Aufsatz : Der US-amerikanische Entwurf des „Security and Privacy in your Car Act“ – eine Analyse vor dem Hintergrund der deutschen Connected-Car Debatte : aus der RDV 6/2015, Seite 299 bis 306
Eine Analyse vor dem Hintergrund der deutschen Connected-Car Debatte
Ein Entwurf für einen „Security and Privacy in Your Car Act of 2015 (im Folgenden auch der „Entwurf“ genannt) wurde angesichts mehrerer spektakulärer Car-Hackings am 21. Juni 2015 in den Kongress eingebracht. Nach einer Einleitung (I.) werden die datenschutzrechtlichen Vorgaben des Entwurfes dargestellt, insbesondere die Transparenzanforderungen (II.b), die Möglichkeit zum Opt-out bezüglich der Erhebung von Daten (II.d) und das Einwilligungserfordernis für die Nutzung der Daten zu Werbezwecken (II.f). Diese Anforderungen werden jeweils der deutschen Rechtslage gegenübergestellt (II. c, e und g). Hierauf folgt die Darstellung der Regelungen des Security and Privacy in Your Car Acts zu IT-Sicherheit im KFZ (III.) Dabei wird zunächst die allgemeine Regel aufgezeigt, nach der „entry points“ vor „hacking“ zu schützen sind (III.a). Sodann wird untersucht, inwieweit sich in Deutschland bereits eine ähnliche Anforderung aus den technischen und organisatorischen Maßnahmen nach § 9 BDSG (III.b) oder zumindest aus dem neuen § 13 Abs. 7 TMG ergibt (III.c). Zudem wird gezeigt, dass für die weitergehenden IT-Sicherheitsanforderungen des Security and Privacy in Your Car Acts (III.d) keine vergleichbare Regelung im deutschen Recht besteht (III.e). Perspektivisch wird in diesem Rahmen auch auf die Datenschutzgrundverordnung („DSGVO“) eingegangen und die Frage gestellt, ob und inwieweit für den deutschen Gesetzgeber durch ein vollharmonisiertes Datenschutzrecht – was sich auch als Datensicherheitsrecht versteht – die Hände zur Regelung von IT-Security gebunden werden. Zuletzt wird auf die Stimmen eingegangen, die in Deutschland bislang ein Autofahrerdatenschutzgesetz forderten (IV).
I. Einleitung
Entgegen dem offiziellen Kurztitel – SPY Car Act of 2015 – enthält der Entwurf keine Ermächtigungsgrundlagen für geheimdienstliche Tätigkeiten im Stile des berüchtigten Patriot Acts[1]. Der Langtitel des Entwurfes offenbart erheblich klarer die Intention der beiden Senatoren[2], die den Entwurf in den Kongress einbrachten[3]. Es handelt sich um ein Gesetz zum Schutz der Verbraucher vor den Bedrohungen ihrer Sicherheit und Privatheit, denen sie durch ihr Automobil ausgesetzt sind[4].
Der reale Hintergrund für den Entwurf ist klar in den spektakulären Hackings der jüngeren Vergangenheit zu sehen, die sich vorwiegend in den USA ereigneten[5]. Unabhängig davon, dass solche „feindlichen Übernahmen“ von Fahrzeugen überall auf der Welt reproduzierbar sind, scheint sich auch in diesem Feld – wie so oft – die Speerspitze dieser Entwicklung in den USA zu befinden.
In dem folgenden Überblick steht nicht die genaue Anwendbarkeit des Entwurfes im Fokus. Hierfür wäre es zum einen nötig, den Entwurf umfangreich in die komplizierten Regelungen des US-amerikanischen sektoralen Datenschutzrechts einzubetten. Zum anderen erscheint eine solche Analyse erst dann sinnvoll, wenn der Gesetzgebungsprozess weiter vorangeschritten und der finale Wortlaut verfügbar ist. Die Darstellung der im Entwurf vorgeschlagenen Regelungsmechanismen dient vorwiegend zwei Zwecken: Erstens, soll den europäischen Automobilherstellern und -zulieferern inklusive der Unternehmen, die Software und Apps für den KFZ-Bereich anbieten, ein erster Einblick in die zu erwartenden Regelungen verschafft werden, welche ab ihrem Inkrafttreten[6] für alle neu zugelassenen Fahrzeuge in den USA gelten werden. Gleichzeitig soll dieser Überblick aber auch als Spiegel der deutschen Debatte um Datenschutz und Sicherheit im Connected Car genutzt werden, in der Hoffnung, dass durch einen solchen Blick „von außen“ Aspekte sichtbar werden, die vielleicht bisher übersehen wurden bzw. zumindest nicht im Mittelpunkt standen.
II. Privacy-Regelungen des Entwurfs
Der Entwurf des SPY CAR Acts sieht vor, in den Teilbereichen Security und Privacy jeweils unterschiedliche bestehende Gesetze zu ergänzen. Im Bereich Privacy wird vorwiegend der Federal Trade Commission Act[7] erweitert, also die Regelungen über die Institution, die am ehesten als oberste allgemeine Datenschutzbehörde bezeichnet werden könnte[8]. Diese Verortung zeigt schon: Anders als sonst häufig im US-Datenschutzrecht[9] geht es hier um die Verpflichtung von Unternehmen zum Schutz der Konsumenten. Denn die Aufgabe der Federal Trade Commission („FTC“) liegt vorwiegend in der Durchsetzung des lauteren Wettbewerbs und des Verbraucherschutzes gegenüber der Wirtschaft.
