DA+

Aufsatz : Datenschutzrechtliche Herausforderungen im Auto – neue Risiken durch „Connected Cars” : aus der RDV 5/2018, Seite 247 bis 252

Lesezeit 19 Min.

Die Datenverarbeitung in modernen Fahrzeugen schafft Begehrlichkeiten, die dort anfallenden Daten für die verschiedensten Zwecke nutzen zu wollen. Vor allem Arbeitgeber stehen in der Kritik, personenbezogene Daten der Fahrzeugnutzer auswerten zu wollen, um damit Rückschlüsse auf das Verhalten ihrer Kunden und Beschäftigten ziehen zu können. Nahezu unbegrenzte Speicherungsmöglichkeiten, Verknüpfungen und Auswertungen der Daten des Fahrers gefährden den Einzelnen in seinen Persönlichkeits- und Freiheitsrechten. Dies geschieht insbesondere dann, wenn der Fahrzeugnutzer nicht weiß, wer welche Daten über ihn hat, was dieser mit den Daten macht und an wen die Daten weitergegeben werden. Datenschutzprobleme drohen vor allem dann, wenn Unternehmen smarte Fahrzeuge einsetzen, sogenannte Connected Cars, die mit Internetzugang und Apps für den Bordcomputer ausgestattet sind.

I. Datenverarbeitung im Auto

1. Welche Daten können erhoben werden? Wer ist betroffen?

a) Allgemeines

Personenbezogene Datenverarbeitung findet auch im Auto statt. Um diese für den Betroffenen transparenter zu gestalten, hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) im April diesen Jahres einen Mustertext für eine Herstellerinformation über die Datenverarbeitung in Auto beschlossen. Elektronische Steuergeräte verarbeiten demnach Daten, die sie zum Beispiel von Fahrzeug-Sensoren empfangen, selbst generieren oder untereinander austauschen. Einige Steuergeräte sind für das sichere Funktionieren eines Fahrzeugs erforderlich, andere unterstützen den Fahrzeugnutzer beim Fahren (Fahrerassistenzsysteme), und optional können sie in Form von Komfort- oder Infotainment-Funktionen auftreten.[1]

In der Praxis werden beim Betrieb des Fahrzeuges Standortdaten, die technischen Eigenheiten von Funknetzen gegenüber kabelbasierten Netzen,[2] Fahrzeugstatus-Informationen (z.B. Geschwindigkeit, Bewegungsverzögerung, Querbeschleunigung, Radumdrehungszahl, Anzeige geschlossener Sicherheitsgurte) oder Umgebungszustände (z.B. Temperatur, Regensensor, Abstandssensor) erhoben und verarbeitet.[3] In der Regel sind all diese Daten flüchtig und werden nicht über die Betriebszeit hinaus gespeichert und nur im Fahrzeug selbst verarbeitet. Steuergeräte im Auto wie auch der Fahrzeugschlüssel enthalten häufig Datenspeicher. Diese werden eingesetzt, um Informationen über Fahrzeugzustand, Bauteilbeanspruchung, Wartungsbedarfe sowie technische Ereignisse und Fehler temporär oder dauerhaft dokumentieren zu können.[4] Gespeichert werden könnten praktisch darüber hinaus Betriebszustände von Systemkomponenten (z.B. Füllstände, Reifendruck, Batteriestatus), Störungen und Defekte in wichtigen Systemkomponenten (z.B. Licht, Bremsen), Reaktionen der Systeme in speziellen Fahrsituationen (z.B. Auslösen eines Airbags, Einsetzen der Stabilitätsregelungssysteme), Informationen zu fahrzeugschädigenden Ereignissen oder etwa der Ladezustand der Hochvoltbatterie und die geschätzte Reichweite bei Elektroautos.[5]

In besonderen Fällen wie wenn das Fahrzeug eine Fehlfunktion erkannt hat, kann es erforderlich sein, Daten zu speichern, die grundsätzlich flüchtig wären.[6] Fehlerspeicher im Fahrzeug können durch einen Servicebetrieb zurückgesetzt werden. Dies kann entweder im Rahmen von Reparatur- oder Servicearbeiten oder auf den Wunsch des Fahrzeugnutzers geschehen. Dadurch wird dem Grundsatz der Datenminimierung Rechnung getragen.[7] Die lokale Speicherung ist als datenschutzfreundlich zu bezeichnen, da auf eine Übermittlung von Daten hierdurch verzichtet wird.

