Datensicherheit im Alltag: Datenschutz bei selbstfahrenden Autos, Episode 2
18. Februar 202130. Juni 2022
3
In Compliance, Fakten

Datensicherheit im Alltag: Datenschutz bei selbstfahrenden Autos, Episode 2

Vor einer Woche haben wir den Blog-Zweiteiler „Datensicherheit im Alltag: Datenschutz bei selbstfahrenden Autos“ mit der ersten Episode und dem Themenschwerpunkt „Erlaubnistatbestand der Datenverarbeitung“ gestartet. Im Folgenden beschäftigen wir uns mit der Verantwortlichkeit und der Datenweitergabe.

Mit Blick auf die Datenverarbeitung als Erlaubnistatbestand und die DSGVO ist auch die Verantwortlichkeit umstritten. Denn es können in die Datenverarbeitung verschiedene Personen bzw. Stellen involviert sein, sodass eine Differenzierung vorgenommen werden muss. Im Hinblick auf eine Datenverarbeitung bei selbstfahrenden Autos kommen nachfolgende Personen bzw. Stellen als Verantwortlicher in Betracht:

  • Natürliche Personen i.V.m. dem Fahrzeug (Eigentümer, Fahrer, Insassen)
  • Autohersteller
  • Betreiber von Infrastrukturen (Behörden, Kommunen, private Betreiber)
  • Softwareanbieter (u.a. Navigation, Fahrzeugsteuerung, -zustand und -wartung)
  • Werkstätten
  • Arbeitgeber
  • Mobilitäts-Dienstleister (Mietwagen-Unternehmen, Fuhrparkbetreiber)

In Art. 4 Nr. 7 DSGVO wird ein „Verantwortlicher“ als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, definiert.

Wem eine Verantwortlichkeit im Sinne der DSGVO zukommt, wird unter anderem vom Speicherort der erfassten Daten abhängig gemacht. Dabei besteht die Möglichkeit, die Daten lokal im Fahrzeug, beim Hersteller oder bei Dritten zu speichern. Andererseits hängt die Verantwortlichkeit auch von den Zugriffsmöglichkeiten auf die Daten ab.

Insbesondere bei selbstfahrenden Autos fällt mehreren Personen und Stellen die Verantwortlichkeit im Sinne der DSGVO zu. Die Autohersteller haben in diesem Zusammenhang bei der Verarbeitung personenbezogener Daten eine zentrale Bedeutung. Denn diese produzieren nicht nur die Fahrzeuge, sondern statten diese auch mit diverser, datenschutzrechtlich relevanter Ausrüstung wie z.B. Navigationssoftware aus. Gleichermaßen sind etliche IT-Anbieter und Zulieferer der Automobilindustrie durch Bereitstellung der erforderlichen Soft- oder Hardware wie Sensoren und Kameras bei der Datenverarbeitung von autonomen Fahrzeugen involviert. Anbieter und Betreiber von infrastrukturellen Komponenten wie Netzwerk- und Kommunikationstechnologien spielen eine ebenso bedeutende Rolle.

Eine weitere datenschutzrechtliche Fragestellung ergibt sich im Hinblick auf die Datenweitergabe. In diesem Kontext ist es unumstritten, dass personenbezogene Daten immer wertvoller für Unternehmen werden. Daten, die in einem autonomen Fahrzeug erhoben werden, können u.a. für Kfz-Versicherungen, Car-Sharing-Anbieter, die Autohersteller selbst und Marketingaktivitäten von Unternehmen allgemein einen sehr attraktiven Wert darstellen.

Mit den Rückschlüssen auf das Fahrverhalten aus den verarbeiteten personenbezogenen Daten können Kfz-Versicherungen z.B. ihre Beiträge für „Risikofahrer“ aufgrund deren potenziell höherer Unfallquote aufstocken.

Auch wenn die DSGVO bei autonomen Fahrzeugen anwendbar ist, ist es in Bereichen wie der Datenweitergabe noch nicht abzusehen, wie diese auch konform umgesetzt wird bzw. umzusetzen ist.

Feststeht, wo immer Daten erhoben, verarbeitet oder gespeichert werden, sind Angriffe möglich. So auch bei modernen Fahrzeugen, welche durch vielfältige Angriffe bedroht sein können. Im Vergleich zu herkömmlichen Fahrzeugen sind eine deutlich höhere Vernetzung und Menge an erfassten Daten gegeben. Große Aufmerksamkeit erlangen bis dato immer wieder Berichte über „geknackte“ oder ferngesteuerte Fahrzeuge. Allerdings variiert die Bandbreite der Angriffe stark in Art und Umfang. Die Ziele der Angreifer sind hierbei oftmals unterschiedlich. Einige beabsichtigen, den Diebstahl des Fahrzeugs, den Betrug in Form von Tachomanipulation oder Industriespionage durch Auslesen von Steuergerätfirmware durchzuführen. Bei anderen wiederum steckt die Intention der Überwachung von Fahrzeugnutzern oder der Sabotage durch Beeinflussung von Systemen hinter den Angriffen.

Gewiss wird uns die datenschutzkonforme Ausgestaltung parallel zur technischen Entwicklung der autonomen Fahrzeuge weiterhin begleiten. Abzuwarten ist, inwiefern der entsprechende Datenschutz in den Regelungen des deutschen Straßenverkehrsgesetzes künftig integriert und berücksichtigt wird. Sicher ist, dass die DSGVO ein gesetzliches Druckmittel bei der Umsetzung des Datenschutzes im Rahmen der Herstellung von autonomen Fahrzeugen sein dürfte.

Essenz

  • Differenzierung bei der „Verantwortlichkeit“ im Sinne der DSGVO
  • Verantwortlichkeit ist abhängig von Speicherort erfasster Daten und Zugriffsmöglichkeiten auf diese
  • Umsetzung der DSGVO-konformen Datenweitergabe ist noch nicht absehbar
  • Autonome Fahrzeuge können durch vielfältige Angriffe bedroht sein
  • Datenschutzkonforme Ausgestaltung wird technische Weiterentwicklung künftig eng begleiten