Konnektivität im Straßenverkehr geht mit der Verarbeitung großer Datenmengen einher. Viele Daten sind personenbezogen und sensibel. Wegen seines fragwürdigen Datenschutzverständnisses steht gerade besonders Tesla in der Kritik.
Konnektivität bringt nicht nur Sicherheit und Komfort, sondern produziert auch immer mehr Daten. Diese Datenflut birgt auch Risiken.
metamorworks / Getty Images / iStock
Das vernetzte Auto ist ein Musterbeispiel für das Internet of Things. Mittels Sensoren und Aktuatoren sind die Fahrzeuge dabei in der Lage, mit ihrer Umwelt zu interagieren, Informationen zu sammeln, miteinander zu kommunizieren und so die gewonnenen Daten untereinander auszutauschen. Und diese Daten werden auf unterschiedliche Art und Weise genutzt: "Vernetzte Fahrzeuge verarbeiten Daten zu vielfältigen Zwecken, beispielsweise Daten über das Verhalten der eigenen Komponenten, über die (Mit-)Fahrer und über die Umgebung. Außerdem produzieren sie Daten, die sich ebenfalls weiterverarbeiten lassen", erklärt die Springer-Autorin Marit Hansen im Buchkapitel Gestaltungsoptionen im Internet vernetzter Autos des Buches Grundrechtsschutz im Smart Car Handelt es sich dabei um personenbezogene Daten, so sind die Vorgaben des Datenschutzrechts zu beachten.
In dem US-amerikanischen Unternehmen Tesla als einer der Vorreiter bei der Auto-Digitalisierung wird das Thema Datenschutz wie in einem Brennglas gebündelt: So gehöre Tesla zu einem der technologischen Vorreiter auf dem Gebiet der Connected Cars, wie Springer-Autor Heinrich Holland im Buchkapitel Anwendungen und Potenziale von Connected Cars des Buches Dialogmarketing und Kundenbindung mit Connected Cars betont. Daher lohnt es sich, das Angebot dieses Unternehmens genauer zu betrachten. Denn die Datengenerierung im Auto ist nicht nur ein möglicher Zugewinn an Sicherheit, Komfort und Umweltverträglichkeit. Die Datenflut birgt auch Risiken.
In einem Rechtsgutachten des früheren schleswig-holsteinischen Datenschutzbeauftragten Thilo Weichert für das Netzwerk Datenschutzexpertise untersucht dieser die personenbezogene Datenverarbeitung im Modell 3 von Tesla und die von dem Unternehmen hierbei eingesetzten Allgemeinen Geschäftsbedingungen. Das Gutachten kommt zu dem Ergebnis, dass dabei in vieler Hinsicht gegen europäische Datenschutzregeln sowie gegen Verbraucherschutzrecht verstoßen wird. Wegen der Datenschutzverstöße dürften diese Fahrzeuge laut Weichert auf europäischen Straßen nicht zugelassen werden. Im Detail ergeben sich laut Gutachten folgende Verstöße gegen die europäischen Vorgaben des Datenschutzes und des Verbraucherschutzes:
Gegenüberstellung DSGVO-Vorgabe und Tesla-Verstoß
DSGVO-Vorgabe | Teslas Verstoß laut Gutachten des Netzwerks Datenschutzexpertise |
Zweckbindung Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Anhand des Verarbeitungszwecks lässt sich feststellen, ob die Verarbeitungsgrundsätze der Datenminimierung, Richtigkeit und Speicherbegrenzung eingehalten werden. Siehe Buchkapitel: Materielle Anforderungen aus dem Buch EU-Datenschutz-Grundverordnung (DSGVO) | Tesla benennt für die jeweilige Datenverarbeitung keine präzisen Zwecke und verstößt damit gegen Art. 5 Abs. 1 lit. b DSGVO |