Existieren Komfort- oder Infotainment-Funktionen im Auto, geht die Datenerhebung unmittelbar auf das individuelle Verhalten des Fahrzeugnutzers zurück. Personalisiert der Fahrzeugnutzer das Fahrzeug, können Komforteinstellungen und Individualisierungen gespeichert, geändert oder zurückgesetzt werden. Dazu gehören bspw. Einstellungen der Sitz- und Lenkradpositionen, Fahrwerks- und Klimatisierungseinstellungen oder Individualisierungen wie Innenraumbeleuchtung. Ebenso können im Rahmen der gewählten Ausstattung Daten in Infotainment-Funktionen des Fahrzeugs eingebracht werden. Dazu gehören Multimediadaten, wie Musik, Filme oder Fotos zur Wiedergabe in einem integrierten Multimediasystem, Adressbuchdaten zur Nutzung in Verbindung mit einer integrierten Freisprecheinrichtung oder einem integrierten Navigationssystem, eingegebene Navigationsziele sowie Daten über die Inanspruchnahme von Internetdiensten. Diese Daten für Komfort- und Infotainment-Funktionen können lokal im Fahrzeug gespeichert werden, oder sie befinden sich auf einem Gerät, das mit dem Fahrzeug verbunden wurde (z.B. Smartphone, USBStick oder MP3-Player).[8]

Die mögliche Datenübertragung hängt insbesondere davon ab, ob das Auto befähigt ist, selbstständig zu kommunizieren. Im Fahrzeug möglicherweise verbaute SIM-Karten helfen bei der Bereitstellung diverser Services über den Bordcomputer oder über das Infotainment-System und ermöglichen den Empfang von SMS-Nachrichten und E-Mails (inklusive Vorlesefunktion), den Internet-Zugang oder die Übernahme der wichtigsten Apps auf das Fahrzeugdisplay mittels Integration des Smartphones des Fahrzeugnutzers. Eine Kommunikation der Fahrzeuge untereinander sowie mit Herstellern und anderen Diensteanbietern ist heute schon technisch und praktisch möglich.[9] Genau durch diese Verbindung zwischen Fahrzeug und dem Internet oder einem anderen Netz kennzeichnen sich Connected Cars.[10] Die zahlreich im Auto erhobenen und verarbeiteten Daten stellen grundsätzlich kein Problem dar. Für den Datenschutz relevant werden sie erst durch den Personenbezug der im Fahrzeug verarbeiteten Daten. Dieser kann schon durch die eindeutige Fahrgestellnummer, die jedes Auto kennzeichnet, eröffnet sein, weil durch diese über eine Auskunft beim Kraftfahrtbundesamt auf den gegenwärtigen und ehemaligen Halter des Fahrzeugs geschlossen werden kann. Es gibt noch weitere Möglichkeiten, wie etwa über das Kfz-Kennzeichen, aus dem Fahrzeug erhobene Daten auf den Halter oder Fahrer zurückzuführen.

Die von den Steuergeräten generierten oder verarbeiteten Daten können ebenfalls personenbezogen sein oder zumindest unter bestimmten Voraussetzungen personenbezogen werden. Je nach Datenlage besteht die theoretische Möglichkeit Rückschlüsse bspw. auf das Fahrverhalten, den Standort oder die Fahrtroute bzw. auf das Nutzungsverhalten zu ziehen.[11] Wenn Fahrzeuge ihre Positionsdaten zusätzlich fortlaufend an einen Dritten übertragen und dieser Dritte ermitteln kann, wer das Fahrzeug führt, lassen sich aus den Ortungsdaten Rückschlüsse über das Fahrverhalten und aktuelle Aufenthaltsorte des Fahrers oder der Fahrerin ziehen. Dadurch kann der Personenbezug gegeben sein.

b) eCall schafft zusätzliche Datenverarbeitung im Auto

Für das europaweite automatische Notrufsystem eCall, das seit dem 31.03.2018 für alle neu genehmigten Fahrzeugmodelle gilt, sind Besonderheiten geregelt.[12] Art. 6 der europäischen eCall-VO regelt besondere Rechte zu Privatsphäre und Datenschutz in Ergänzung zur Datenschutz-Grundverordnung (DS-GVO). Genauso wie die DS-GVO statiuiert die eCall-VO in Art. 6 Abs. 9 umfängliche Informationspflichten.

