POLITIK Datenschutz Internationales Verkehrswesen (66) 2 | 2014 18 Das vernetzte Auto als Herausforderung für den Datenschutz An Zukunftsvisionen zur „vernetzten Mobilität“ mangelt es nicht: Die Konvergenz von Auto und Internet wird nicht lediglich auf den klassischen Automobilmessen, sondern auch auf den Kongressen der IT-Branche intensiv diskutiert. Das selbstfahrende Auto, das als Sensor für Echtzeitinformationen im ständigen Austausch mit anderen Autos steht, mag dabei noch Zukunftsmusik sein. Bereits heute werden beim Autofahren vielfältige Daten erfasst, und vor allem die Diskussion über Notrufsystem „eCall“ hat datenschutzrechtlichen Aspekte in den Blickpunkt gerückt. Dabei wird deutlich: Das vernetzte Auto ist schon nach heutiger Rechtslage ein reguliertes Produkt. Der Autor: Michael Kamps D ie aktuelle Diskussion über das vernetzte Auto und die bei seiner Nutzung anfallenden Daten pendelt häufig zwischen zwei Polen - Faszination für neue technische Möglichkeiten und gesellschaftlichen Mehrwert auf der einen und ein skeptischer Blick auf die „mobilen Datenschleudern“ auf der anderen Seite. Das Auto - so ein feuilletonistischer Einwurf - sei die letzte Insel, auf der das Privatsein noch nicht völlig durchwirkt sei von Google, Apple und Microsoft, weil man bislang entweder auf einer Autobahn oder einer Datenautobahn unterwegs gewesen sei. Der schon jetzt nach einer definierten Fahrstrecke oder -länge angezeigte Hinweis auf eine erforderliche Kaffeepause im Cockpit dient dabei ebenso als Indiz für eine allgegenwärtige Überwachung wie der Anfang dieses Jahres vorgestellter „Telematik-Tarif“ einer KFZ-Versicherung, bei der der Versicherungsnehmer für einen aus Fahrtdaten berechneten guten Score-Wert eine Reduzierung der Versicherungsprämie erwarten kann. In der Diskussion über das zukünftige Schicksal der informationellen Selbstbestimmung werden dabei gelegentlich Sachverhalte vermischt, die aus rechtlicher Sicht unterschiedlich zu beurteilen sind. Bei näherer Betrachtung stellt sich indes heraus, dass bereits die geltenden Gesetze dem Datensammeln im Auto durchaus beachtlich Grenzen setzen. Fahrzeugdaten vs. Personendaten Von den Verfechtern innovativer, datengestützter Anwendungen wird dabei gelegentlich hervorgehoben, dass es sich bei den aus einem Auto gewonnenen Daten um „gerätebezogene Informationen“ handele, die für den Halter oder Fahrer unerheblich seien. Aus rechtlicher Sicht ist dies relevant, weil datenschutzrechtliche Vorschriften nur zur Anwendung kommen, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Als „personenbezogene Daten“ gelten „Einzelangaben über die persönlichen oder sachlichen Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ (§ 3 Abs. 1 Bundesdatenschutzgesetz - BDSG). Keinen Personenbezug haben solche Daten, die weder direkt noch indirekt einen Bezug auf eine bestimmte Person zulassen. Dies ist z. B. dann der Fall, wenn Daten aus einer Vielzahl von Endgeräten so zusammengefasst oder aggregiert werden, dass die Herkunft jedes einzelnen Datensatzes nicht mehr auf eine bestimmte Person zurückgeführt werden kann. Dass die Unterscheidung zwischen personenbezogenen und anonymen Daten von hoher praktischer Relevanz ist, musste der Navigationsgerätehersteller TomTom vor einigen Jahren erfahren: Das Unternehmen geriet im Frühjahr 2011 in die Schlagzeilen, weil es angeblich standortbezogene Daten u.a. zu Fahrzeit, -ort und -geschwindigkeit von TomTom-Nutzern an niederländische Behörden und andere Dritte verkauft habe. Erst fast ein Jahr später stellte die zuständige Aufsichtsbehörde für den Datenschutz mit, dass keine gesetzlichen Bestimmungen verletzt wurden, weil die weitergegebenen Daten vollständig anonymisiert gewesen seien. Auch für die zukünftige Entwicklung vernetzter Automobile wird die rechtliche Beurteilung in einem ersten Schritt vom Personenbezug der erhobenen Daten abhängen. Die Bewertung dieses Kriteriums wird z. B. darauf abstellen, welche Stelle Daten aus einem vernetzten Fahrzeug erhebt, weil es darauf ankommt, ob diese Stelle über