noch Anlage 3
Bei „Offline“-Autos wird derjenige, der personenbezogene Fahrzeugdaten aus dem Fahrzeug ausliest (d. h.
erhebt) und anschließend verarbeitet, zur verantwortlichen Stelle. Hierbei wird es sich in der Regel um
Werkstätten handeln.
Auch wenn die Hersteller bei „Offline“-Autos regelmäßig mangels Erhebung nicht bereits beim „Entstehen“ der Daten verantwortliche Stelle sind, trifft diese unter anderem nach dem Gedanken „Privacy by Design“ dennoch eine Verantwortung im Hinblick auf den Datenschutz. Dies gilt insbesondere, weil der Hersteller im Rahmen seiner technischen Gestaltungsmöglichkeiten (Art und Umfang von Schnittstellen, Zugriffsmöglichkeiten, Verfolgung der in § 3a BDSG niedergelegten Grundsätze von Datenvermeidung
und -sparsamkeit) Einfluss auf die zeitlich nach hinten verlagerte Erhebung und Verarbeitung hat (vergleichbar der Regelung in § 6c BDSG). Sofern es um die technischen Gestaltungsmöglichkeiten geht, sind
die Hersteller auch bei dieser Fahrzeugkategorie als Ansprechpartner für die Datenschutzaufsichtsbehörden
anzusehen.
Bei „Online“-Autos sind diejenigen als verantwortliche Stellen anzusehen, die personenbezogene Daten erhalten, d. h. in der Regel die Hersteller und gegebenenfalls dritte Dienste-Anbieter. Insbesondere wenn Hersteller Zusatzdienstleistungen für das Kfz anbieten und dabei in ihren Backend-Servern Daten speichern,
sind sie verantwortliche Stelle für diese Datenverarbeitung.
4. Die Zulässigkeit der Datenerhebung und -verarbeitung kann sich insbesondere aus § 28 Abs. 1 S. 1
Nrn. 1 oder 2 BDSG, §§ 11 ff. Telemediengesetz oder aus einer Einwilligung ergeben, die den Voraussetzungen des § 4a BDSG genügt.
Wie die Informationen über Datenerhebungs- und -verarbeitungsvorgänge aufbereitet sein müssen, um Teil
des Vertrags oder Grundlage für eine ggf. relevante informierte Einwilligung sein zu können (ausführliche
Informationen im Sinne eines Verfahrensverzeichnisses oder strukturierte, überblicksartige Informationen),
bleibt Frage des Einzelfalls. Der Erstkäufer kann die notwendigen Informationen jedenfalls vom Verkäufer
(Hersteller oder herstellergebundener Händler) erhalten.
Grundsätzlich sind die wichtigsten Informationen zur Datenverarbeitung in allgemein verständlicher Form
auch in der Borddokumentation nachlesbar vorzuhalten, die der Hersteller bereitstellt.
5. Gegenüber dem Hersteller besteht ein unentgeltliches Auskunftsrecht des Halters über seine durch den
Hersteller erhobenen und gespeicherten personenbezogenen Daten nach § 34 BDSG. Darüber hinaus besteht aus § 34 BDSG kein datenschutzrechtliches Auskunftsrecht des Halters gegenüber dem Hersteller allein aufgrund dessen Gesamtverantwortung für die Gestaltung der datenspeichernden Systeme. Die Fahrzeughalter von „Offline“-Autos haben die Möglichkeit des Auslesens von Daten, ggf. mithilfe von Sachverständigen, was nicht zwingend unentgeltlich sein muss. Aufgrund des Transparenzgebots muss der Betroffene sich unentgeltlich und ohne sachverständige Hilfe über die Grundsätze der Datenverarbeitungsvorgänge einschließlich zumindest der Art der verarbeiteten personenbezogenen Daten beim Hersteller informieren können.
6. In Bezug auf die Datenhoheit sollen die Fahrzeugnutzer durch verschiedene Optionen über die Verarbeitung und Nutzung personenbezogener Daten selbst bestimmen können. Die Automobilhersteller streben an,
durch standardisierte Symbole im Cockpit den aktuellen Vernetzungsstatus des Fahrzeugs erkennbar anzuzeigen und Möglichkeiten der jederzeitigen Aktivierung und Deaktivierung dieses Status‘ vorzusehen. Einschränkungen der Löschbarkeit bestehen bei rechtlichen Verpflichtungen oder dann, wenn entsprechende
Daten im Zusammenhang mit Garantie- sowie Gewährleistungen oder der Produkthaftung von Bedeutung
– 204 –
BfDI 26. Tätigkeitsbericht 2015-2016