Die Kfz-Hersteller sind nicht nur in der Pflicht, den automatischen Notruf eCall vorzuhalten, sondern dabei gleichzeitig das Datenschutzrecht zu wahren. Durch das auf dem 112-Notruf basierende bordeigene eCall-System darf der Fahrzeugführer nicht verfolgbar werden. Dafür muss der Hersteller technisch gewährleisten, dass die Daten im internen Speicher dieses Systems oder dieser selbstständigen technischen Einheit automatisch und kontinuierlich entfernt werden. Sie dürfen außerhalb des bordeigenen Systems oder der bordeigenen selbstständigen technischen Einheit für keine Einrichtung zugänglich sein, bevor der eCall tatsächlich ausgelöst wird. Zudem ergreift der Hersteller angemessene Sicherungsmaßnahmen, beispielsweise in Form von Verschlüsselungstechniken, zum Schutz der Sicherheit persönlicher Daten im internen Speicher des bordeigenen eCall-Systems oder der bordeigenen selbstständigen technischen eCall-Einheit und zur Verhinderung von Überwachung und Missbrauch.[13]

2. Wer erhält die Daten?

a) Hersteller

Das Auslesen von lokal gespeicherten Fahrzeugdaten erfolgt in der Regel über den gesetzlich vorgeschriebenen Anschluss für OBD („On-Board-Diagnose“) im Fahrzeug. Ebendiese ausgelesenen Daten dokumentieren technische Zustände des Autos oder einzelner Komponenten, helfen bei der Fehlerdiagnose, der Einhaltung von Gewährleistungsverpflichtungen und dienen nicht zuletzt der Qualitätsverbesserung. Insbesondere Informationen über Bauteilbeanspruchung, technische Ereignisse, Fehlbedienungen und andere Fehler, können hierfür zusammen mit der Fahrzeugidentifikationsnummer an den Hersteller übermittelt werden. Schließlich unterliegt der Hersteller der Produkthaftung. Die Betriebsdaten aus Fahrzeugen können von den Herstellern deswegen auch für Rückrufaktionen genutzt werden oder um Ansprüche des Kunden auf Gewährleistung und Garantie zu prüfen.[14]

b) Offline-Diensteanbieter

Wenn der Fahrzeugnutzer Serviceleistungen wie eine Reparaturleistungen oder Wartungsarbeiten in Anspruch nimmt, können die gespeicherten Betriebsdaten zusammen mit der Fahrzeugidentifikationsnummer ausgelesen und genutzt werden. Das Auslesen kann durch Mitarbeiter des Servicenetzes in Vertragswerkstätten oder durch den Hersteller selbst erfolgen. Ein solches Vorgehen wird die Regel für Garantiefälle und Qualitätssicherungsmaßnahmen darstellen. Aber auch Dritte, wie der Pannendienst, können die Daten aus dem Fahrzeug auslesen, wenn sie Hilfe leisten.

c) Online-Diensteanbieter

Bis hierher ging es ausschließlich um im Fahrzeug verarbeitete Daten, die nicht nach außen übermittelt werden. Sofern das Automobil über eine Funknetzanbindung verfügt, ist der Austausch von Daten zwischen dem Fahrzeug und weiteren Systemen eröffnet. Das ist der Fall, wenn das Fahrzeug mit dem Mobilfunk verbunden ist. Eine solche Funknetzanbindung wird durch eine fahrzeugeigene Sende- und Empfangseinheit oder über ein vom Fahrer verwendetes und angeschlossenes Mobiltelefon ermöglicht. Über diese Funknetzanbindung können Online-Funktionen genutzt werden.[15] Bei der Erbringung von Online-Diensten werden in aller Regel personenbezogene Daten verarbeitet. Gerade Online-Dienste Applikationen werden ohne personenbezogene Daten nicht funktionieren. Der Datenaustausch hierzu erfolgt aufgrund des Schutzbedarfs über eine geschützte Verbindung, wie etwa mit den dafür vorgesehenen IT-Systemen des Herstellers.[16]