weitere Informationen zur Identifizierung des Halters oder Nutzers verfügt. Das kann etwa bei der KFZ-Werkstatt der Fall sein, die mit Diagnosegeräten auf die Fahrzeugelektronik eines bekannten Kunden zugreift oder beim Autohersteller, der die „Person hinter dem Fahrzeug“ aufgrund eines Assistance-Vertrages identifizieren kann. Dabei kann ein und derselbe Datensatz für eine Stelle Personenbezug haben und für eine andere Stelle - in Ermangelung von Zusatzinformationen - anonym bleiben. Lokale Speicherung vs. Vernetzung Eine weitere Voraussetzung für die Anwendung datenschutzrechtlicher Vorschriften ist die „Erhebung, Verarbeitung oder Nutzung“ personenbezogener Daten. Dabei gilt als „Erhebung“ die Beschaffung von Daten über eine Person (§ 3 Abs. 3 BDSG), „Verarbeitung“ bezeichnet die relevanten technischen Vorgänge der automatisierten Speicherung, Veränderung, Übermittlung, Sperrung oder Löschung (§ 3 Abs. 4 BDSG) und „Nutzen“ - als Auffangtatbestand - jede andere Verwendung personenbezogener Daten (§ 3 Abs. 5 BDSG). Der Anwendungsbereich des BDSG ist erst eröffnet wenn eine andere Stelle als der Betroffene selbst Daten erhebt, verarbeitet oder nutzt - unreguliert ist deshalb etwa die lokale Speicherung von Daten in der Fahrzeugelektronik. Erst das Auslesen (durch das Diagnosegerät der KFZ-Werkstatt) oder die Vernetzung der Elektronik führen zu einer datenschutzrechtlich relevanten „Erhebung“. Internationales Verkehrswesen (66) 2 | 2014 19 Datenschutz POLITIK Die praktische Relevanz der Abgrenzung zwischen lokaler Speicherung in der Fahrzeugelektronik und der Übermittlung an andere Stelle wurde zuletzt im Gesetzgebungsverfahren zum europaweiten Notrufsystem eCall deutlich, das ab 2015 für die meisten Neuwagen verbindlich ist. Ein im Fahrzeug eingebautes Gerät soll entweder manuell oder über Fahrzeugsensoren bei einem Unfall automatisch eine Verbindung mit der Notrufnummer 112 aufbauen und der Notrufstelle einen „Mindestdatensatz“ mit den für die Bearbeitung des Notrufes erforderlichen Informationen (u.a. den Ort des Unfalls) übermitteln. Das EU-Parlament hat in seiner im Februar 2014 veröffentlichten Stellungnahme einen deutlichen Akzent auf die datenschutzfreundliche Gestaltung gelegt. Insbesondere solle sichergestellt werden, dass ein Auto im Normalbetrieb über das eCall-System nicht verfolgbar ist und Daten nur bei einem Unfall (oder der manuellen Auslösung) übermittelt werden. Verbot mit Erlaubnisvorbehalt Der im internationalen Vergleich recht strikte Ruf des europäischen und deutschen Datenschutzrechts liegt vor allem im sogenannten „Verbot mit Erlaubnisvorbehalt“ begründet: Denn die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten - es sei denn, sie erfolgt auf Grundlage einer Rechtsvorschrift oder einer Einwilligung des Betroffenen (§ 4 Abs. 1 BDSG). Eine datenverarbeitende Stelle ist deshalb gezwungen, ihren Umgang mit personenbezogenen Daten auf einen dieser beiden Erlaubnistatbestände zu stützen und muss dies gegenüber den zuständigen Behörden auch belegen können. Ansonsten können wegen unbefugter Datenverarbeitung Bußgelder bis zu 300 000 Euro, verwaltungsrechtliche Sanktionen sowie Schadensersatzansprüche der Betroffenen drohen (§§ 7, 38, 43 BDSG). Gesetzliche Erlaubnis vs.-Einwilligung In der zukünftigen Praxis der vernetzten Mobilität werden Einwilligungen der Betroffenen eine wichtige Rolle als Rechtsgrundlage für den Umgang mit personenbezogenen Daten darstellen. Gesetzliche Erlaubnistatbestände werden (außerhalb der Datenerhebung durch staatliche Stellen) voraussichtlich von untergeordneter Bedeutung sein - jedenfalls für das im eigenen Eigentum stehende Auto. Anders ist dies schon heute bei neuen Mobilitätskonzepten wie dem „free floating carsharing“. Anders als das klassische Carsharing mit festen Start- und Zielstationen können bei Angeboten wie DriveNow oder Car2Go Fahrzeuge an nahezu beliebigen Plätzen in einem Geschäftsgebiet abgestellt und angemietet werden. Diese Angebote funktionieren nur, wenn die abgestellten freien Fahrzeuge sowohl durch den Betreiber