Intelligente Autos und der Datenschutz - Kfz-Daten sind personenbezogen

27.01.2016

Das „Smart Car“ – Ohne Daten geht nichts

Die digitale Welt ist ständig im Wandel. Neben massiven Umwälzungen von Produktionsprozessen im Rahmen der Entwicklung zur Industrie 4.0 (vgl. "Digitale Wirtschaft benötigt zukunftsfähigen europäischen Rechtsrahmen") zeichnet sich ein weiterer klarer Trend der digitalisierten Wirtschaft ab: Unsere Autos werden immer „intelligenter“. Das „Smart Car“ ist schon heutzutage in weiten Teilen Realität auf den Straßen Deutschlands und der Welt. Man denke nur an vollautomatische Einparkassistenten, immer intelligentere Navigationssysteme oder die Anbindung der Bordsysteme mit dem Internet. Gleichwohl ist dieser Trend noch lange nicht am Ende angelangt und ein Blick auf die Automobilmessen dieser Welt zeigt: autonomes Fahren ist das Thema der Zukunft. Dabei liegt es auf der Hand, dass hierbei auch Daten über die Nutzung des Fahrzeuges erhoben und gespeichert werden. So ist zum Beispiel ein Einparkassistent auf die Auswertung von verschiedensten Sensordaten des Fahrzeugs angewiesen. Viele der Daten werden dabei regelmäßig auch Rückschlüsse auf das Verhalten einer bestimmten natürlichen Person, nämlich des regelmäßigen Nutzers des Autos, zulassen.

Automobilindustrie und Datenschutzbehörden sind sich einig

Vor diesem Hintergrund ist es im Sinne der Rechtsklarheit zu begrüßen, dass der Verband der Automobilindustrie (VDA) und die Datenschutzbehörden des Bundes und der Länder in Deutschland gestern eine gemeinsame Erklärung zu diesem Thema herausgegeben haben.

Dabei haben sie sich zu folgenden Punkten geinigt:

  • Soweit bei Nutzung eines modernen Kraftfahrzeugs Informationen erzeugt und verarbeitet werden, die eine Verknüpfung mit der Fahrzeugidentifikationsnummer oder dem Kfz-Kennzeichen aufweisen, sind diese als personenbezogen im Sinne des Bundesdatenschutzgesetzes zu werten.
  • Im Weiteren unterscheiden die Behörden und der VDA in ihrer gemeinsamen Erklärung zwischen sog. „Offline“- und „Online“-Autos.

Offline-Auto: Bei einer Offline-Speicherung werden die Daten lediglich in dem Fahrzeug selbst gespeichert. Ein Zugriff eines Dritten auf diese Daten findet zunächst nicht statt. Zu einem Zugriff auf diese Daten wird es dann nur in besonderen Fällen kommen. Denkbar wäre dies zum Beispiel beim Auslesen des Fehlerspeichers in einer Werkstatt.

Für die Offline-Autos gilt nach der gemeinsamen Erklärung Folgendes:

  • Bei der Speicherung im Auto selbst handelt es sich nicht um eine Erhebung im Sinne des Bundesdatenschutzgesetzes. Insofern bedarf diese Speicherung selbst auch keiner Rechtfertigung.
  • Gleichwohl wird in der Erklärung darauf hingewiesen, dass auch bei solchen lediglich für in dem Fahrzeug selbst gespeicherten Daten ein Schutz der Daten durch technisch-organisatorische Maßnahmen erforderlich ist. Eine besondere Bedeutung soll insoweit dem Konzept des „Privacy by Design“ zukommen.
  • Von einer Datenerhebung sei bei einem Offline-Auto erst dann auszugehen, wenn die Daten ausgelesen würden - z. B. im Rahmen von Reparaturarbeiten. Dies hat zwei Folgen. Zum Einen gilt damit die auslesende Stelle (bspw. die Werkstatt) datenschutzrechtlich als „verantwortliche Stelle“, zum Anderen muss die auslesende Stelle die Erhebung rechtfertigen (zum Beispiel über gesetzliche Rechtfertigungstatbestände oder eine Einwilligung).

Online-Auto: Als Online-Auto werden in der Erklärung Fahrzeuge qualifiziert, bei denen eine Datenübermittlung direkt aus dem Fahrzeug heraus erfolgt – z.B. in die Cloud.

  • In diesem Fall wird die Übermittlung als Erhebung von Daten im Sinne des § 3 Abs. 3 BDSG qualifiziert.
  • In der Folge ist auch die Stelle, die die Übermittlung kontrolliert (üblicherweise wird dies der Hersteller sein) als „verantwortliche Stelle“ zu qualifizieren sein.
  • Weiter führt dies dazu, dass diese Erhebung gerechtfertigt werden muss. Insoweit kämen z.B. eine Rechtfertigung aus dem Vertragszweck nach § 28 BDSG oder eine Einwilligung des Kunden gem. § 4a BDSG in Betracht. Soweit die Datenerhebung im Rahmen eines Services erfolgt, der als Telemediendient zu qualifizieren ist, könnte sich eine Rechtfertigung darüber hinaus auch aus §§ 11 ff. TMG ergeben.

Einschätzung

Die gemeinsame Erklärung ist, jedenfalls aus Sicht der Datenschutzbehörden, wenig überraschend. Diese vertreten schon traditionell ein sehr weites Verständnis des Begriffs „personenbezogen“, nach dem ein Datum schon dann personenbezogen sein soll, wenn irgendeine beliebige Stelle – und nicht nur die verantwortliche Stelle - dieses mit einer bestimmbaren natürlichen Person verknüpfen kann. Insofern überrascht es nicht, dass auch Daten, die mit der Fahrzeugidentifikationsnummer oder dem Kennzeichen eines Fahrzeugs verknüpft sind, als personenbezogen gewertet werden – jedenfalls die KFZ-Behörden könnten hier für eine Zuordnung sorgen. Auch die weiteren Überlegungen bezüglich der verantwortlichen Stelle und der Frage, ob überhaupt eine Erhebung vorliegt, sind dogmatisch nachvollziehbar und konsequent.