Bereits vor einigen Wochen haben wir über den Datenschutz im Connected Car berichtet und das Bild eines gläsernen Autofahrers gezeichnet. Nur kurze Zeit später rückte diese Fiktion auf der CES (Consumer Electronics Show) in Las Vegas ein weiteres Mal an die Realität heran. So schickte bspw. Audi ein Fahrzeug selbstständig über 900 km ohne Fahrer zur Elektronikmesse. Ungewohnt auch der Schritt von Mercedes. Der Automobilkonzern aus Stuttgart stellte eine neue Studie vor, nicht aber, wie man es erwarten würde auf einer Automobil-Messe, sondern gerade auf der Elektronikmesse in Las Vegas. Dies macht umso mehr deutlich, dass die Automobilindustrie bereit ist, den Schritt zum Fahren 2.0 zu gehen.
Big Data auf Rädern
Der Kampf um den Fahrersitz ist bereits in vollem Gange, denn Google, Apple & Co. haben ein ebenso großes Interesse an den riesigen Datenmengen, wie die Hersteller selbst. Sobald sich ein PKW autonom im Straßenverkehr bewegen soll, braucht es hierzu einen permanenten Austausch der Daten von Fahrzeugfunktionen, Fahrassistenzsystemen und sonstigen mobilen Online-Diensten untereinander und mit dritten Stellen. Klar ist daher auch, dass eben diese glänzende Medaille des autonomen Fahrens eine zweite Seite hat – den Datenschutz und die Datensicherheit.
Die Automobilindustrie reagiert
Jüngst hat nun der Verband der Automobilindustrie (VDA) reagiert und Datenschutz-Prinzipien für vernetzte Autos entwickelt. Doch sind die vorgestellten Prinzipien dazu geeignet einen neuen Datenschutz-Standard zu etablieren? Der VDA unterteilt die Fahrzeugdaten in sechs Daten-Kategorien. Danach sind folgende Daten zu unterscheiden: Daten aufgrund gesetzlicher Regelungen (bspw. Notrufsystem e-call), moderne Datendienste aufgrund vertraglichen Regelungen (bspw. Datendienst Car-to-Infrastucture, Remote-Ortung) sowie kundeneigene oder eingebrachte Daten wie bspw. das Adressbuch oder die Navigationsziele. Diese drei Kategorien werden vom VDA aus datenschutzrechtlicher Sicht unterschiedlich eingeschätzt, abhängig vom jeweils konkreten Inhalt. Keine Datenschutzrelevanz misst der VDA hingegen den übrigen drei Datenkategorien zu. Dabei handelt es sich um im Fahrzeug erzeugte Daten für Betriebswerte, aggregierte Fahrzeug-Daten und technische Daten.
Die dazugehörigen Prinzipien umschreibt der VDA mit Transparenz, Selbstbestimmung und Datensicherheit. Um dem selbst gesetzten Transparenzgebot zu genügen, möchte es der VDA den PKW-Nutzern ermöglichen, sich über Kategorien der verarbeiteten Fahrzeugdaten und deren Zweck zu informieren, bspw. über Online-Portale oder Benutzerhandbücher. Gleichsam wollen die Mitglieder des VDA sicherstellen, dass der Kunde seine ihm nach Gesetz zustehenden Auskunftsrechte wahrnehmen kann. Die Selbstbestimmung des Autobesitzers soll dadurch sichergestellt werden, dass der Kunde Einwilligungen über intelligente Verkehrssysteme jederzeit rückgängig machen kann, er bestimmte ausstattungsabhängige Dienste im PKW selbstständig aktivieren und deaktivieren kann, darüber hinaus er auch selbst integrierte Daten wieder löschen kann und zuletzt er der Übermittlung der Daten an Dritte zustimmen muss, sofern keine gesetzliche Erlaubnis besteht. Aber auch in Bezug auf die Datensicherheit bleibt der VDA ähnlich vage. Die Mitgliedsunternehmen des VDA wollen zum Schutz der im Fahrzeug erzeugten Daten geeignete technische und organisatorische Maßnahmen installieren, die ein hohes technisches Sicherheitsniveau gewährleisten. Was dies im konkreten Fall bedeuten soll, lässt der VDA in seinen Ausführungen offen.
Im Ergebnis ist es zu begrüßen, dass sich die Automobilindustrie in der Verantwortung sieht, den Schutz der im Fahrzeug erzeugten und der den Kunden unterstützenden Daten sicherzustellen. Inwieweit das mit dem vorgelegten Papier gelingt bleibt abzuwarten. Gerade beschäftigen sich die Datenschutzbeauftragten des Bundes und der Länder mit den Ausführungen des VDA. Eines ist jedoch jetzt schon klar: das VDA-Papier lässt einen Grundsatz des Bundesdatenschutzgesetzes vollkommen außer Acht – die Datensparsamkeit (§3a BDSG).