Um vollautonomes Fahren künftig realisieren zu können, sind eine Vielzahl an Daten nötig. Welche datenschutzrechtlichen Standards wichtig sind und was bei der Datenverarbeitung beachtet werden muss, erläutern die Gastautoren Matthias Bandemer und Jyn Schultze-Melling.
Für das autonome Fahren müssen die Fahrzeuge eine Vielzahl an Daten wie Sensordaten oder Bilddaten erfassen, verarbeiten und speichern.
Design Science Tech / stock.adobe.com
Auto-Insassen sind bereits heute bestens mit ihrem Fahrzeug vernetzt, um Fahrerprofile, Navigation, Stauinformationen, Apps und Board-Entertainment nutzen zu können. Automatisiertes Fahren durch Fahrassistenzsysteme wie Spurhalte-, Abstandsassistenten sowie Einparksysteme und andere Mehrwertdienste erleichtern das Fahren und ermöglichen dem Nutzer einen besonderen Komfort für unterwegs. Vollautonomes Fahren für die Masse ist zwar noch Zukunftsmusik, doch der Weg dafür wird bereits jetzt bereitet. Dabei sind die Erfassung sowie Speicherung von Daten maßgebend für die Entwicklung von vollautonom fahrenden Autos der Zukunft. Allerdings gibt es schon jetzt datenschutzrechtliche Hindernisse hinsichtlich der Speicherung, Verarbeitung und Weitergabe dieser Informationen.
Die EU-Datenschutzgrundverordnung (DSGVO) fordert nicht nur einen sicheren Umgang, sondern auch eine Verarbeitung auf Basis von Rechtsgrundlagen sowie Datensparsamkeit bei personenbezogenen Daten. Hierunter fallen beispielsweise Fahrerpräferenzen, Login-Daten, Bewegungsprofile oder das Beschleunigungs- und Bremsverhalten. Auch wenn Mobilitätsdaten mit beispielsweise der Fahrzeugidentifikationsnummer (FID) oder dem Kennzeichen zusammengeführt werden, entstehen daraus personenbezogene Daten. Hier kommt es dann zu einer zentralen datenschutzrechtlichen Problemstellung, die eine große Herausforderung darstellt: Wie können diese Daten sicher transportiert, genutzt und zudem der Datenschutz gewährleistet werden?
Erlaubnisvorbehalt und Zweckbindung der Datenverarbeitung
Im Datenschutzrecht gilt das grundlegende Prinzip des Verbots mit Erlaubnisvorbehalt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Möglichkeiten eine Erlaubnis zu erteilen sind gesetzliche Regelungen, Vertragsgrundlagen oder die freiwillige Einwilligung der Betroffenen. Weiterhin ist die Verarbeitung an festgelegte Zwecke gebunden, die im Nachhinein nicht geändert werden können.
So können zwar die Halter oder Fahrer des Fahrzeugs auf Basis des Nutzungsvertrags für die autonomen Fahrdienstleistungen einwilligen, dass ihre Daten erhoben, verarbeitet und gespeichert werden dürfen, andere Verkehrsteilnehmer, die sich außerhalb des oder in einem anderen (autonomen) Fahrzeug aufhalten, allerdings nicht. Hier können Autohersteller für ein automatisches Anonymisieren der Daten unbeteiligter Dritter sorgen, um sie im Einklang mit der DSGVO zu verarbeiten.
Ein weiterer Faktor ist, dass Daten auch für das Training von KI-Modellen benötigt werden, um künftige Geschäftsmodelle zu ermöglichen oder die autonomen Fahrfunktionen zu erweitern. Problematisch ist hier, dass der Zweck oftmals noch nicht genau feststeht. Auch hier helfen Anonymisierung oder Pseudonymisierung bei der datenschutzfreundlichen Technikgestaltung und der Herstellung des Vertrauens.
Eine weitere Herausforderung stellt die Datenweitergabe an Dritte dar. Sie ist nötig, um das Geschäftsmodell von multimodalen Mobilitätsplattformen zu ermöglichen und mehrere Verkehrsmittel zu einem durchgängigen Dienst ("von A nach B kommen") zu verknüpfen. Dass personenbezogene Daten für eine Vielzahl an Unternehmen einen hohen Stellenwert haben, ist mittlerweile kein Geheimnis mehr. Ein autonomes Auto wird in Zukunft also umso wichtiger für beispielsweise Versicherungen, Mehrwertdienste von verschiedenen Unternehmen oder auch Behörden und Carsharing-Anbietern sowie für die Hersteller selbst. Hier spielen die Transparenzpflicht und Information der Betroffenen eine große Rolle.
