Selbstfahrende Autos werden mit vielen Vorschusslorbeeren bedacht: Sie sollen den Verkehr sicherer machen, Staus minimieren und Straftaten mit Straßenverkehrsbezug senken. Neue Mobilitätskonzepte und die maximale Auslastung der vorhandenen Fahrzeuge durch Car-Sharing hätten außerdem Auswirkung auf die Stadtplanung der Zukunft, da mehr Flächen, auf denen jetzt Autos parken, frei werden würden.
Allerdings erfassen autonome Fahrzeuge deutlich mehr Daten als herkömmliche Autos, weshalb es sich lohnt, die Technologie auch einmal unter dem Gesichtspunkt des Datenschutzes zu beleuchten.
Welche Daten sammeln autonome Autos?
Die Daten, die ein selbstfahrendes Auto erfasst und verarbeitet, lassen sich im Wesentlichen in drei Kategorien einteilen:
Fahrzeugdaten: v.a. technische Daten (z.B. Batteriestand oder Zustand der Bremsen).
Daten zur Außenwelt des Fahrzeugs: Registriert wird die komplette Umgebung, z.B. Straßenzüge, Passanten, Radfahrer, Kennzeichen anderer Autos und Häuser. Die Umfelderfassung des Fahrzeugs funktioniert über diverse technische Instrumente, wie Kameras, Lidar (Abstands- und Geschwindigkeitsmesser), Radar, Ultraschallsensoren, Hodometer (mechanischer Wegmesser), Drehratensensoren und GPS.
Benutzer- / Passagierdaten: Die Bedienung eines autonomen Autos soll in vielen Konzepten nur über die Anmeldung mit einem Benutzerkonto möglich sein, dadurch werden Daten wie Log-Files, E-Mail-Adresse, Bewegungsprofil, Adressbuch etc. generiert bzw. übertragen – es fallen also auch personenbezogene Daten an.
Ob dabei die DSGVO Anwendung findet, hängt davon ab, ob gerade technische oder personenbezogene Daten erhoben werden. Dafür muss zuerst geklärt werden, ob die Daten die Identifizierung einer Person ermöglichen. Aufgrund der heutigen Vernetzung und den immensen Mengen an Daten existieren jedoch kaum noch technische Daten ohne jeglichen Personenbezug.
Ein autonomes Auto wird sich u.a. vernetzen mit:
anderen Fahrzeugen,
der Verkehrsinfrastruktur,
den Insassen (v.a. über das Smartphone) sowie
der Cloud.
Welche datenschutzrechtlichen Probleme könnten sich durch selbstfahrende Autos ergeben?
Ein zentrales datenschutzrechtliches Problem wird der von der DSGVO geforderte Erlaubnistatbestand für eine Datenverarbeitung darstellen. Damit die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten rechtmäßig sind, muss mindestens einer der in Art. 6 DSGVO genannten Erlaubnistatbestände vorliegen. Diese sind:
Einwilligung
Vertragserfüllung
Überwiegendes Interesse des Verantwortlichen.
Das erste Problem, das sich beim Erlaubnistatbestand der Einwilligung ergibt, ist, dass Insassen zwar einwilligen können, Verkehrsteilnehmer außerhalb des Fahrzeugs jedoch nicht. Außerdem wird die Mitfahrt wahrscheinlich nur möglich sein, wenn man in die Datenverarbeitung einwilligt, so dass die von der DSGVO geforderte Freiwilligkeit der Einwilligung nicht mehr gegeben ist.
Die Datenverarbeitung könnte durch den Erlaubnistatbestand der Vertragserfüllung rechtmäßig sein, da einige Dienste (z.B. Zugriff auf das persönliche Adressbuch, Speicherung von wichtigen Zieladressen etc.) nur durch die Verwendung von personenbezogen Daten erbracht werden können. Auch hier besteht jedoch das Problem, dass das nicht auf Personen außerhalb des Fahrzeugs zutrifft, da diese nicht Teil des Vertragsverhältnisses sind.