Im Wesentlichen erhält der Entwurf diesbezüglich drei Verpflichtungen: Die Erhebung der Daten muss transparent erläutert werden, die Kontrolle über die Erhebung der Daten muss bei den Nutzern liegen und die Verwendung der Daten zu Werbezwecken darf erst nach einer Einwilligung erfolgen.
a) Die Verpflichteten und der Sanktionsmechanismus
Der Gesetzentwurf stellt Anforderungen an Kraftfahrzeuge, die zum Verkauf in den USA hergestellt werden[10]. Die Verpflichtungen werden also nicht – wie in Europa üblich – einer verantwortlichen Stelle auferlegt. Nur ein wenig deutlicher wird das angesprochene Rechtssubjekt durch die möglichen Sanktionen: Ein Verstoß gegen die Privacy-Vorgaben wird als unlauterer Wettbewerb verboten und durch die FTC verfolgt[11]. Betroffen sind damit jedenfalls Automobilhersteller, eventuell aber auch die Zulieferer von IT-Systemen. Ob auch der Anbieter einer erst nach Verkauf und Zulassung eines KFZ hinzugeladenen App verpflichtet ist, muss aufgrund des Wortlautes als unwahrscheinlich gelten.
Ein Blick in die Fall-Datenbank der FTC zeigt, dass diese im Hinblick auf Schadensersatzforderungen und Unterlassungsklagen keineswegs untätig ist[12]. 2012 erreichte die FTC eine Strafzahlung in Höhe von 22.5 Millionen USD gegen Google wegen Falschangaben zum Datenschutz und Cookies in Bezug auf den Browser Safari[13]. Ein Verstoß gegen die folgenden Vorgaben darf also in den USA nicht auf die leichte Schulter genommen werden. Der derzeit bestehende Bußgeldrahmen in Deutschland von bis zu 300.000 EUR für einen Verstoß gegen das BDSG und bis zu 50.000 EUR für einen Verstoß gegen das TMG fällt demgegenüber eher bescheiden aus[14], wird sich aber vermutlich im Rahmen des Erlasses der Datenschutzgrundverordnung („DSGVO“) bald auch in Europa drastisch erhöhen[15].
b) Transparenz und die Definition von „driving data“
Die Transparenzverpflichtung verlangt einen Hinweis über die Erhebung, Übertragung, Speicherung und die Nutzung von Fahrdaten („driving data“)[16]. Der Begriff „driving data“ wird in dem Entwurf wie folgt näher beschrieben: Zu Fahrdaten („driving data“) gehören alle elektronischen Informationen, die über den Zustand eines Fahrzeuges (wie Aufenthaltsort und Geschwindigkeit) und über den Eigentümer, Mieter bzw. Leasingnehmer, Fahrer oder Passagier eines Fahrzeugs erhoben werden[17]. Auch wenn man sich naturgemäß in vielen Einzelfällen wird darüber streiten können, welche Daten genau von dieser Definition erfasst sind, wird deutlich, dass die Definition sehr weit gefasst ist. Dies gilt insbesondere im Hinblick auf die Erfassung von Daten über Passagiere und Mieter bzw. Leasingnehmer. Bezüglich all dieser Daten müssen klare und gut sichtbare Erläuterungen in einfacher Sprache („plain language“) gegeben werden. Es kommt also auch den Amerikanern an dieser Stelle darauf an, dass selbst nicht technisch versierte Nutzer eine reale Chance erhalten, zu verstehen, was mit ihren Daten passiert. Die Fahrdaten müssen laut dem Entwurf in einem Kraftfahrzeug bereitgestellt werden („Each motor vehicle shall provide“[18]).
In Anlehnung an die Pflicht zur standardisierten grafischen Darstellung des Benzinverbrauchs sollen nach dem Entwurf nun auch standardisierte Informationen über ITSecurity und Datenschutzstandards zwingend vorgegeben werden. Insofern wird eine „leicht zu verstehende standardisierte Grafik“[19] vorgeschrieben, die darüber Auskunft gibt, in welcher Hinsicht die Rechte der Eigentümer, Fahrer und Fahrgäste eines Kfz über die gesetzlich verankerten IT-Security und Datenschutzstandards hinaus geschützt werden.
c) Vergleich mit Transparenzvorgaben in Deutschland
Vom Wortlaut her enthält der Entwurf inhaltlich ähnlich hohe Anforderungen, wie diese auch in Deutschland gemäß § 13 Abs. 1 TMG bzw. §§ 4 Abs. 3, 33 Abs. 1 BDSG gelten. Dort, wo nach dem TMG eine Unterrichtung in „allgemein verständlicher Form“ „über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten“ zu erfolgen hat, verlangt der SPY CAR Act eine „clear and conspicuous notice, in clear and plain language“[20].
Eine interessante Parallele zu der geforderten graphischen Darstellung der Datenschutz und IT-Sicherheitsmaßnahmen nach dem Cyber-Dashboard des SPY CAR Acts findet sich in Art 13a des Entwurfs des EU-Parlaments zur DSGVO. Letzterer schlägt ebenfalls eine abstrakte, vereinfachende graphische Darstellung vor, die mit wenigen Piktogrammen über einzelne Details der Datenverarbeitung sowie der technischen und organisatorischen Schutzmaßnahmen Auskunft geben soll[21]. Grundsätzlich sind solche Piktogrammlösungen begrüßenswert angesichts der Datenflut, die für den Nutzer häufig das Gegenteil von Transparenz bewirken, wenngleich die abstrakte Darstellung in simplen Grafiken der facettenreichen Realität in vielen Fällen nicht ausreichend Rechnung tragen wird.
Bemerkenswert ist an dem amerikanischen Entwurf außerdem die Klarstellung, dass die Transparenzverpflichtung gegenüber Eigentümer, Fahrer, Fahrgast und Mieter eines Kfz gleichermaßen gilt. Dies ergibt sich auch nach europäischem Recht automatisch dann, wenn bestimmte Daten den genannten Personen zuzuordnen sind und diese deswegen als „Betroffene“ im Sinne des § 3 Abs. 1 BDGS gelten[22]. Dieser Umstand wird aber in der Praxis allzu leicht übersehen. Gerade im Bereich der Kameraüberwachung in öffentlichen Verkehrsmitteln, Taxen und der Autovermietung besteht hier noch ein erheblicher Nachholbedarf in der europäischen Praxis. So ist es bei Mietwagen trotz der Informationspflicht nach § 13 Abs. 1 TMG nicht üblich, darauf hinzuweisen, dass etwa die vorgenommenen Einstellungen am Infotainmentsystem und die eingegebenen Adressdaten im Navigationsgerät automatisch gespeichert und nicht automatisch gelöscht werden und somit für den nächsten Mieter einsehbar sind.