Der Fahrzeughalter ist aber nicht auf die Online-Angebote des Kfz-Herstellers beschränkt. Vielmehr besitzt er zusätzlich die Möglichkeit, Online-Dienste anderer Anbieter zu nutzen. Bei Inanspruchnahme der Dienste Dritte unterliegen diese der Verantwortung sowie den Datenschutz- und Nutzungsbedingungen des jeweiligen Anbieters. Anders als bei den Online-Diensten des Fahrzeugherstellers können die jeweiligen Funktionen und die damit verbundenen datenschutzrechtlichen Informationen nicht so einfach wie in der Betriebsanleitung oder auf der Internetseite des Fahrzeugherstellers bereitgestellt werden, sondern über die Art, den Umfang und den Zweck der Erhebung und Verwendung personenbezogener Daten im Rahmen von Diensten Dritter muss sich der Halter selbstständig informieren.[17] So sehen es jedenfalls die KFZ-Hersteller. Die Informationspflichten der DS-GVO sind aber an den jeweiligen Verantwortlichen adressiert und verlangen vom Betroffenen keine Holschuld.

d) Arbeitgeber im Falle einer Dienstwagenüberlassung

Bei der Dienstwagenüberlassung können die Daten auch beim Arbeitgeber landen, was aufgrund des Verhältnisses zwischen Arbeitgeber und abhängig Beschäftigtem besondere Probleme birgt. Deswegen sind auch bei der Nutzung und Bereitstellung von Dienstwagen spezifische datenschutzrechtliche Vorgaben zu beachten. Der Arbeitgeber oder eine von ihm beauftragte Stelle könnte nämlich theoretisch auch Bewegungsprofile zur betrieblichen Nutzung der Mitarbeiterinnen und Mitarbeiter erstellen, um so eine Verhaltens- oder Leistungskontrolle zu ermöglichen. Hier sehen aber der Datenschutz und die Mitarbeitervertretung klare Grenzen vor, die dabei überschritten würden. Bewegungs-, Nutzungs- oder Kommunikationsprofile sind durch elektronische Auswertung als Datenauswertung in Echtzeit möglich. Das Bundesverfassungsgericht (BVerfG)[18] hat die persönlichkeitsrechtliche Relevanz von Persönlichkeitsbildern erkannt und ein Verbot von Totalbildern ausgesprochen.[19]

II. Gilt das Datenschutzrecht im Auto?

1. Personenbezug als Voraussetzung

Sowohl die DS-GVO als auch das Bundesdatenschutzgesetz (BDSG) finden immer nur Anwendung auf den Umgang mit personenbezogenen Daten. Gerade bei Smart Services (Geschäftsmodelle, bei denen ein Produkt und eine Dienstleistung digital miteinander verknüpft werden) sind die Daten jedoch reine „Maschinendaten“, ohne Bezug zu einer Person. Allerdings lassen sich viele Maschinendaten zumindest indirekt auf eine identifizierte oder identifizierbare Person beziehen, wie etwa die Person, welche die Bedienung oder Wartung ausführt, sodass der Anwendungsbereich des Datenschutzrechts bei der Nutzung solch technischer Möglichkeiten dennoch eröffnet sein kann.[20] Sofern die betreffenden Automobildaten also Personenbezug aufweisen können, unterfallen sie dem Anwendungsbereich des Datenschutzrechts. Wenn der Hersteller hingegen nicht auf den Personenbezug der Daten angewiesen ist, dann kann er diese gezielt anonymisieren. Das Datenschutzrecht findet dann von vorneherein keine Anwendung auf diese Daten.[21]

2. Anforderungen an Connected Cars

Um den datenschutzrechtlichen Anforderungen Rechnung zu tragen beim Einsatz von Connected Cars, haben die für die Kontrolle des Datenschutzrechts zuständigen Aufsichtsbehörden spezifische Forderungen aufgestellt. Diese richten sich vor allem natürlich an die Automobilindustrie, aber ebenso an Unternehmen, die Connected Cars einsetzen wie z.B. in einem Fuhrpark. Den in der DS-GVO verankerten Prinzipien für einen effektiven Datenschutz und Datensicherheit ist auch bei vernetzten Autos Genüge zu leisten. Der in Art. 5 DS-GVO zu findende Grundsatz der Datenminimierung verlangt, IT-Verfahren entsprechend sparsam zu konfigurieren. Ferner verlangen die Art. 12 ff. DS-GVO, den Fahrer, Halter oder Nutzer von Fahrzeugen zu informieren, welche Daten beim Betrieb des Fahrzeugs erfasst und verarbeitet werden sowie welche Daten an wen, wie und zu welchen Zwecken übermittelt werden. Änderungen sind dem im datenschutzrechtlichen Sinne Betroffenen rechtzeitig anzuzeigen. Darin schließt die Verpflichtung an, Betroffenenrechte wie das Recht auf Löschen oder, der Datenverarbeitung zu widersprechen, durchsetzbar zu gewährleisten.