Der Erlaubnistatbestand des überwiegenden Interesses des Verantwortlichen wird auch als zentrale „Interessenabwägungsklausel“ der DSGVO bezeichnet. Es geht – wie der Name schon sagt – darum, abzuwägen, ob die Interessen des Verantwortlichen oder die der betroffenen Person überwiegen. Entscheidend ist hier der Zweck der Verarbeitung, so dass sich auf dieser Basis keine allgemeine Aussage für die Datenverarbeitung beim autonomen Fahren treffen lässt. Autonome Systeme müssen mit Daten gefüttert werden, damit sie lernen und sich verbessern können. Dies ist eines der Hauptinteressen des Verantwortlichen. Dem gegenüber steht das Recht auf Datenschutz der Nutzer eines selbstfahrenden Autos und anderer Verkehrsteilnehmer.
Außerdem stellt sich die Frage nach dem Verantwortlichen im Sinne der DSGVO. Der Hersteller, der Eigentümer oder gar die Insassen? Das hängt z.B. davon ab, wo die Daten gespeichert werden (lokal im Fahrzeug, beim Hersteller, bei einem Dritten?) und wer darauf zugreifen kann. Somit werden bei einem selbstfahrenden Auto wahrscheinlich immer mehrere Parteien verantwortlich sein.
Aber auch, wenn der Erlaubnistatbestand der Datenverarbeitung geklärt ist, ergeben sich weitere datenschutzrechtliche Fragestellungen. Wie sieht es z.B. mit der Datenweitergabe aus? Es ist inzwischen kein Geheimnis mehr, wie wertvoll personenbezogene Daten für Unternehmen geworden sind. Daten, die in einem autonomen Auto erhoben werden, könnten z.B. für Kfz-Versicherungen, Marketingaktivitäten von Unternehmen wie Google oder der Gastronomie, Behörden und Gerichte, Car-Sharing-Anbieter und natürlich die Autohersteller selbst von Interesse sein.
Was sollten Hersteller und Entwickler von selbstfahrenden Autos bzgl. des Datenschutzes beachten?
Es wäre wünschenswert, dass die Software von autonomen Autos bereits unter den Leitsätzen „Privacy by Design“ (Datenschutz durch Technikgestaltung) und „Privacy by Default“ (Datenschutzfreundliche Voreinstellungen) entwickelt wird, so dass die Technologie datenschutzgerecht umgesetzt werden kann.
Außerdem werden auf Grund des selbstlernenden Systems sämtliche vom Fahrzeug erfasste Daten in einen Algorithmus überführt, was die Notwendigkeit einer Datenschutzfolgenabschätzung zur Folge hat.
Besonders der Datenschutz Dritter könnte durch sofortiges und automatisches Blurring der erfassten Gesichter, Autokennzeichen und anderer personenbezogener Daten sichergestellt werden, da anonymisierte bzw. pseudonymisierte Daten grundsätzlich nicht in den Anwendungsbereich der DSGVO fallen. Da die autonomen Fahrzeuge in jedem Fall einer Kennzeichnung für andere Verkehrsteilnehmer bedürfen, könnte man sie u.U. mit einem Verweis auf eine Website mit weiteren Informationen bzgl. der Datenverarbeitung und den Kontaktdaten eines zuständigen Datenschutzbeauftragten versehen.
Von einer Datenübertragung außerhalb der EU ist außerdem abzuraten, da diese den Datenschutz noch deutlich komplizierter gestalten würde (Wie der Datenschutz bei einem Grenzübertritt in außereuropäisches Ausland umgesetzt werden kann, ist wieder ein Fall für sich).
Wenn sich Hersteller, Entwickler und die Nutzer autonomer Autos über die Auswirkungen auf den Datenschutz bewusst sind, mit entsprechenden Maßnahmen aber das Risiko eines Missbrauchs reduzieren, kann die Rechtsunsicherheit im Datenschutz gesenkt werden und das autonome Fahren auch im Hinblick auf den Datenschutz gelingen.
Autorinnen: Maike Weiss und Kathrin Strauß
Artikel veröffentlicht am: 11. November 2019