Ein maßgeblicher Unterschied zwischen der europäischen und der amerikanischen Regel besteht beim Adressatenkreis der Transparenzverpflichtung. Während der SPY CAR Act lediglich all jene verpflichtet, die im Rahmen der Herstellung eines für den Verkauf in den USA bestimmtes Kfz mitwirken, trifft die Transparenzanforderung in Europa jede einzelne verantwortliche Stelle. Neben Versicherungen, die auf Basis der Fahrdaten neue Tarifmodelle anbieten[23], kommen hier vor allem sämtliche Anbieter von Services und Apps, die über das Infotainmentsystem betrieben werden können, als Verpflichtete in Betracht[24]. Ob die hierdurch zu erwartende Informationsflut dem Verbraucher tatsächlich dienlich ist oder nicht vielmehr die Intransparenz noch verstärken kann, muss in der Praxis genau ausgelotet werden. Einen Zwang zur Wahrnehmung der bereitgestellten Datenschutzinformationen gibt es jedenfalls nach beiden Regelungsregimen nicht.
Eine Unterrichtung „zu Beginn des Nutzungsvorgangs“ wie in § 13 Abs. 1 Satz 1 TMG und ähnlich auch in § 4 Abs 3 BDSG[25] gefordert, sieht der SPY CAR Act indessen nicht vor. Damit könnte die Regelung in den USA möglicherweise darauf hinauslaufen, dass zwar detaillierte Erläuterungen über die Erhebung und Nutzung von Daten existieren, diese jedoch in Menüs und Handbüchern untergebracht werden können, sodass sie für den Nutzer, der nicht aktiv danach sucht, so gut wie unsichtbar sind. Die nach deutschem Recht erforderliche Unterrichtung zu Beginn des Nutzungsvorgangs bedeutet im Rahmen von Webseiten üblicherweise die Erreichbarkeit „innerhalb von maximal zwei Klicks“[26]. Bei Apps verlangt der Düsseldorfer Kreis eine Hinterlegung von Datenschutzbestimmungen im Appstore, was wohl auf die Apps für Infotainmentsysteme zu übertragen sein dürfte[27]. Bezüglich der übrigen Systeme im Connected Car muss die jeweils verantwortliche Stelle eine andere Lösung zur rechtzeitigen Information finden. Eine sichere Lösung dürfte das Auftauchen eines Informationsfensters bei einem ersten Start (bzw. bei Mietwagen bei jedem Start) darstellen. Soweit die Datenerhebung unter die Cookie-Richtlinie fällt[28], dürfte im Übrigen nicht nur eine transparente Erläuterung, sondern auch ein vorheriges Einverständnis notwendig sein[29].
d) Opt-out für „driving data“ nach dem SPY CAR Act
Im Hinblick auf die Kontrolle über die erhobenen Daten geht der Entwurf für die USA ungewöhnliche Wege, indem eine ausdrückliche Verpflichtung zur Implementierung einer „Opt-out“-Erklärung bezüglich der Erhebung und Speicherung von „driving data“ gefordert wird[30]. Damit der KfzHersteller den Nutzern ihr Opt-out nicht von vorneherein durch den Hinweis auf den damit drohenden Verlust von Funktionalitäten ausredet, ordnet der SPY CAR Act an, dass im Fall eines Opt-outs der Zugang zu Navigationsgeräten und anderen „features“[31] voll bestehen bleiben soll[32]. Diese Vorgabe wird allerdings insoweit wieder aufgeweicht, als sie nur gilt, soweit dies technisch möglich ist[33]. Unter dem Strich dürfte damit das Ausschalten von Features in Folge eines Opt-outs in vielen Fällen legitim sein. Im Übrigen steht das Sammeln von Daten bei einer Reihe von Sicherheitssystemen, wie den amerikanischen Black-Boxen für Kfz[34], ebenfalls nicht zur Disposition des Fahrers[35].
e) Keine vergleichbare Konstruktion in Deutschland aufgrund allgemeiner Erlaubnistatbestände
Hier zeigt sich, wie sehr sich die Datenschutzsysteme der USA und in Europa unterscheiden. Mangels eines allgemeinen Verbots mit Erlaubnisvorbehalt für die Erhebung von personenbezogenen Daten bestehen in den USA auch keine entsprechenden allgemeinen Erlaubnistatbestände. Die Erhebung von Daten ist in den USA grundsätzlich erlaubt. Vor diesem Hintergrund ist es eine Besonderheit, dass eine Optout-Möglichkeit gewährt werden muss.
In Deutschland ist hier vielfach ein Erlaubnistatbestand vorgelagert, der, an sich betrachtet, keine Opt-out-Möglichkeit beinhaltet. So kommen im Bereich Connected Car insbesondere die Nutzung von Bestandsdaten und Nutzungsdaten nach §§ 14 und 15 TMG und die Verarbeitung von übrigen Daten bzw. Inhaltsdaten[36] im Rahmen der Durchführung eines Vertrages in Betracht. So kann insbesondere zur Durchführung von Versicherungsverträgen oder Serviceverträgen mit Automobilherstellern die Erhebung von Fahrzeugdaten notwendig sein. Sowohl die Serviceverträge als auch die vertraglichen Beziehungen hinter der Nutzung eine Telemediums laufen für den Nutzer auf die gleiche Situation hinaus: Ein separates Opt-out ist nicht möglich. Entweder kündigt man den Vertrag und verzichtet auf den Service und das Telemedium oder man akzeptiert die dafür notwendige Erhebung von Daten.