Rechtmäßigkeit der Verarbeitung Prinzipiell unterliegt jegliche Verarbeitung personenbezogener Daten einem Verbot mit Erlaubnisvorbehalt. Aus diesem Grund muss jede Datenverarbeitung für ihre Rechtmäßigkeit auf einer konkreten Rechtsgrundlage beruhen. Die wichtigsten Rechtsgrundlagen sind in Art. 6 Abs. 1 DSGVO normiert. Demnach können Datenverarbeitungstätigkeiten nur rechtmäßig erfolgen, sofern sie von der Einwilligung der betroffenen Personen oder einem anderen Erlaubnistatbestand gedeckt sind. Siehe Buchkapitel: Materielle Anforderungen aus dem Buch EU-Datenschutz-Grundverordnung (DSGVO) | Tesla gibt nicht an, auf welcher Rechtsgrundlage gemäß Art. 6 Abs. 1 UAbs. 1 DSGVO die jeweils von ihr vorgenommene Datenverarbeitung basiert. |
Datenminimierung und Erforderlichkeit Der Grundsatz der Datenminimierung darauf abzielt, die Datenerhebung im Verhältnis zum Verarbeitungszweck auf das kleinstmögliche Maß zu reduzieren. Die Erforderlichkeit der Verarbeitung ist mittels einer Zusammenschau des Verarbeitungszwecks und der Vertragsklauseln zu bestimmen. Siehe Buchkapitel: Materielle Anforderungen aus dem Buch EU-Datenschutz-Grundverordnung (DSGVO) | Tesla genügt nicht den Anforderungen an die Datenminimierung und die Erforderlichkeit bei der Datenverarbeitung gemäß Art. 5 Abs. 1 lit. c, 6 Abs. 1, 25, 32 DSGVO. Tesla ist insbesondere mitverantwortlich für die nicht erforderliche, umfassende, uneingeschränkte Videoüberwachung und die darauffolgende Verarbeitung sowohl im Fahr- wie auch im Parkmodus, wenn der Wächtermodus eingeschaltet ist. |
Transparenz und Modalitäten Um eine angemessene Kommunikationsweise mit den betroffenen Personen zu gewährleisten ist der Verantwortliche zur Schaffung geeigneter Informationsmaßnahmen verpflichtet. Diese allgemeinen Transparenzpflichten und -modalitäten müssen bei jedweder Kommunikation mit den Betroffenen eingehalten werden. Siehe Buchkapitel: Rechte der betroffenen Personen aus dem Buch EU-Datenschutz-Grundverordnung (DSGVO) | Tesla benennt nicht die von ihr vorgenommene Datenverarbeitung und über die Betroffenenrechte in einer hinreichend "präzisen, transparenten, verständlichen und leicht zugänglichen Form in einer klaren und einfachen Sprache" und verstößt damit gegen Art. 12 Abs. 1 DSGVO. |
Informationspflichten Informationen in Bezug auf die geplante Verarbeitung der personenbezogenen Daten sollten der betroffenen Person zum Zeitpunkt der Erhebung der Daten zur Verfügung gestellt werden. Der Verantwortliche stellt der betroffenen Person auch dann Mindestinformationen bereit, wenn die Daten nicht direkt beim Betroffenen erhoben wurden, sondern der Verantwortliche sie aus anderer Quelle erhalten hat. Siehe Buchkapitel: Rechte der betroffenen Personen aus dem Buch EU-Datenschutz-Grundverordnung (DSGVO) | Tesla genügt nicht seiner Informationspflicht nach den Art. 13, 14 DSGVO, indem es unterlässt, über folgende Angaben präzise Informationen zu geben: Zwecke, Rechtsgrundlage, berechtigtes Interesse, fehlende Angemessenheit im Empfängerland, Speicherdauer. |
Internationale Datenübermittlung Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung in ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig, wenn folgende Bedingungen eingehalten werden: Rechtmäßigkeit von Datenverarbeitungstätigkeiten in der EU und angemessenes Datenschutzniveau im Drittland. Siehe Buchkapitel: Materielle Anforderungen aus dem Buch EU-Datenschutz-Grundverordnung (DSGVO) | Tesla übermittelt unter Verstoß gegen die Art. 44 ff. DSGVO Daten in die USA sowie evtl. in weitere Staaten ohne angemessenes Datenschutzniveau. |
