Datenschutz im Auto

Das Auto der Zukunft soll sich autonom im Straßenverkehr bewegen. Hierfür werden Daten von Fahrzeugfunktionen, Fahrerassistenzsystemen und neuen mobilen Online-Diensten mit verschiedenen Stellen ausgetauscht. Derzeit verfolgen die Hersteller teilweise sehr unterschiedliche Datenschutzkonzepte. Es fehlt ein spezifisches Datenschutzrecht für Autos, das Fragen etwa zur Speicherdauer von Notruf-Daten oder zum Personenbezug von Fahrzeuggerätedaten regeln würde. Die geplante EU-Datenschutz-Grundverordnung wird in Artikel 23 jedoch "Privacy by Design" verlangen, was den Grundsatz der Datensparsamkeit einschließt.

Zu den vorgestellten Datenschutz-Prinzipien des Verbands der Automobilindustrie (VDA) gehören Transparenz, Selbstbestimmung und Datensicherheit. Der VDA unterteilt die im Fahrzeug anfallenden Daten nach sechs Kategorien. So werden etwa die Daten des geplanten Notrufsystems eCall per Gesetz zweckgebunden behandelt. Darüberhinaus gibt es moderne Datendienste wie etwa Car-to-X oder die Fernortung, deren Datenschutzrelevanz sehr unterschiedlich eingeschätzt wird. Zu den vom Kunden eingebrachten Daten zählen Navigationsziele oder Komforteinstellungen, die ebenfalls als unterschiedlich brisant bewertet werden.

Von keiner oder geringer Datenschutzrelevanz gehören laut VDA die letzten drei Daten-Kategorien: die im Fahrzeug erzeugten Kfz-Betriebswerte wie Füllstände und Verbrauch, aggregierte Fahrzeugdaten wie die Anzahl von Fehlfunktionen oder die Durchschnittsgeschwindigkeit sowie im Fahrzeug erzeugte technische Daten wie Sensorwerte oder das Schaltverhalten des Automatikgetriebes. Diese "technischen Daten" können in Kombination jedoch datenschutzrelevant werden und etwa im Falle eines Unfalls unter Umständen Hinweise auf das vorhergegangene Fahrverhalten liefern. Der Zugriff auf darauf ist derzeit gesetzlich nicht eindeutig geregelt.

Transparenz, Selbstbestimmung, Datensicherheit

Unter "Transparenz" versteht der VDA die Möglichkeit des Kunden, sich auf vielfältige Weise einen Überblick über alle Datenkategorien und Zweck der verarbeiteten Daten zu verschaffen. Seine "Selbstbestimmung" soll der Kunde dadurch ausüben können, dass er bestimmte Dienste deaktivieren oder bestimmte Daten löschen kann. Auch soll er Einwilligungen etwa über die Nutzung intelligenter Verkehrssysteme rückgängig machen können. Eine Übermittlung der Daten für weitere Dienstleistungen soll entweder nur auf der Basis einer gesetzlichen Erlaubnis oder eines vertraglichen Einverständnisses erfolgen können.

Hinsichtlich der "Datensicherheit" bleibt der VDA ähnlich vage: So wollen sich die Mitglieder dafür einsetzen, dass "Standards etabliert und fortentwickelt werden, die ein hohes technisches Sicherheitsniveau fortlaufend gewährleisten". Dazu gehöre der Einsatz "geeigneter kryptografischer Verfahren". Zur Frage einer Sicherheitszertifizierung oder Offenlegung verwendeter Sicherheitsverfahren äußerte sich der VDA mit Hinweis auf "Wettbewerbsfragen" nicht. Auch einzelne Hersteller erteilten hierzu keine Auskunft.

Datenschützer sehen Nachholbedarf

Den im Bundesdatenschutzgesetz geforderten Grundsatz der "Datensparsamkeit" greift der VDA in seinen Prinzipien nicht auf. Gleichwohl ist dieser für "Privacy by Design" von zentraler Bedeutung. Derzeit befassen sich die Datenschutzbeauftragten des Bundes und der Länder mit dem VDA-Papier. Mehrere Datenschützer erklärten gegenüber heise online, dass das Papier zwar zu begrüßen, aber an einigen Stellen zu unkonkret sei. Eine detaillierte Stellungnahme wird derzeit erarbeitet.

Der schleswig-holsteinische Landesdatenschützer Dr. Thilo Weichert, der zu dieser Problematik bereits ausführlich publizierte, sagte heise online: "Die Datenschutz-Prinzipien des VDA sind ein erster Anfang, wobei noch eine Vielzahl von Fragestellungen vertieft werden müssen." Viele Fragen würden auch gar nicht adressiert. Weichert: "Es fällt auf, dass eine Verantwortung für die Datenverarbeitung von Drittanbietern zurückgewiesen wird. Dies ist definitiv zu pauschal und muss präzisiert werden."

Wenig zufrieden zeigt sich Weichert auch mit der Hauptaussage der Prinzipien, sich an das Datenschutzrecht halten zu wollen: "Dies kann nicht genügen. Es wird in den weiteren Gesprächen darum gehen, klare Standards festzulegen. Erst wenn am Ende verbindliche Verhaltensregeln, also gesetzlich anerkannte Codes of Conduct, stehen, hat die Wirtschaft ihre Hausaufgaben erledigt." Angesichts der europäischen Bestrebungen in Bezug auf eCall und des bestehenden globalen Marktes sei es nötig, parallel zumindest einen europäischen Diskurs über den Datenschutz im Auto zu führen. (ad)