Jeden Morgen läuft der Lieblingssender, das Navigationssystem kennt alle Fahrtziele, insbesondere die Heimatadresse, und das mit dem Auto synchronisierte Telefon ist voller Kontakte. Moderne Autos sind „rollende Computer“, die bei fast jedem Vorgang Daten über die Fahrzeuginsassen unermüdlich sammeln. Das Kraftfahrzeug ist schon lange kein weitgehend analog funktionierendes Verkehrsmittel mit Verbrennungsmotor mehr.
Erhoben und gespeichert werden beispielsweise die Motordrehzahl, Geschwindigkeit, Kilometerstand, Blinker-Betätigung, Abbremsverhalten, Verkehrsdaten, wann ein Auto auf- und zugesperrt wird oder die Sitzposition des Fahrers. Diese Daten lassen etliche Rückschlüsse auf den Fahrer und das Fahrverhalten zu. So können Sensoren Körpergröße und Gewicht erfassen. Auch die Anzahl der Fahrzeuginsassen speichern viele Autos ab. Anhand von GPS-Daten lassen sich ganze Bewegungsprofile erstellen und der Tagesrhythmus eines Fahrers abbilden. Sogar emotionale Komponenten (vorausschauender oder abrupter Fahrer) lassen sich aus den gesammelten Daten ableiten. Dazu kommt, dass ein Auto nicht alle Daten „nur“ lokal speichert, sondern einige auf den Servern der Hersteller landen oder an Drittanbieter, wie Google Maps, die Polizei oder Versicherungen, die mit speziellen Tarifen die Fahrweise der Versicherten belohnen oder bestrafen können, weitergegeben werden können.
Zwar soll durch die Digitalisierung in und um das Auto auch die Sicherheit verbessert (beispielsweise durch Assistenzsysteme) und der Komfort (beispielsweise durch individuelle Standardeinstellungen) erhöht werden. Durch die informationstechnische Ausstattung der Kraftfahrzeuge und deren Anbindung an das Internet sowie der Vernetzung der Verkehrsteilnehmer untereinander entstehen jedoch auch Risiken und Gefahren. Wir berichteten hierüber bereits hier und hier.
Fahrzeugdaten als personenbezogene Daten?
Auf den ersten Blick erscheinen die genannten Daten als rein technische (Fahrzeug-)Daten. Allerdings existieren auf Grund der heutigen Vernetzung und den immensen Mengen an Daten kaum noch technische Daten ohne einen Personenbezug. Nach Art. 4 Nr. 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Bei der Beurteilung der Frage, ob Fahrzeugdaten personenbezogene Daten sein können, kommt es bei Daten mit rein technischem Anschein also darauf an, ob die Möglichkeit einer Identifizierung besteht. Für eine solche ist es ausreichend, dass verschiedene Informationen kumulativ kombiniert werden können und damit einer natürlichen Person zugeordnet werden können. Durch die Verknüpfung von Sensordaten mit weiteren Datenquellen lässt sich meist ein Personenzuordnungen vornehmen. Insbesondere ist ein Personenbezug gegeben, wenn sich die Fahrzeugdaten mit der Fahrzeugidentifikationsnummer oder dem Kfz-Kennzeichen verknüpfen lassen. Dies ist in aller Regel der Fall.
Hinkt die Gesetzgebung der Technologie hinterher?
Theoretisch fallen diese, als personenbezogene Daten zu qualifizierende Daten, unter den Schutz der DSGVO. Praktisch besteht jedoch das Problem, dass für Käufer moderner Autos oft nicht oder nur schwer zu erkennen ist, welche Daten gesammelt werden und wozu sie verwendet werden. Damit ist im Ergebnis auch keine Erteilung einer informierten Einwilligung als Rechtsgrundlage zur Datenverarbeitung möglich.
Beispielsweise enthält die „Datenschutzerklärung für Kunden“ von Tesla unter der Überschrift „Welche Informationen wir erfassen“ einen 8-zeiligen Text, wonach Tesla „im Wesentlichen drei Arten von Informationen“ nutzt: „von Ihnen und über Sie oder Ihre Geräte“, „von oder über Ihr Tesla-Fahrzeug“ sowie „von oder über Ihre Tesla Energieprodukte“. Alle „weitere Informationen“ müssen über einen weiteren Klick aufgerufen werden. Auch die Kategorien „Zu diesen Zwecken können wir Ihre Informationen verwenden“, „Weitergabe Ihrer Informationen“ sowie „Auswahl und Transparenz“ sind äußerst kurzgehalten und bedürfen für eine weitere Information eines weiteren Klicks. So ist für den Betroffenen nicht erkennbar, ob er einen vollständigen Überblick über alle Regelungen hat.
Die Analyse der Tesla-Datenverarbeitung des Netzwerks Datenschutzexpertise, wonach viele Datenverarbeitungen des Tesla Model 3 als nicht DSGVO-konform bewertet werden, ist nur beispielhaft für die Datenverarbeitung von Kfz-Herstellern. Es muss vermutet werden, dass nicht nur dieses US-Unternehmen, sondern auch deutsche und europäische Kfz-Hersteller bei der Digitalisierung ihrer Fahrzeuge gegen Datenschutzvorschriften verstoßen.