3. Besondere Anforderungen bei Dienstwagennutzung

a) Rechtmäßigkeit

Ein weiteres Datenschutzproblem ergibt sich, wenn der Eigentümer des Fahrzeugs nicht identisch mit dem Halter oder dem tatsächlichen Nutzer ist. Ein solcher Fall liegt immer dann vor, wenn ein Dienstwagen dem Arbeitgeber gehört oder von diesem geleast, aber dem Arbeitnehmer zur Nutzung überlassen wird. Darf ein Einzelner diesen wie sein eigenes Auto nutzen und hat er die alleinige Kontrolle darüber, obwohl der Arbeitgeber der Halter ist, so ist es wohl kaum zu rechtfertigen, dass der Arbeitgeber Zugriff auf die Daten verlangt. Anders verhält es sich, wenn die Fahrzeuge bestimmungsgemäß von mehreren Arbeitnehmern genutzt werden. Der Arbeitgeber kann in dieser Konstellation ein legitimes Interesse daran besitzen, auf die Daten zuzugreifen, um etwa den Einsatz seiner Fahrzeugflotte besser planen zu können. Für die mit dem Fahren eines Connected Cars verbundene personenbezogene Datenverarbeitung bedarf es in jedem Fall einer Rechtmäßigkeit. Die Zulässigkeit kann sich aus § 26 BDSG ergeben, sofern das Fahren und die damit einhergehende Verarbeitung von personenbezogenen Daten für die Durchführung des Arbeitsverhältnisses erforderlich ist. Problematisch ist die Verarbeitung zusätzlicher Daten, die nicht mehr für die Durchführung des Beschäftigungsverhältnisses erforderlich sind, auf Grundlage einer Einwilligung. Hier drohen Zweifel an der Freiwilligkeit der vom Arbeitnehmer zu erteilenden Einwilligung, da bei einer Weigerung die begründete Sorge vor Benachteiligung oder gar der Auflösung des Beschäftigungsverhältnisses besteht. Insbesondere weil eine Einwilligung jederzeit widerruflich ist, bilden in der Praxis Betriebsvereinbarungen das wesentliche rechtliche Instrument zur Umsetzung von Datenverarbeitungen im Beschäftigtenkontext.[22] Außerdem muss beachtet werden, dass die Einrichtung und Nutzung von Systemen, die eine Überwachung der Beschäftigten zulassen, nach § 87 Abs. 1 Nr. 6 BetrVG ohnehin mitbestimmungspflichtig sind, sofern ein Betriebsrat existiert. Betriebsvereinbarungen werden dieser Mitbestimmungspflicht gerecht, liefern aber gleichzeitig auch eine verlässliche datenschutzrechtliche Rechtfertigungsgrundlage für die Verarbeitung von Beschäftigtendaten.[23] Unabhängig davon, ob eine Einwilligung oder Betriebsvereinbarung als Rechtsgrundlage gewählt wird, gilt es die Nutzung von Connected Cars künftig auch bei der arbeitsvertragsrechtlichen Regelung der Dienstwagenüberlassung zu berücksichtigen.[24]

b) Organisatorische Datenschutzpflichten: privacy by design/default und Datenschutz-Folgenabschätzung

Neben der Kernfrage der Rechtmäßigkeit der Verarbeitung haben datenverarbeitende Unternehmen weitere datenschutzrechtliche Pflichten zu beachten. Nach der DS-GVO muss jeder Anbieter von Smart Services in Bezug auf diesen Smart Service eine Vielzahl von organisatorischen Anforderungen erfüllen. Zu den wichtigsten dieser Pflichten zählen Data protection by design und Data protection by default: D.h. der Smart Service muss bereits auf Ebene der technischen Gestaltung so datenschutzfreundlich aufgebaut sein, und etwaige Voreinstellungen müssen so gewählt sein, dass personenbezogene Daten nur insoweit verarbeitet werden, als dies für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist (Art. 25 Abs. 2 bzw. Abs. 1 DS-GVO).[25] Inwiefern ein Arbeitgeber als derjenige, der seinem Mitarbeiter den Wagen überlässt, überhaupt technisch in der Lage ist die von ihm angeschafften Fahrzeuge entsprechend zu konfigurieren, erscheint in der Praxis höchst zweifelhaft. Gleichwohl trifft ihn diese Rechtspflicht als für die Datenverarbeitung Verantwortlicher unmittelbar.

