Die Datenschutzgrundverordnung hat auch Auswirkungen auf die Erhebung und Verwendung von Daten beim autonomen Fahren. Über rechtliche Probleme klärt der Fachanwalt für Informationstechnologierecht, Malte Grützmacher auf.
Dr. Malte Grützmacher ist Fachanwalt für IT-Recht bei CMS Deutschland
Grützmacher
Springer Professional: Herr Grützmacher, welche Daten sollen beim automatisierten Fahren in der Blackbox gespeichert werden und wer bekommt Zugriff darauf?
Dr. Malte Grützmacher: Nach § 63a des Straßenverkehrsgesetzes (StVG) sollen Positions- und Zeitangaben gespeichert werden. Allerdings gilt das nur für die Daten zu drei Zeitpunkten, nämlich beim Wechsel der Fahrzeugsteuerung zwischen Fahrer und dem hoch- oder vollautomatisierten System, bei der Aufforderung des Fahrers durch das System, die Steuerung zu übernehmen, sowie schließlich beim Auftreten einer technischen Störung des Systems. Zugriff sollen die Behörden erhalten, die für die Ahndung von Verkehrsverstößen zuständig sind. Dritte, wie zum Beispiel Unfallbeteiligte, erhalten Auskunftsrechte zur Geltendmachung, Befriedigung oder Abwehr von Rechtsansprüchen.
Und was bedeutet die Datenschutzgrundverordnung im Hinblick auf das autonome und vernetzte Fahren?
Die DSGVO wirft zunächst einmal die Frage auf, in welchem Umfang, soweit es nicht um die Ermittlung und Verfolgung von Straftaten geht, personenbezogene Daten im Rahmen des § 63a StVG überhaupt erhoben und verarbeitet werden dürfen. Denn sie geht dem nationalen Datenschutzrecht grundsätzlich vor und lässt Abweichungen nur in bestimmten Bereichen und im begrenzten Umfang zu. Das wird auch für weitere im Rahmen von Telematikinfrastrukturen möglicherweise noch erforderliche Normen gelten.
Wie wirkt sich das Gebot der Datensparsamkeit aus?
Nach der DSGVO ist noch stärker auf eine Datenminimierung und die Vermeidung überflüssiger Datenverarbeitungsschritte zu achten (Privacy by Design). Anbieter und Player des Gesamtsystems "autonomes Fahren" müssen sich Gedanken darüber machen, wie sie den Auskunfts- und Löschrechten sowie dem Recht auf Portierung von personenbezogen Daten nachkommen können. Schließlich dürften die mit ihr drohenden Sanktionen in Form potenziell hoher Bußgelder so mache technische Lösung und so manches Geschäftsmodell im Graubereich oder gar im einfach noch nicht gerichtlich geklärten Bereich unterbinden.
In anderen Bereichen wurden die Zügel aber gelockert, ist das richtig?
Die DSGVO hat auf der anderen Seite die Formvorschriften mit Blick auf die Einwilligung und die sogenannte Auftragsverarbeitung abgesenkt. Unterschriften im herkömmlichen Sinne sind nicht mehr erforderlich. Das könnte gerade die für das autonome Fahren oft erforderliche "verteilte" Datenverarbeitung beziehungsweise die Verarbeitung über Verarbeitungsketten hinweg erleichtern. Hier bleibt aber abzuwarten, wie die für das echte autonome Fahren erforderlichen Infrastrukturen am Ende aussehen werden.
Inwieweit steht die DSGVO einer Datenausgabe im Wege?
Es ist, wie angedeutet, noch offen, inwieweit die DSGVO – ausgenommen im Bereich der Strafverfolgung – der Datenherausgabe im Rahmen des § 63 a StVG entgegensteht. In § 63a StVG nicht genannte Personen jedenfalls werden die Daten nicht ohne herausverlangen können. Ansprüche auf die Herausgabe der Daten gesteht die DSGVO im Übrigen nur den Betroffenen zu (Art. 20 DSGVO).
Und wie kann ich verhindern, dass meine Daten in falsche Hände geraten?
Der Schutz personenbezogener Daten ist immer eine Frage des Wettlaufs zwischen der Nutzung verbesserter technischer Schutzmechanismen und hoher Datensicherheitsstandard einerseits und neuartigen Malware und Hackern anderseits. Daneben spielt es eine große Rolle, wie sorgsam der Anbieter mit Daten umgeht. Entsprechende Zertifizierungen mögen das indizieren.
Letztlich bleibt daher der beste Schutz, möglichst wenig Daten von sich preiszugeben. Auch sind Angebote, die die pseudonymisierte Nutzung ermöglichen, zu bevorzugen. Dieses ist oft auch der Ansatz sogenannten Treuhändermodelle, bei denen regelmäßig nur der Treuhänder die Identität der betroffenen Person kennt. Allerdings ist gerade im Kontext des autonomen Fahrens die Datenminimierung der Treuhandlösung vorzuziehen. Das heißt, die Daten sollten – im Sinne einer Privacy by Design – das Fahrzeug ohne Anlass gar nicht erst verlassen.