als auch durch die Nutzer über eine Internetseite oder eine Smartphone-App gefunden werden können; hierfür sind Lokalisierungsinformationen erforderlich. Zur Abrechnung der Mietzeit müssen der Beginn und das Ende der Fahrt dem jeweiligen Nutzer zugeordnet werden. Die Erhebung, Verarbeitung und Nutzung dieser Daten ist zur Durchführung des Mietvertrages zulässig, § 28 Abs. 1 Nr. 1 BDSG. Eine weitergehende Datenerhebung wäre von diesem gesetzlichen Erlaubnistatbestand allerdings nicht mehr gedeckt; dies gilt insbesondere für die dauerhafte Erfassung von Standortdaten. Selbst bei hochwertigen Fahrzeugen mit entsprechendem Diebstahlsrisiko ist eine verdeckte „Vollüberwachung“ durch den Vermieter unzulässig. Der Hamburgische Datenschutzbeauftragte hat in einem entsprechenden Fall im Jahre 2012 ein Bußgeld von über 50 000 Euro verhängt. Wird ein Auto allerdings nicht vermietet, sondern verkauft, ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nicht zur Durchführung eines Vertrages erforderlich. Eine datenschutzrechtliche Rechtfertigung kann sich deshalb in der Regel nur aus gesonderten Verträgen (z. B. über laufende Assistance-Leistungen) ergeben, die parallel zum Autokauf abgeschlossen werden. Ansonsten wird die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von einer Einwilligung des Käufers abhängen. Einwilligung mit gewissen Hürden Die Einwilligung als Rechtsgrundlage für den Umgang mit personenbezogenen Daten aus einem vernetzten Fahrzeug ist nur wirksam, wenn zwei wesentliche Voraussetzungen eingehalten werden (§ 4a Abs. 1 BDSG). Zum einen muss der Betroffene über die Datenverarbeitung transparent und vollständig informiert werden. Die Entscheidung selbst muss freiwillig und eindeutig erfolgen - der Betroffene muss also eine echte Wahlmöglichkeit zwischen Erteilung und Verweigerung der Einwilligung haben (und diese mit Wirkung für die- Zukunft widerrufen können), und die Einwilligung darf nicht „untergeschoben“ (also z. B. im „Kleingedruckten“ versteckt) werden. Herausforderungen können sich hierbei vor allem dann ergeben, wenn eine technische Einrichtung zur Datenerhebung, -verarbeitung oder nutzung eng oder gar untrennbar mit einem Auto verknüpft ist und die Nutzung des Fahrzeugs ohne Datenerhebung und -verarbeitung nicht möglich ist, z. B. bei einem selbstfahrenden Auto. In diesem Fall werden die Informations- und Aufklärungspflichten des Fahrzeugherstellers vor dem Verkauf ggf. sehr umfangreich sein. Möglicherweise wird man in Zukunft auch beim Autokauf ein umfangreiches „Merkblatt zum Datenschutz“ erhalten, wie dies bereits jetzt im datenintensiven Versicherungsbereich praktiziert wird. Eine weitere Herausforderung ergibt sich aus dem Umstand, dass der Halter und der Fahrer eines Autos nicht dauerhaft identisch sein müssen. Wenn über ein Fahrzeug erhobene Daten Rückschlüsse auf den Fahrer zulassen, wird ggf. auch der jeweilige Fahrer in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten informiert werden und eine Einwilligung erklären müssen. Denkbar sind hier entsprechende Hinweise im Fahrzeug selbst, etwa im Cockpit-Display. Datenschutz und Datensicherheit als Wettbewerbsvorteil Gerade im Hinblick auf die gestiegene öffentliche Sensibilität für Datenschutz und Datensicherheit werden Anbieter von Fahrzeugen und fahrzeugnahen Anwendungen im eigenen Interesse darauf achten, nur so viele Daten wie nötig zu erheben, Wahlmöglichkeiten (wie etwa die manuelle Deaktivierung von Datenerhebungen) anzubieten und besondere Maßnahmen für die Sicherheit der im „fahrenden Computer“ verarbeiteten Daten zu treffen. Denn unabhängig von der weiteren Entwicklung des Datenschutzrechts (wie etwa durch die derzeit diskutierte EU-Datenschutzgrundverordnung) ist absehbar, dass erfolgreiche Angebote rund um das vernetzte Auto von der Akzeptanz der Verbraucher abhängig sind. ■ Michael Kamps Rechtsanwalt und Partner der Wirtschaftskanzlei CMS Hasche Sigle, Fachbereich „Technologie, Medien, Telekommunikation“, Schwerpunkt Datenschutz- und Informationsrecht, Köln michael.kamps@cms-hs.com