Wenn sich aus dem Smart Service voraussichtlich ein hohes Risiko für die Interessen der Betroffenen ergibt, muss der Verantwortliche eine vorherige Datenschutz-Folgenabschätzung durchführen (Art. 35 DS-GVO). Diese von der DS-GVO neu geschaffene Dokumentationsanforderung dürfte für einen Fuhrpark relevant werden. Ein Unternehmen muss nämlich dann eine Datenschutz-Folgenabschätzung vornehmen, wenn eine Form der Datenverarbeitung wahrscheinlich ein hohes Risiko verursacht, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke. Ein Beispiel für solche neuen Technologien sind Systeme, die eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen aufgrund automatisierter Verarbeitung ermöglichen. Hierunter dürften nicht nur neuartige Systeme wie das des (teil-)autonomen Fahrens gehören, sondern ebenso fortgeschrittene Fahrerassistenzsysteme, die im Kontext mit anderen vom Bordcomputer gespeicherten Daten (Navigationssystem, SmartphoneAnbindung, E-Mail-System) Rückschlüsse auf die Leistung und das Verhalten des Dienstwagennutzers zulassen.[26] Gerade bei der Anschaffung von Fahrzeugen mit einer Vielzahl automatischer Systeme wird der Verantwortliche als Fuhrparkinhaber künftig wohl gehalten sein, eine entsprechende Datenschutz-Folgenabschätzung vorzunehmen. So findet sich die „Fahrzeugdatenverarbeitung“ auch in den Listen von Verarbeitungsvorgängen der Aufsichtsbehörden, für die eine solche Prüfung vor Inbetriebnahme durchzuführen ist.[27] Für diese Herausforderung wird es erforderlich sein, dass auch die Kfz-Hersteller transparent machen, ob und welche personenbezogene Daten in den einzelnen Fahrzeugsystemen verarbeitet werden. Dieses neue Aufgabengebiet kann auch beinhalten, die Aufsichtsbehörde zu konsultieren, wenn nämlich die Datenschutz-Folgenabschätzung ergibt, dass eine Datenverarbeitung ohne Maßnahmen ein hohes Risiko zur Folge hat.

Neben den vom Verantwortlichen umfänglich zu erfüllenden Transparenzpflichten (Art. 13 u. 14 DS-GVO) und den Dokumentationsanforderungen (Art. 5 Abs. 2 u. 30 DS-GVO) muss der Verantwortliche sicherstellen, sämtliche Betroffenenrechte erfüllen zu können.

III. Betroffenenrechte im Auto

Die betroffene Person soll wissen, für welche Zwecke ihre Daten verarbeitet werden und welche Datenschutzrechte sie hat. Dies gilt selbstredend auch im Auto. So ist der PkwBesitzer ebenso wie der Nutzer eines Dienstwagens über die bei der Fahrzeugnutzung anfallende Datenverarbeitung hinreichend zu informieren. Beispielsweise sollte das Fuhrparkmanagement nach Artikel 13 DS-GVO unmittelbar bei der Erhebung der Daten beim Betroffenen auf diesen Umstand hinweisen. Viele Anbieter machen es sich bei der Bereitstellung dieser Informationen einfach, indem sie die gesamten Pflichtangaben in Privacy Policies oder Nutzungsbestimmungen integrieren. Diese Informationsfülle lässt sich sodann vom Verbraucher nicht mehr seriös überblicken.

Den Fahrzeugnutzern steht klassischerweise ein unentgeltlicher und umfassender Auskunftsanspruch gegenüber dem Fahrzeughersteller sowie gegenüber Dritten wie beispielsweise beauftragte Pannendiensten, Werkstätten oder Anbietern von Online-Diensten im Fahrzeug zu, sofern diese personenbezogene Daten der Fahrzeugnutzer gespeichert haben. Daneben bestehen auch Rechte auf Berichtigung oder Löschung von Daten.[28] Die rechtlichen Anforderungen an Auskunftserteilung und Korrektur sind klar und weitestgehend unstreitig. Probleme bestehen jedoch bei der Realisierung der Betroffenenrechte. Für die praktische Umsetzung des Auskunftsanspruchs genügt es nicht, lediglich das Kundenprofil zum Abruf bereitzustellen. Vielmehr ist so umfänglich zu beauskunften, dass auch die nicht unter dem Klarnamen abgelegten Daten sowie Metadaten, also Verkehrs- und Auswertungsdaten, dem Betroffenen bereitgestellt werden. So besteht jedenfalls theoretisch die Möglichkeit, dass der Fahrzeugführer vom Hersteller die zum Zeitpunkt eines Unfalls im Kfz gespeicherten technischen Daten als Auskunft einholen kann, die zur Unfallaufklärung beitragen können.