Freilich ergibt sich durch dieses Alles-oder-nichts-Prinzip unter dem Strich auch so etwas wie eine sehr radikale Optout Möglichkeit für einen deutschen Nutzer: Sofern ein Nutzer sämtliche Verträge rund um ein Connected Car kündigt und sämtliche Einwilligungserklärungen widerruft, ist jede weitere Datenerhebung rechtswidrig, soweit man von gesetzlich zwingenden Systemen wie dem E-Call absieht[37]. Dies wird man auch im Rahmen der Bewertung der AGBrechtlichen Angemessenheit von Vertragslaufzeiten zu berücksichtigen haben.
f) Opt-in für Werbung gemäß SPY CAR Act erforderlich
Zu Werbezwecken ist ein Opt-In nach dem SPY CAR Acts für sämtliche Daten erforderlich, die durch ein Kraftfahrzeug gesammelt werden[38]. Die Regelung gilt allerdings nur für die Nutzung der Daten zu Werbezwecken durch Automobilhersteller und damit nur für einen sehr begrenzten Teil der Akteure, die in Zukunft rund um das Automobil als Plattform Dienste anbieten werden[39]. Dies bedeutet, dass der Autohersteller für die Verwendung von Fahrzeugdaten eine umfassende Einwilligungserklärung benötigt, selbst wenn er diese etwa im Rahmen einer SmartphoneApp zu Werbezwecken nutzt. Demgegenüber dürften etwa Google, Apple, Navigon, TomTom bzw. sonstige Betreiber eines Connected Car Betriebssystems oder Navigationssystems in Amerika sämtliche ihnen verfügbare Daten (inklusive der durch ein Kraftfahrzeug erhobenen Daten) zu Werbezwecken ohne Beschränkung durch den SPY Car Act of 2015 verwenden.
g) Abgleich mit Anforderungen in Deutschland
Mit der Vorgabe, dass ein Opt-in für Werbung erforderlich ist, geht der Entwurf des SPY CAR Acts sogar über die Vorgaben des europäischen Datenschutzrechts hinaus. Denn zum einen darf derzeit gemäß § 15 Abs. 3 TMG auch ohne Opt-in ein pseudonymisiertes Persönlichkeitsprofil aus den Daten des Kfz erstellt und für gezielte personenbezogene Werbung eingesetzt werden. Inwieweit zum anderen die Nutzung von Daten für Werbung ohne Einwilligung innerhalb und außerhalb des Listenprivilegs zulässig ist, ist nach der Reform von 2009 zu einer sehr komplexen Frage geworden[40]. Auch wenn die deutschen Datenschutzaufsichtsbehörden bislang auf dem Standpunkt stehen, dass das legitime Interesse nicht zur Rechtfertigung der Nutzung von personenbezogenen Daten für Werbung herangezogen werden kann[41], ist darauf hinzuweisen, dass auf europäischer Ebene anders gedacht wird[42], was sich mit Sicherheit auf die Anwendung der DSGVO in Deutschland auswirken wird.
III. IT-Security-Privacy-Regelungen des Entwurfs
a) Verpflichtung zum Schutz von allen Zugängen vor „Hacking“
Im Bereich der IT-Sicherheit werden den allgemeinen gesetzlichen Regeln über die Sicherheit von Kraftfahrzeugen durch den Entwurf neue Regeln hinzugefügt[43]. Grundsätzlich müssen demnach sämtliche Zugangspunkte („entry points“) von elektronischen Systemen in Kraftfahrzeugen über angemessene Maßnahmen zum Schutz vor HackingAngriffen verfügen[44]. Sowohl Zugangspunkte als auch Hacking werden weit definiert. Unter Hacking versteht der SPY CAR Act jeden unautorisierten Zugang zu elektronischen Kontrollsystemen oder „driving data“, unabhängig davon, ob der Zugang über eine Funkverbindung oder Kabelverbindung erfolgt[45]. Jede Schnittstelle, die direkt oder indirekt einen Zugriff auf „driving data“ ermöglichen könnte, gilt als ein Zugangspunkt[46].
Grundsätzlich erfasst die Definition also auch Schnittstellen außerhalb eines Kfz, soweit diese indirekt einen Zugriff auf „driving data“ erlauben. Wenn etwa eine Smartphone App mittelbar den Zugang zu den Daten eines Kfz ermöglicht, könnte auch die App bzw. das Smartphone, welches den Zugang zu App ermöglicht, als ein „entry point“ gesehen werden. Es ist nicht ausschlossen, dass letztlich jeder, der mittelbar den Zugriff auf die elektronischen Systeme eines Kfz ermöglicht, durch den Entwurf verpflichtet ist. Zumindest kann jedem, der gegen die genannte Vorgabe verstößt, ein Bußgeld in Höhe von 5.000 USD für jeden einzelnen Verstoß auferlegt werden[47].
b) Unterschied zu den Vorgaben aus § 9 BDSG
Vergleichbare Regelungen fand man in Deutschland bislang allenfalls in den Konzepten der Zugangs- und der Zugriffskontrolle gemäß der Anlage zu § 9 BDSG[48]. Freilich ist der Entwurf der USA hier ein wenig präziser, indem er an jeder Schnittstelle Schutz vor unautorisierten Zugriffen („Hacking“) verlangt. Diese Anforderung lässt sich allerdings zumindest mittelbar auch noch aus der Definition der Zugangskontrolle und der Zugriffskontrolle der altehrwürdigen IT-Sicherheitsregeln des BDSG[49] herleiten.
Auf den ersten Blick ergibt sich in der Praxis auch kaum ein Unterschied aufgrund der Tatsache, dass sich § 9 BDSG nur auf personenbezogene Daten bezieht. Denn letztlich dürften in modernen Connected Cars nahezu sämtliche Daten für mindestens eine verantwortliche Stelle einer Person zuordenbar sein[50].