Im Fokus von Herstellern und Entwicklern
Die Automobilhersteller haben die Herausforderungen bereits erkannt und entwickeln stetig Lösungen, um sie zu meistern. Allerdings ist hier auch noch einiges zu tun. Die Implementierung eines umfassend integrierten Management Systems für Cyber- sowie Informationssicherheit und Datenschutz könnte der erste Schritt in die richtige Richtung sein. Das Weltforum für die Harmonisierung von Fahrzeugvorschriften der Vereinten Nationen (UNECE WP.29) entwickelt hierfür derzeit ein Regelwerk, das Cybersicherheit für die Zulassung neuer Fahrzeugtypen relevant wird. Hier steht vor allem der Betrieb eines zertifizierten Cybersecurity-Managementsystems (CSMS) sowie der Anwendung des CSMS auf den konkreten Fahrzeugtyp zum Zeitpunkt der Typzulassung im Vordergrund.
Ab 2022 wird dieses für die Hersteller verpflichtend, um die Sicherheit eines autonomen Autos überprüfen und monitoren zu können. So werden Fehler schnell gefunden, um anschließend sichere Technologien zu entwickeln. Deutlich komplexer wird es, wenn es um den internationalen Markt geht. Denn Länder außerhalb der EU haben andere Cybersicherheits- und Datenschutzgesetze, die in den Prozess integriert werden müssen. Bei der Cyber- und Datensicherheit darf es keinen Stillstand geben. Unternehmen müssen vielmehr stets mit dem Fortschritt der Technik Schritt halten und ihm im besten Fall sogar voraus sein.
Autohersteller werden so zu Softwareentwicklern, die sich allerdings nie zu 100 Prozent vor Hackerangriffen schützen können. Schwachstellen müssen daher möglichst schnell und mit geringem Schaden erkannt, behoben und isoliert werden. Dies fängt bereits bei der sicheren Durchführung von Software-Updates an, um die sensiblen Daten und Fahrzeugfunktionen vor Hackern zu schützen. Es geht jedoch um viel: Es muss gewährleistet sein, dass Unbefugte nicht von außerhalb auf das Fahrzeug zugreifen können, wenn dadurch die Sicherheit der Autoinsassen gefährdet wäre.
Hersteller und Entwickler sollten also ihren Fokus auf den Schutz der Fahrzeug-IT und einer sicheren Speicherung der personenbezogenen Daten legen. Damit der Fahrer eine gewisse Selbstbestimmung bewahren kann, welche Daten er preisgeben möchte und welche nicht sollten die Technologien von vorneherein datenschutzfreundlich entwickelt werden ("Privacy by Design").
Wer haftet bei einem Unfall mit Personenschaden?
Ein Thema, bei dem es noch offene Fragen gibt, ist die Haftung: Wer haftet beispielsweise bei einem Unfall, an dem ein autonomes Fahrzeug beteiligt ist, wenn dabei Menschen zu Schaden gekommen sind? Der Hersteller, Konstrukteur oder doch der Software-Entwickler? Die KI des autonomen Fahrzeugs wird aufgrund der gesammelten Daten und des KI-Modells autonom Entscheidungen treffen.
Schwierig wird es, wenn die KI in ein moralisches Dilemma gebracht wird und verschiedene Optionen abgewogen werden müssen, bei denen die Gefahr besteht, dass Menschenleben gegeneinander aufgerechnet werden. Hier verlassen wir den Rechtsbereich und kommen in den Bereich der Ethik. So hat die Ethikkommission des ehemaligen Verkehrsministers zentrale Kernaussagen getroffen, wie z.B. dass autonome Fahrzeuge ethisch nur dann vertretbar sind, wenn sie eine positive Risikobilanz aufweisen, sprich weniger Unfälle verursachen als menschliche Fahrer. Die Haftungsfrage im Falle eines Unfalls ist sehr komplex und wird stark diskutiert. Doch die Menschen haben schon immer neue Technologien eingeführt, mit dem Wissen um ihre Risiken, und haben versucht, diese zu verringern. Gleichwohl lassen sie sich nie vollkommen ausschließen.
Wenn sich die Hersteller, Technologieentwickler und die Nutzer von autonomen Fahrzeugen dieser Auswirkungen auf den Datenschutz bewusst sind und das Risiko eines Missbrauchs durch die entsprechenden Maßnahmen minimieren, können die Rechtsunsicherheiten gesenkt werden und das autonome Fahren auch im Hinblick auf den Datenschutz sicher sein.