Insbesondere bei der Kfz-Mobilkommunikation werden mehr Daten als z.B. bei der stationären Datenverarbeitung beiläufig erfasst, für die es oft nur einen kurzfristigen Speicherbedarf gibt. Dies gilt insbesondere für technische Fahrzeugdaten wie auch für viele Daten, die gerne durch App- und Portalanbieter erfasst werden.

Das Recht auf Löschung gemäß Art. 17 DS-GVO besteht auch im Auto und hinsichtlich der dort erhobenen personenbezogenen Daten. Die tatsächliche Löschung ist nicht nur auf Verlangen des Betroffenen durchzuführen. Unabhängig davon ist die turnusmäßige Löschung von Nutzerdaten vorzusehen, etwa wenn eine App gelöscht bzw. ein Nutzungsvertrag gekündigt wird.[29] Spannend wird es, wenn das Fahrzeug verkauft werden soll und der Halter seine Daten vorher löschen will. Teilweise besteht sogar eine Pflicht, wie etwa bei BMW, sämtliche personenbezogenen Daten vorher selbstständig zu löschen: „Bei Verkauf oder dauerhafter Weitergabe des Fahrzeugs an einen Dritten hat der Kunde dafür Sorge zu tragen, dass alle persönlichen Daten, die im Fahrzeug gespeichert sind, gelöscht werden. Außerdem muss der Kunde die Verknüpfung zwischen dem Fahrzeug und seinem Nutzerkonto über „Mein BMW ConnectedDrive“ beenden. Der Kunde ist verpflichtet, den Dritten, dem er sein Fahrzeug verkauft oder an den er sein Fahrzeug dauerhaft weitergibt, über sämtliche aktiven und deaktivierten Dienste zu informieren.“[30] Dadurch entledigt sich der Hersteller einfach seiner Verpflichtungen und macht den Fahrzeughalter zum Rechtsverpflichteten. Der Gebrauchtwagenhandel ist damit wesentlich komplizierter geworden. Während beim früheren klassischen Autokauf sämtliche Rechte und Pflichten vom Hersteller zum Käufer und später vom Käufer auf den Zweitbesitzer übergingen, sind die Rechtsverhältnisse heute wesentlich komplexer. Die Verantwortlichkeit für die IT bleibt heute des Kfz beim Hersteller, weswegen beim Weiterverkauf Vertragsbeziehungen zum Hersteller übertragen werden müssen, was den Veräußerer dazu zwingt, die AGBs des Herstellers zum Bestandteil seines Kaufvertrages zu machen.[31]

IV. Fazit

Bereits dann, wenn ein Auto keine Daten nach außen übermittelt, ist der Datenbestand eines einzelnen Fahrzeugs beachtlich. Die rechtliche Ausgestaltung des Fahrzeughaltens macht einen Personenbezug in aller Regel unausweichlich. Deswegen findet das Datenschutzrecht selbst in nicht vernetzten Autos Anwendung. Nicht erst in Zukunft, sondern bereits jetzt lassen sich die meisten Autos als Connected Cars qualifizieren. Das verpflichtende eCall-System für Notrufe hat diesen Weg zementiert. Nicht nur der Hersteller, sondern verschiedenste Akteure werden zu Diensteanbietern rund um das Auto und damit zu Verantwortlichen im datenschutzrechtlichen Sinne. Daraus erwächst einerseits die Verpflichtung die Datenverarbeitung rechtmäßig zu gestalten sowie andererseits den Betroffenenrechten und vor allem den umfangreichen Informationspflichten der DS-GVO gerecht zu werden. Für manche Diensteanbieter wird die Transparenz zur Herausforderung, wenn es gar keinen unmittelbaren Kontakt wie im klassischen Kundeverhältnis zwischen Betroffenem und Verantwortlichem gibt. Das stellt innerhalb eines Beschäftigungsverhältnisses nicht die Hürde dar, die es zu meistern gilt. Vielmehr liegt hier das Problem darin, die im Auto vorhandene Technik rechtskonform einzusetzen. Dafür sollte das Dienstwagen überlassende Unternehmen neben der Einbindung des Betriebsrats am besten Kollektivvereinbarungen für die aus datenschutzrechtlicher Sicht damit zulässige Wagenüberlassung treffen, da Einwilligungen als alternativer Rechtmäßigkeitstatbestand widerruflich sind, der Dienstwagen hingegen Teil eines nicht so leicht änderbaren Vergütungsanspruchs sein kann. Hinzu kommt noch aller Voraussicht nach die Aufgabe der Datenschutz-Folgenabschätzung für den Verantwortlichen des Fuhrparks.