Vor dem Hintergrund, dass sowohl § 9 BDSG als auch der Entwurf des SPY CAR Acts lediglich „angemessene Schutzmaßnahmen“ zur Verhinderung von unautorisierten Zugriffen verlangen, ergibt sich jedoch auf den zweiten Blick aufgrund der divergierenden Zielsetzung der Rechtsvorschriften ein Unterschied in der teleologischen Auslegung. Während sich die Angemessenheit im Rahmen von § 9 BDSG anhand der Gefahren für das allgemeine Persönlichkeitsrecht der Betroffenen bemisst, muss sich die Angemessenheit im Rahmen der Maßnahmen nach Sec. 30129 (a)(2)(A) SPY CAR Act an der möglichen Gefährdung des Lebens und der Gesundheit durch einen Hacking Angriff messen lassen. Diesem höheren Schutzniveau, welches der SPY CAR Act fordert, entsprechen auch die weiteren IT-Sicherheitsvorgaben, die weiter unten besprochen werden und die in Deutschland bislang keine entsprechende Regelung erfahren haben.
c) Vergleich mit „neuem“ § 13 Abs. 7 TMG
Als Bestandteil des IT-Securitygesetzes[51] wurde jüngst eine allgemeine IT-Sicherheitsregel für Telemedien geschaffen, die im Vergleich zu § 9 BDSG eine noch deutlichere Ähnlichkeit zu der oben genannten Regelung des SPY CAR Act aufweist, jedenfalls was die Vielzahl der Telemedien in Connected Cars anbelangt. Gemäß § 13 Abs. 7 Satz 1 Nr. 1 TMG muss ein geschäftsmäßiger[52] Telemedienanbieter sicherstellen, dass kein unerlaubter Zugriff auf die technischen Einrichtungen möglich ist, die durch das jeweilige Telemedium genutzt werden[53]. Dies bezieht sich ausdrücklich auch auf die Vermeidung von Störungen, die durch äußere Angriffe bedingt sind[54]. Mit anderen Worten: In Deutschland besteht bereits eine klare Regelung, die jedem Anbieter von Telemediendiensten für Connected Cars vorschreibt, dass die Telemedien so sicher sein müssen, dass ein unautorisierter Zugriff auf das Infotainmentsystem und sämtliche weiteren durch die Telemedien genutzten technischen Einrichtungen des Automobils nicht möglich ist. Freilich besteht auch hier die Einschränkung, dass die gesetzliche Anforderung nur in dem technisch möglichen und zumutbaren Rahmen besteht[55]. Soweit sich für die Infotainmentsysteme App-Stores etablieren und zahlreiche Drittanbieter Apps für Connected Cars zur Verfügung stellen, wird dieser Markt von vielen Akteuren bestimmt werden, die in ihrer wirtschaftlichen Leistungsfähigkeit weit hinter den Möglichkeiten eines Automobilherstellers zurückliegen. Aufgrund des Schädigungspotentials spricht allerdings viel dafür, dass der Maßstab der „wirtschaftliche Zumutbarkeit“ hierbei nicht zu gering angesetzt werden darf. Unter dem Gesichtspunkt einer möglichen Haftung nach einem hackingbedingten Unfall muss darauf hingewiesen werden, dass § 13 Abs. 7 TMG auch als Schutzgesetz i.S.d. § 823 Abs. 2 BGB zu verstehen ist[56].
d) Weitergehende Verpflichtungen des SPY CAR Acts
In einigen Punkten geht der Entwurf des SPY CAR Acts – im Gegensatz zu den gesetzlichen Regelungen in Deutschland – über die allgemeine Vorgabe zum Schutz vor Hacking hinaus, indem hier weitaus konkretere Vorgaben gemacht werden. So sollen die Sicherheitsmaßnahmen insbesondere die Isolierung von kritischen und nicht-kritischen Softwaresystemen beinhalten[57]. Als kritisch wird ein Softwaresystem dann betrachtet, wenn es Auswirkungen auf die Kontrolle des Fahrers über das Kraftfahrzeug haben kann.[58]
Zudem wird durch den SPY CAR Act klar vorgegeben, dass jedes Kfz mit der Fähigkeit ausgestattet werden soll, „Hacking“ sofort zu bemerken und sämtliche entsprechenden Vorgänge aufzuzeichnen. Zudem soll bereits softwareseitig und/oder hardwareseitig vorgesehen werden, dass die Systeme autark Versuche unternehmen sollen, das Abfangen von „driving data“ oder die unautorisierte Kontrolle über das Kfz zu verhindern[59]. Es wird also verlangt, dass das System automatisch auf alles reagiert, was als „Hacking“ eingestuft wird.
Des Weiteren sieht der Entwurf ein regelmäßiges Review der getroffenen Sicherheitsmaßnamen vor[60]. Hierbei sollen nsbesondere auftretende Sicherheitslücken (security vulnerabilities) gemäß gängigen Branchenstandards evaluiert werden. Explizit erwähnt der Entwurf hier auch die Durchführung von Penetration Tests als regelmäßige Maßnahme. Auf Basis der bekannten Sicherheitslücken und durchgeführten Penetration Tests sollen die Sicherheitsmaßnamen dann angepasst werden[61].
e) Vergleich mit deutschen IT-Sicherheitsvorgaben
Der deutsche Gesetzgeber hat sich in seiner IT-Security-Gesetzgebung – Abgesehen von den oben dargestellten Ansätzen in § 13 Abs. 7 TMG – noch nicht zu ähnlich konkreten Maßnahmen durchgerungen[62]. Der amerikanische Entwurf enthält eine Reihe von Aspekten, wie etwa die Isolierung von Systemen, ein regelmäßiges Review der Sicherheitsmaßnahmen inklusive Penetration Test und automatisierte Maßnahmen zur Entdeckung, Aufzeichnung und Bekämpfung von Hacking. Diese Vorgaben finden sich zwar in ITSicherheitsstandards, wie dem BSI-Grundschutz, haben jedoch bislang in Deutschland keinen Gesetzesrang. Dennoch lassen sie sich gewiss auch als Maßnahmen nach § 9 BDSG verstehen. Soweit sich aber in Deutschland nach einem Schadensereignis im Zusammenhang mit Carhacking die Frage der Verantwortung und Schadensersatzpflicht stellt, muss hierzulande im Rahmen des Begriffs der Fahrlässigkeit oder der Auslegung des „Standes der Technik“ oder der „Angemessenheit“ der Maßnahme nach § 9 BDSG diskutiert werden, welche Anforderungen im Rahmen der IT-Security bei Automobilien bestanden. Gegenüber diesen unbestimmten Rechtsbegriffen ist es zu bevorzugen, auf möglichst viele der oben genannten abstrakten Vorgaben wie Trennung kritischer Systeme, Implementierung von Abwehrmaßnahmen, Durchführung eines Penetrationtests usw. als Vorgabe mit Gesetzesrang verweisen zu können. In einem nächsten Schritt müsste dann nur noch gefragt werden, inwiefern das Unterlassen der Befolgung der Verpflichtung kausal für das Schadensereignis war.