Um mehr Transparenz über die Datenverarbeitungen für Verbraucher herzustellen, fordern unter anderem der ADAC sowie die Fédération Internationale De L`Automobile (FIA), dass die Hersteller eine „Datenliste“ zu jedem Automodell mit einer transparenten Auflistung aller Daten, die gesammelt werden, ins Internet stellen müssen. Diese Sammlung müsse für den Verbraucher mit vertretbarem Aufwand einsehbar sein. Diese Forderung sollte für Fahrzeughersteller eigentlich selbstverständlich sein. Schließlich werden in Art. 12 bis 14 DSGVO die Anforderungen an die Informationspflichten im Rahmen der Datenverarbeitung von personenbezogenen Daten definiert. Derzeit sieht die Realität aber noch anders aus. Solche „Auto-Daten-Listen“ sucht der Verbraucher vergeblich. Gleichzeitig müsste dem Fahrer die Möglichkeit gegeben werden, die Verarbeitung und Übertragung aller, für den sicheren Betrieb des Fahrzeugs nicht absolut erforderlichen Daten auf einfache Weise zu deaktivieren. Letztendlich dürfen Kraftfahrer nicht zwingend in das jeweilige System des Herstellers eingebunden werden.
Neue Richtlinien zum Schutz vor Hackerangriffen
Vernetzte Fahrzeuge sammeln nicht nur fleißig Daten, sondern sind durch ihre zahlreichen Schnittstellen besonders durch Hackerangriffe gefährdet. Hiergegen können sich Autofahrer selbst kaum schützen und müssen darauf vertrauen, dass die Hersteller ihre Fahrzeuge und Backend-Systeme gut abgesichert haben. Vor diesem Hintergrund sind die seit Juli 2022 für neue Typenzulassungen geltenden EU-Richtlinien, die UNECE-Regelung R155 (Cybersecurity Management System) und R156 (Software Update and Software Update Management System) zu begrüßen, die Vorgaben zur Cybersicherheit von Fahrzeugkonzepten und zu Mechanismen für sichere Software-Updates enthalten. Fahrzeughersteller müssen zudem ein Cyber Security Management System (CSMS) nachweisen, das Prozesse und Maßnahmen umfasst, die geeignet sind, IT-Sicherheitsangriffe abzuwehren oder schnell zu beheben. Und zwar über die gesamte Lebensdauer des Fahrzeugs. Die Maßnahmen schützen Fahrzeuge vor unautorisiertem Zugriff. Ab Juli 2024 gelten die Regelungen dann für alle neu produzierten Fahrzeuge. An diese neuen Regeln müssen sich sowohl Hersteller als auch Zulieferer halten.
Fazit
Zwar rückt mit fortschreitender Digitalisierung der Datenschutz in der Automobilbranche mehr und mehr in den Vordergrund. Auf dem Weg zur Datenschutzkonformität sind jedoch noch einige Schritte erforderlich. Im Zuge einer Entwicklung, in der eine immer weitergehende Vernetzung der Fahrzeuge zur Norm werden wird, ist es an der Zeit dem Datenschutz im Fahrzeugbereich die erforderliche Priorität zu widmen.
3. März 2023 @ 14:56
Die Automobile werden immer technischer und ist schon etwas unheimlich, was so alles möglich ist. Bleibt aber die Frage, ob dies nicht alles vom Verkehr ablenkt so wie das Handy, das man ja nicht benutzen darf beim Autofahren.
17. März 2023 @ 9:54
Ich fahre seit einem Jahr ein Fahrzeug mit nahezu allen Assistenzsystemen, die es zum Fahrzeug gab, einschl Navi, und muss sagen, es fährt sich wesentlich entspannter, weil man die Verkehrslage genauer beachten kann und nur noch eingreift, wenn z.B. mal ein Verkehrszeichen falsch erkannt wird. Man muss ja auch das Smartphone nicht mit dem Fahrzeug koppeln, bei mir liegt es in der Mittelkonsole und einen Anruf nehme ich nur entgegen, wenn das Fahrzeug steht.
Ansonsten kann man nur hoffen, dass die Hersteller transparenter werden in Sachen Datenschutz.
2. März 2023 @ 15:01
„In“ der Automobilbranche rücke der Datenschutz mehr und mehr in den Vordergrund? Das Gegenteil ist der Fall! Siehe https://www.datenschutz-notizen.de/mercedes-muss-navi-daten-an-ermittlungsbehoerden-herausgeben-3039510/
Gleich drei Datensauger gieren nach unseren Daten: Der Hersteller des KFZ, plus Apple oder Google je nach Geschmack. Neulich wollte ich in einem Mietauto (habe kein eigenes) mein Smartphone laden, während ich es zum Navigieren nutze. Am vorhandenen USB-Anschluss wurde ich als erstes gefragt, welche Daten mein Smartphone mit dem Auto austauschen möchte! Dabei habe ich nicht mal Android, sondern ein Custom-ROM (iodé) OHNE Google oder gar Android Auto. Sofort das Smartphone wieder abgezogen. Zum laden nutze ich einen „dummen“ 🙂 USB-Adapter, der in den 12V-Stromanschluss passt.