sein oder aber auch sonstige Diensteanbieter.
Das informationelle Selbstbestimmungsrecht der Fahrzeugnutzer
Die gemeinsame Erklärung ist aber auch aus dem Grund zu begrüßen, als dass sie den Rechten der betroffenen Fahrzeugnutzer ein größeres Augenmerk schenkt. So sollen in einer Borddokumentation die wichtigsten Informationen zur Datenverarbeitung im Fahrzeug in verständlicher Form nachvollziehbar sein. Diese Informationen sollen dann die relevante Grundlage für eine etwaige Einwilligung in die Datenverarbeitung sein. Ob dies für die Vielzahl an Datenverarbeitungsvorgängen im Auto aber möglich sein wird, bleibt abzuwarten. Immerhin stehe dem Fahrzeughalter ein unentgeltliches Auskunftsrecht gegenüber dem PKW-Hersteller zu und auch die Datenhoheit verbleibe beim Halter. Er kann also selbst über die Verarbeitung und Nutzung seiner personenbezogenen Daten im PKW bestimmen. Die Hersteller wollen dafür nach dem Privacy-by-Design Maßstab die Datenverarbeitung im vernetzten Auto so gestalten, dass der Fahrer jederzeit im Cockpit den aktuellen Vernetzungsstatus des Fahrzeugs sehen und einzelne Datenübermittlungen aktivieren oder deaktivieren kann.
Fazit
Aus datenschutzrechtlicher Sicht ist diese Erklärung zu begrüßen. Sie macht deutlich, dass nun auch die Automobilhersteller ihre Verantwortung für den Datenschutz erkennen und ernst nehmen. Nun ist zu hoffen, dass die niedergeschriebenen Grundsätze nicht nur eine Theorie bleiben sondern aktiv gelebt werden.