IV. Autofahrerdatenschutzgesetz und/oder Connected-Car-IT-Security-Gesetz?
Es drängt sich durch den US-amerikanischen Entwurf die Frage auf, ob nicht ein Autofahrerdatenschutz auch für Deutschland und Europa erforderlich wäre. Ein Autofahrerdatenschutzgesetz wird seit einigen Jahren vor allem von Bönninger an verschiedenen Stellen gefordert[63]. Andere forderten in der Vergangenheit zumindest Änderungen im BDSG[64]. Eine Bewertung solcher Forderungen soll im Folgenden kurz aus einem inhaltlichen Blickwinkel und der Perspektive der DSGVO erfolgen.
Über die Inhalte von Sonderregeln über den Autofahrerdatenschutz ließe sich viel diskutieren. So könnte man etwa anmerken, dass die allgemeine gesetzliche Erlaubnis zur Erstellung eines pseudonymisierten Nutzerprofils gemäß § 15 Abs. 3 TMG vielleicht etwas weitgehend für die Telemedien im Automobilbereich ist. Die Erstellung eines Nutzerprofils des Kfz könnte immerhin auch die gefahrene Strecke mit bestimmten Verhaltensweisen im Kraftfahrzeug und der Nutzung des Internets durch die Infotainmentsysteme durch entsprechende Analyticsdienste kombinieren.
Auf der zweiten Ebene muss jedoch klar der eingeschränkte Spielraum des Gesetzgebers gesehen werden. Die DSGVO wird nach ihrem Inkrafttreten in ihrem Anwendungsbereich einen Geltungsvorrang vor sämtlichen nationalen Regelungen haben[65]. Eine Ausnahmeregelung für „Connected Car“ ist in den Entwürfen bislang nicht enthalten. Die Frage nach einem nationalen Autofahrerdatenschutzgesetz stellt sich vor diesem Hintergrund als rein theoretisch heraus. Ein solches Gesetz könnte schwerlich noch vor dem Inkrafttreten und der Anwendbarkeit der DSGVO[66] erlassen werden.
Für den Bereich der IT-Security stellt sich die Frage des Spielraums des Gesetzgebers auf den ersten Blick unter anderen Vorzeichen. Zum einen dürfte sich relativ leicht eine Mehrheit für Vorgaben wie die Isolierung von kritischen Systemen in Kfz, softwareseitige Maßnahmen zur Entdeckung, Aufzeichnung und Bekämpfung von Hacking und ein regelmäßiges Review inklusive Penetration finden lassen. Schließlich fördern diese Vorgaben die IT-Sicherheit im Kfz und sind zugleich abstrakt genug, um nicht durch den Fortschritt in absehbarer Zeit obsolet zu werden.
Zum anderen dürfte die Gesetzgebungskompetenz der europäischen Nationalstaaten hier weniger durch die Datenschutzgrundverordnung blockiert sein. Freilich stellt sich an dieser Stelle aber das Problem, dass das Datenschutzrecht traditionell eng verknüpft ist mit der Regelung des technischen Datenschutzes. Die DSGVO wird materiell anwendbar sein auf „die Verarbeitung von personenbezogenen Daten“[67]. Hierzu gehört wohl nach allgemeinem Verständnis auch die Regelung von Vorgaben im Bereich der technischen und organisatorischen Schutzmaßnahmen für personenbezogene Daten. Soweit die DSGVO im Bereich der technischen und organisatorischen Schutzmaßnahmen detailliertere Vorgaben enthalten wird – wie etwa im Entwurf des Parlamentes vorgesehen[68] – stellt sich die Frage, inwieweit der nationale Gesetzgeber darüber hinaus eine Regelung auf diesem Gebiet schaffen kann. Soweit jedenfalls die Hauptzielrichtung der Regelung der Schutz von personenbezogenen Daten ist – was man bei § 13 Abs. 7 TMG aufgrund der systematischen Stellung in Abschnitt 4 des TMG („Datenschutz“) zumindest diskutieren kann[69] – dürfte die Regelung der DSGVO Vorrang haben. Es käme hier also auf den konkreten Zuschnitt eines hypothetischen Kfz-ITSicherheitsgesetzes an. Soweit etwa Vorgaben dahingehend lauten, dass die Software zur Steuerung des Motors von der übrigen IT eines Kfz isoliert werden muss, so liegt diese Regel schwerpunktmäßig ganz klar außerhalb des Bereichs des Datenschutzrechts und müsste somit durch die Nationalstaaten regelbar sein.