Gemeinsam Verantwortliche Als gemeinsam Verantwortliche müssen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen. Gemeinsam Verantwortliche können die Zwecke der Verarbeitung gemeinsam festlegen mit der Konsequenz, dass sie gleichermaßen für den Datenschutz verantwortlich sind. Sie können den Prozess aber auch aufteilen und getrennt Verantwortung für die jeweiligen Verarbeitungsschritte übernehmen. In jedem Fall müssen gemeinsam Verantwortliche eine Vereinbarung zur Verteilung der Verantwortlichkeiten treffen. Siehe Buchkapitel: Anforderungen an die Datenschutzorganisation aus dem Buch EU-Datenschutz-Grundverordnung (DSGVO) | Tesla ignoriert die eigene datenschutzrechtliche Verantwortlichkeit beim Wächtermodus und schließt mit den Haltern keine nach Art. 26 DSGVO geforderte Vereinbarung ab. |
Allgemeine Geschäftsbedingungen Die §§ 305 ff. BGB regeln nicht den Inhalt von AGB-Klauseln, sondern erklären Klauseln für unwirksam, die von den gesetzlichen Regelungen, insbesondere Treu und Glauben, grob abweichen. Siehe Buchkapitel: Einführung in das AGB-Recht (§§ 305 ff. BGB) aus dem Buch Allgemeine Geschäftsbedingungen von IT-Verträgen. | Die AGB von Tesla verstoßen sowohl in formeller wie in inhaltlicher Hinsicht gegen die Vorgaben der §§ 305 ff. BGB. |
Checkliste: die wichtigsten datenschutzrechtlichen Pflichten
Für einen ersten Überblick über die datenschutzrechtlichen Pflichten nach der DSGVO fasst folgende Checkliste die wichtigsten Pflichten für datenverarbeitende Unternehmen zusammen.
Wichtig anzumerken ist: Tesla ist nicht der einzige Automobilhersteller mit einem fragwürdigen Datenschutzverständnis, wobei Teslas Auffassung ist, dass man sich im Einklang mit der Datenschutz-Grundverordnung befinde, wie der E-Auto-Hersteller der "Taz" mitteilte. Weil einige Konzerne wenig Transparenz hinsichtlich des Sammelns und Speicherns von Sensordaten zeigen, untersucht etwa der ADAC regelmäßig mithilfe von IT-Experten verschiedene Fahrzeuge. Allerdings ist die DSGVO aber auch aufgrund ihrer generell abstrakt-oberflächlichen Formulierungen interpretationsbedürftig, wie Springer-Autorin Marit Hansen im Buchkapitel Gestaltungsoptionen im Internet vernetzter Autos darstellt. Die abstrakte Formulierung der rechtlichen Norm werfe Fragen auf, was wer auf welche Weise konkret zu tun hat, so Hansen. Wie lassen sich die abstrakten rechtlichen Regelungen aber in konkrete Maßnahmen überführen?
Strategien für optimierten Datenschutz
Um die Verarbeitung personenbezogener Daten zu legitimieren, präsentiert zum Beispiel Springer-Autor Simon Schwichtenberg von der Universität Bremen einen dreistufigen Ansatz. Wie er im Buchkapitel Der dreistufige Ansatz des Datenschutzrechts – ein Regelungsmodell für das vernetzte Automobil (und darüber hinaus) erläutert, schlägt er eine Differenzierung zwischen Datenverarbeitungsvorgängen anhand ihres Zwecks vor: Datenverarbeitungsvorgänge, die keine Konsequenzen für die betroffene Person bezwecken (zum Beispiel intelligente Verkehrssysteme), sind grundsätzlich zulässig. Bezwecken sie hingegen Konsequenzen (zum Beispiel Pay-As-You-Drive-Tarife), ist für ihre Legitimation regelmäßig ein besonderer Erlaubnistatbestand oder eine Einwilligung der betroffenen Person erforderlich. Haben die Daten keinen Personenbezug, unterliegen sie nicht dem Datenschutzrecht und tragen nach diesem Konzept nur ein vertretbares "Restrisiko", missbraucht zu werden.