Professor Dr. Rolf Schwartmann Leiter der Kölner Forschungsstelle für Medienrecht an der TH Köln und Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD). Er ist Mitglied der Datenethikkommission der Bundesregierung und berät die Bundesregierung und die Landesregierung NRW in Gremien und ist unabhängiges Mitglied des Stiftungsrats der European Net-ID Foundation.

Dr. Tobias Jacquemain, LL.M ist promovierter Datenschutzrechtler und als Wissenschaftlicher Referent bei der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) beschäftigt. Zudem ist er Redakteur bei DataAgenda.de.

[1] DSK, Beschluss v. 25./26.04.2018, VDA Mustertext zur Datenverarbeitung im Fahrzeug, 1.

[2] Weichert, SVR 2014, 201 (202).

[3] DSK, Beschluss v. 25./26.04.2018, VDA Mustertext zur Datenverarbeitung im Fahrzeug, 2.

[4] DSK, Beschluss v. 25./26.04.2018, VDA Mustertext zur Datenverarbeitung im Fahrzeug, 2.

[5] DSK, Beschluss v. 25./26.04.2018, VDA Mustertext zur Datenverarbeitung im Fahrzeug, 2 f.

[6] DSK, Beschluss v. 25./26.04.2018, VDA Mustertext zur Datenverarbeitung im Fahrzeug, 3.

[7] DSK, Beschluss v. 25./26.04.2018, VDA Mustertext zur Datenverarbeitung im Fahrzeug, 3.

[8] DSK, Beschluss v. 25./26.04.2018, VDA Mustertext zur Datenverarbeitung im Fahrzeug, 3 f.

[9] Fischer, Datenschutz in vernetzten Fahrzeugen, Flottenmanagement 3/2018, 84 (84).

[10] Weisser/Färber, MMR 2015, 505 (506).

[11] DSK, Beschluss v. 25./26.04.2018, VDA Mustertext zur Datenverarbeitung im Fahrzeug, 1.

[12] Vgl. Lüdemann, ZD 2015, 247 (248)

[13] Fischer, Datenschutz in vernetzten Fahrzeugen, Flottenmanagement 3/2018, 84 (84 f.).

[14] DSK, Beschluss v. 25./26.04.2018, VDA Mustertext zur Datenverarbeitung im Fahrzeug, 3.

[15] DSK, Beschluss v. 25./26.04.2018, VDA Mustertext zur Datenverarbeitung im Fahrzeug, 4.

[16] DSK, Beschluss v. 25./26.04.2018, VDA Mustertext zur Datenverarbeitung im Fahrzeug, 5.

[17] DSK, Beschluss v. 25./26.04.2018, VDA Mustertext zur Datenverarbeitung im Fahrzeug, 5.

[18] BVerfG, NJW 1969, 1707.

[19] Weichert, SVR 2014, 241 (241)

[20] Heun/Assion, BB 2018, 579 (580).

[21] Heun/Assion, BB 2018, 579 (581).

[22] Klösel/Mahnhold, NZA 2017, 1428 (1428).

[23] Ebd

[24] Fischer, Auswirkungen der EU-Datenschutz-Grundverordnung, Flottenmanagement 1/2017, 64 (64).

[25] Heun/Assion, BB 2018, 579 (582).

[26] Fischer, Auswirkungen der EU-Datenschutz-Grundverordnung, Flottenmanagement 1/2017, 64 (68).

[27] Vgl. bspw. HBDI, Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für die gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung von Verantwortlichen durchzuführen ist, Juni 2018.

[28] Fischer, Datenschutz in vernetzten Fahrzeugen, Flottenmanagement 3/2018, 84 (84).

[29] Weichert, SVR 2014, 241 (244).

[30] BMW, Allgemeine Geschäfts- und Nutzungsbedingungen: BMW ConnectedDrive, Mai 2017, Ziff. 7.2 f

[31] Weichert, SVR 2014, 241 (242).