V. Fazit
Aus der Perspektive des Entwurfs zum SPY CAR Act betrachtet fallen deutsche Unzulänglichkeiten wie etwa die weitestgehend fehlenden Detailvorgaben im Bereich IT-Security/technischer Datenschutz auf. Dem für Amerika vollkommen untypischen strengen Opt-in-Erfordernis der Nutzung von personenbezogenen Daten zu Werbezwecken steht ein deutsches und europäisches wesentlich liberales Recht gegenüber. Von einem Autofahrerdatenschutzgesetz kann man halten was man will – es wird angesichts der DSGVO in Deutschland nicht mehr kommen. Was hierbei allerdings bleibt, ist die Frage, inwiefern IT-Security Vorgaben durch den deutschen Gesetzgeber in Zukunft überhaupt gemacht werden können, wenn diese Vorgaben zugleich auch den technischen Datenschutz regeln. Dieser gehört nach bisherigem – freilich aber nicht aktiv diskutiertem – Verständnis nämlich zur Regelungsmaterie der DSGVO. Dies wirft ein neues Licht auf die mögliche Funktion einer Selbstverpflichtungserklärung der Automobilindustrie[70]. In puncto Datenschutz und IT-Sicherheit kann sich die Automobilbranche hier selbst Regeln schaffen, deren Materie dem nationalen Gesetzgeber weitestgehend entzogen ist. Zumindest aber können Präzisierungen für die Zeit der Geltung der Datenschutzgrundverordnung vorgenommen werden. Die DSGVO ist zwar angetreten, um moderne Phänomene wie Bigdata, Smarthome, Connected Car, Industrie 4.0, Internet der Dinge, Social Media usw. adäquater zu regeln als die Richtlinie aus der „Steinzeit des Internets“. Tatsächlich werden nationale Sondertatbestände, die über die wenigen allgemeinen Ermächtigungsgrundlagen hinausgehen, jedoch weitestgehend verschwinden. Vor diesem Hintergrund sind alle denkbaren Präzisierungen – und wenn sie auch nur in Form von Spiegelstrichen und Bulletpoints daherkommen wie die Selbstverpflichtung der Automobilbranche – willkommen. Zudem zeigt die gesamte Diskussion, dass ein Schlussstrich noch lange nicht gezogen werden kann. Dem sich gerade erst entwickelnden Geschäftsfeld Connected Car entspricht die sich entwickelnde Diskussion um Datenschutz in Automobilen und das sich langsam erst entwickelnde Bewusstsein des Gesetzgebers, dass hier eventuell eine ganz eigene neue Regelungsmaterie existiert. Es bleibt spannend!
Dr. Lutz M. Keppeler ist Rechtsanwalt in der unabhängigen deutschen Kanzlei Heuking Kühn Lüer Wojtek. Er berät nationale und internationale Mandanten aller Größe (vom Startup zum Weltkonzern) zu allen Fragen des Datenschutzrechts, IT-Sicherheitsrecht und Open Source-Lizenzrechts. Zu den genannten Themengebieten hält er regelmäßig Vorträge
[1] Siehe hierzu jüngst Hollenen/Probst/Winters, CR 2015, 63.
[2] Edward J. Markey aus Massachusetts (Democratic Party) und Richard Blumenthal aus Connecticut (Democratic Party) .
[3]Http://www.markey.senate.gov/news/press-releases/sens-markeyblumenthal-introduce-legislation-to-protect-drivers-from-auto-security-privacy-risks-with-standards-and-cyber-dashboard-rating-system.
[4] Im Original: “A Bill to protect consumers security and privacy”.
[5] Was vorwiegend an den beiden Sicherheitsforschern Chris Valasek and Charlie Miller liegen dürfte (Siehe etwa Valasek/Miller, A Survey of Remote Automotive Attack, 2014 (http://illmatics.com/remote%20attack%20surfaces.pdf); Auch das erste „Handbuch“, welches Sicherheitslücken in Autos zeigt, stammt aus den USA: Craig Smith, Car Hacker‘s Manual, Paperback 2014 (Volltext Abrufbar unter http://opengarages.org/handbook/). Siehe zudem die Umfrage zu IT-Sicherheit bei Automobilherstellern der Universität von Michigan (Überblick http://www.nbcnews.com/business/autos/car-hacking-newfear-drivers-tech-loaded-vehicles-n78046). Eine entsprechende flankierende Forschung scheint bislang jedenfalls in Deutschland noch kaum unternommen worden zu sein.
[6] Das Gesetz wird zwei Jahre nach dem Erlass von bestimmten Verordnungen anwendbar sein, wobei für den Erlass der Verordnungen wiederum ein Zeitraum von maximal 18 Monaten gegeben ist (Chapter 301 of title 49, United States Code Sec. 30129 (a) (1) und Sec. 27 (a) FTC-Act.
[7] 15 U.S.C §§ 41-58.
[8] Siehe https://www.ftc.gov/about-ftc. Vor allem für den Datenschutz in regulierten Sektoren und für die Durchsetzung auf Ebene der Einzelstaaten sind mitunter andere Behörden zuständig.
[9] Die ganz überwiegende Zahl der US-Datenschutzgesetze dient dem Schutz des US-Bürgers gegen Akte der staatlichen Gewalt.
[10] 15 U.S. Code § 57c–3 = Sec. 27 des FTC-Act Sec. 27 (a)
[11] „Unfair and deceptive act or practice“ im Sinne von Sec. 18(a)(1)(B) des Federal Trade Commission Act (15 U.S.C 41 et seq) von verstanden
[12]Https://www.ftc.gov/taxonomy/term/307/type/case; Nach dem Report für 2014 wurde die FTC in über 130 spam und Spyware Fällen und über 40 allgemeinen Datenschutzklagen tätig (https://www.ftc.gov/system/files/documents/reports/privacy-data-security-update-2014/privacydatasecurityupdate_2014.pdf).
[13]Https://www.ftc.gov/news-events/press-releases/2012/08/googlewill-pay-225-million-settle-ftc-charges-it-misrepresented.
[14] Siehe hierzu Keppeler, MMR 2015, Dezemberausgabe.
[15] Art. 79 ff. der Entwürfe der DSGVO sehen einen deutlich höheren Bußgeldrahmen vor. Im Fall des Parlamentsentwurfs von bis zu 100.000,00.
[16] Sec. 27 (b) FTC Act
[17] Sec. 2 (a) (D) des Entwurfs, soll eingefügt werden als Chapter 301 of title 49, United States Code in section 30102(a)(7)
[18] Sec. 27 (b) FTC Act.
[19] 49. U.S.C. Sec. 32303 (c) (2) (Sec. 3 SPY CAR Act).
[20] Sec. 27 (b) FTC Act.
[21] Art 13a DSGVO Entwurf des Parlaments.
[22] Siehe zu den verschiedenen Betroffenen Weichert, SVR 2014, 201, 204
[23] Siehe hierzu Lüdemann/Sengstacken/Vogelpohl, RDV 2014, 302.
