Dialog mit dem Verband der Automobilindustrie
Der im Dezember 2014 begonnene Dialog der Da‑
tenschutzbehörden von Bund und Ländern mit dem
Verband der Automobilindustrie (VDA) hat mit einer
gemeinsamen Erklärung zu den datenschutzrechtli‑
chen Aspekten bei der Nutzung vernetzter und nicht
vernetzter Kraftfahrzeuge Anfang 2016 zu einem ersten
Ergebnis geführt (abrufbar unter www.datenschutz.
bund.de). Damit bekennen sich die durch den VDA
vertretenen Hersteller und Zulieferer zu den Prinzipien
des Datenschutzes. Insbesondere erkennen sie an, dass
Fahrzeugdaten jedenfalls dann personenbezogen sind,
wenn sie mit der Fahrzeugidentifikationsnummer oder
dem Kfz-Kennzeichen verbunden sind. Ein Prüfstein
für dieses Bekenntnis wird sein, in welcher Form die
Hersteller und Zulieferer ihren datenschutzrechtlichen
Transparenzpflichten nachkommen und ob Fahrzeug‑
daten tatsächlich nur mit Einwilligung der Halter und
gegebenenfalls auch der Fahrer und Beifahrer erhoben
und verarbeitet werden. Die Hoheit über die Fahrzeug‑
daten muss vollständig in den Händen der Fahrzeugnut‑
zer verbleiben, über deren Fahrverhalten die Fahrzeug‑
daten Aufschluss geben können. Dafür werde ich mich
im weiteren Verlauf des Dialogs einsetzen. Der Dialog
wird fortgesetzt, damit den mit dem Einzug der Digitali‑
sierung im Mobilitätssektor neu entstehenden Heraus‑
forderungen für den Schutz der Privatsphäre frühzeitig
begegnet werden kann.
Automatisiertes und Vernetztes Fahren
Mit der Digitalisierung im Automobil- und Verkehrs‑
sektor werden Cybersicherheit und Datenschutz auch
in diesem Bereich zu wichtigen Themen. So habe ich
im Berichtszeitraum das BMVI bei der Novellierung
des Straßenverkehrsgesetzes beraten, die mit dem Ziel
durchgeführt wurde, automatisierte Fahrfunktionen
für den Straßenverkehr in Deutschland zuzulassen.
Auf mein Betreiben hin wurde dabei insbesondere der
im Auto zu Beweiszwecken im Fall eines Unfalls zu
speichernde Datenumfang auf das notwendige Maß
beschränkt. Gespeichert werden dürfen nur Ort und
Zeitpunkt der Übernahme bzw. Abgabe der Fahrzeug‑
führung durch eine automatisierte Fahrfunktion und
Ort und Zeitpunkt des Auftretens einer Fehlfunktion. Bei
dem Erlass der Verordnung zur Regelung der techni‑
schen Details werde ich darauf achten, dass cybersichere
und die Privatsphäre schützende technische Anforde‑
rungen einen Datenschutz auf dem Stand der Technik
gewährleisten.
Darüber hinaus berate ich den vom BMVI eingerichteten
„Runden Tisch Automatisiertes und Vernetztes Fahren“,
der Industrie, Wissenschaft, Versicherer und Verbrau‑
cherschützer an einem Tisch versammelt. Hier werden
erste Antworten auf Fragen formuliert, die sich durch
technische Entwicklungen ergeben, die automatisierte
und vernetzte Fahrsysteme möglich machen sollen.
Schon jetzt zeichnet sich ab, dass solche Systeme die
Erhebung und Verarbeitung einer noch nicht überschau‑
baren Anzahl an personenbezogenen Daten notwendig
machen werden. Die dafür erforderlichen Vorkehrungen
in rechtlicher und technischer Hinsicht sind frühzeitig
zu bedenken, um den datenschutzrechtlichen Grundsatz
von Privacy by Design umsetzen zu können. Hier hat die
Bundesregierung im Energiebereich mit dem Gesetz zur
Digitalisierung der Energiewende Maßstäbe gesetzt, die
auch im Automobil- und Verkehrssektor zur Anwendung
kommen sollten. Als beispielhaft möchte ich vor allem
den Einsatz obligatorisch sicherheitszertifizierter Kom‑
munikationskomponenten erwähnen, mit denen der
Stand der Technik zum Schutz vor Cyberangriffen und
unkontrolliertem Datenabfluss verbessert wird. Auch
vernetzte Fahrzeuge sollten nur über solche Komponen‑
ten mit anderen Fahrzeugen, den Backend-Systemen
der Hersteller oder Dritten kommunizieren können,
die nach dem Vorbild des Smart-Meter-Gateways für die
Energiewirtschaft in einer technischen Richtlinie fest‑
gelegten Mindestanforderungen an die Cybersicherheit
und den Datenschutz erfüllen.
Auf meine Einladung haben am 1. Juni 2017 rund 130
Gäste in Berlin über Datenschutzaspekte der automa‑
tisierten und vernetzten Mobilität diskutiert. In einem
zum Symposium veröffentlichten Positionspapier habe
ich 13 Empfehlungen für den Datenschutz im vernetzten
und automatisierten Fahrzeug und in digitalisierten Ver‑
kehrssystemen formuliert (abrufbar unter www.daten‑
schutz.bund.de). So ist etwa für den reinen Fahrbetrieb
in der Regel keine Datenspeicherung erforderlich. Müs‑
sen Daten zwischen Fahrzeugen ausgetauscht werden,
sollten sie wirksam verschlüsselt und vor unbefugter
Nutzung geschützt werden. Auch sollte es Nutzerinnen
und Nutzern möglich sein, personenbezogene Daten zu
löschen, soweit die Speicherung nicht gesetzlich not‑
wendig ist. Diese Empfehlungen haben Eingang in einen
Beschluss der Internationalen Datenschutzkonferenz
gefunden, den diese auf ihrer 39. Tagung vom 25. bis 29.
September 2017 in Hongkong auf meine Veranlassung
hin gefasst hat (vgl. hierzu auch Nr. 2.5).
Car-to-Car-Kommunikation
In diesem Zusammenhang befasse ich mich auch mit
der sogenannten Car-to-Car-Kommunikation. Es handelt
sich hierbei um eine Technologie, die es Fahrzeugen
ermöglicht, über spezielle Funkverbindungen Fahr- und
Umweltdaten auszutauschen, um sich z. B. gegenseitig
vor Gefahrenstellen zu warnen oder selbstständig Kol‑
lisionen in Kreuzungsbereichen zu vermeiden. Die mir
vorliegenden Informationen lassen die Sorge wachsen,
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
37