[24] Vgl. Weichert, SVR 2014, 201, 205.
[25] Dies ergibt sich nicht aus dem Wortlaut von § 4 Abs. 3 BDSG ist aber gleichwohl anerkannt, Scholz/Sokol, in: Simitis BDSG 4. Aufl. 2014, § 4 Rn. 56; Gola/Schomerus, BDSG 12. Aufl. 2015, § 4 Rn. 29.
[26] Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 13 TMG, Rn. 8.
[27] Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter, S. 18f.; siehe hierzu auch Sachs/Meder, ZD 2013, 303, 305 f.
[28] Also entweder Informationen auf dem Endgerät, also dem KFZ, gespeichert werden oder ein „Zugriff auf Informationen“ stattfindet, „die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ (Art. 5 Abs. 3 RL 2002/58/EU)
[29] Siehe zum Problem der Nichtumsetzung der Cookie RL Schleipfer RDV 2011, 170; Rauer/Ettig, ZD 2014, 27
[30] Sec. 27 (c) (1).
[31] Im Original: „navigation tools or other features or capabilities“.
[32] Sec. 27 (c) (2)
[33] Ein Navigationsgerät kann etwa ohne die Standortbestimmung des Fahrzeugs und Übersendung der Positionsdaten an einen Satellit nicht funktionieren.
[34]http://abcnews.go.com/Technology/MellodyHobson/car-black-boxrecords-key-data/story?id=9814181.
[35] Sec. 27 (d) FTC Act.
[36] Siehe zur Abgrenzung zwischen TMG-Daten und Inhaltsdaten im Connected Car Weichert, SVR 2014, 201, S. 203.
[37] Siehe hierzu Lüdemann/Sengstacken, RDV 2014, 177.
[38] „Any information collected by a motor vehicle“.
[39] Siehe hierzu etwa http://www.mckinsey.de/internet-im-auto-wirdmarktgewichte-der-industrie-massiv-veraendern.
[40] Roßnagel/Jandt, MMR 2011, 86; Eckhardt/Rheingans, ZD 2013, 318
[41] Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke, Ziff. 1.3 S. 4.
[42] Siehe Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, S. 59 mit den Beispielsfällen Nr. 4 und 5.
[43] Hauptsächlich wird Sec. 30129 mit dem Titel „Cybersecurity standards“ in Kapitel 301, Titel 49 des United States Code eingefügt.
[44] Sec. 30129 (a)(2)(A).
[45] Sec. 30102 (a)(9).
[46] Sec. 30102 (a)(8).
[47] Sec. 30129 (b)
[48] Siehe zu Zugangskontrolle und Zugriffskontrolle ausführlich Ernestus in: Simitis, BDSG, § 9, Rn. 88 ff.; Gerlach, CR 2015, 581, 583 betont hierzu, dass jedenfalls die Zugriffkontrolle nur den Schutz „von innen“ bezwecken soll.
[49] Die Vorgängernomen des jetzigen Katalogs stammen von 1990 (siehe Ernestus in: Simitis, BDSG, § 9 S. 47).
[50] Siehe Lüdemann, ZD 2015, 247, 249; Weichert, SVR 2014, 201, 204.
[51] Gerlach, CR 2015, 581.
[52] Vorschlag zur teleologischen Reduktion des Begriffes bei Gerlach, CR 2015, 581, 581f.
[53] Gerlach, CR 2015, 581
[54] § 13 Abs. 7 Satz 1 Nr. 2b TMG.
[55] § 13 Abs. 7 Satz 1 TMG.
[56] Gerlach, CR 2015, 581, 589.
[57] 30129 (a) (2) (B) 49. U.S.C.
[58] 49 U.S.C. Sec. 30102a (C)(3).
[59] 49 U.S.C. Sec. § 30129 (a)(4).
[60] 49 U.S.C. Sec. 30129 (a)(2)(C).
[61] 49 U.S.C. Sec. 30129 (a)(2)(D).
[62] Siehe hierzu allgemein Gerling, RDV 2015, 167; Roth, ZD 2015, 17; Ders., MMR 2015, 636.
[63] Bönninger, Beitrag zum 52. VGT; ders., Gastbeitrag im Handelsblatt vom 13.03.2014 (http://www.handelsblatt.com/technik/it-internet/cebit2014/gastbeitrag-datenjagd-auf-autofahrer-der-spion-in-meiner-garage/9595192.html). Siehe auch http://www.freiepresse.de/NACHRICHTEN/SACHSEN/Der-glaeserne-Autofahrer-artikel8690901.php; mit Bezug zu einem Workshops der Arbeitsgemeinschaft Verkehrsrecht im Deutschen Anwaltsverein (DAV http://www.auto.de/ magazin/mehr-datenschutz-fuer-europaeische-autofahrer/; mit Bezug zum 16. Sächsischen Verkehrssicherheitstag http://www.autohaus.de/nachrichten/ecall-wie-sicher-sind-meine-daten-1541655.html.
[64] Lüdemann von der Technischen Hochschule Osnabrück in seinem Beitrag in Köln (http://www.rdv-online.com/serie/datenschutz-im-vernetzten-auto-teil-1).
[65] Dies folgt aus Art. 288 Abs. 2 AEUV; siehe auch Roßnagel/Kroschwald, ZD 2014, S. 495; Keppeler, MMR 2015.
[66] Vermutlich Anfang 2018 (siehe Art. 91 DSGVO).
[67] Art. 2 Abs. 1 DSGVO.
[68] Art 30 DSGVO.
[69] Andere Auffassung Gerlach, CR 2015, 581, 581.
[70] Siehe die Selbstverpflichtung mehrerer europäischer Automobilhersteller: http://www.acea.be/publications/article/acea-principles-ofdata-protection-in-relation-to-connected-vehicles-and-se; Für eine Selbstverpflichtung Sörup/Marquardt, ZD 2015, 310; Generell zu Selbstverpflichtungen Schröder, ZD 2012, 418.