Automotive und Mobility05.08.2021 Newsletter
Datenschutz in der Automobilbranche
Zunehmende Vernetzung und Automation im Straßenverkehr, große Mengen an Fahrzeugdaten: In diesem hochdynamischen Umfeld entstehen derzeit neue „datengetriebene“ Geschäftsfelder für innovative Mobilitätsdienstleistungen. Über Schnittstellen erlauben moderne Fahrzeuge die Kommunikation mit anderen Geräten im „Internet of Things“ und ermöglichen häufig nicht nur den Automobilherstellern Zugriff auf im Auto erhobene Daten. Soweit in diesen und weiteren Konstellationen personenbezogene Daten genutzt werden, müssen sich die teilnehmenden Akteure mit der Zulässigkeit ihres Handelns nach europäischem und nationalem Datenschutzrecht befassen. In diesem Beitrag stellen wir Ihnen eine Auswahl an Themen vor, zu denen wir unsere Mandanten aus dem Automotive-Sektor beraten.
Personenbezug von Daten in und um das vernetzte Fahrzeug
Für nahezu alle Daten, die in und um das vernetzte Fahrzeug verarbeitet werden, gilt das Datenschutzrecht. In Bezug auf den Fahrzeughalter liegen bereits dann personenbezogene Daten vor, wenn ein Datum mit dem Kennzeichen oder der Fahrzeug-Identifizierungsnummer (FIN) verknüpft ist. Das gilt auch dann, wenn es sich bei den betreffenden Daten um rein technische Informationen wie Reifendruck, Motordrehzahl oder Verschleiß der Bremsbeläge handelt. Ist ein Fahrzeugführer nicht gleichzeitig Halter, kann er dadurch identifiziert werden, dass er einem personifizierten Account zugeordnet wird. Sonstige Verkehrsteilnehmer sind z. B. dann betroffene Personen im Sinne der DSGVO, wenn sie sich im Erfassungsbereich von im oder am Fahrzeug installierten Videokameras befinden. Wegen der hohen Aussagekraft von Videoaufzeichnungen lassen sich solche Verkehrsteilnehmer eventuell über den Umweg der Verknüpfung mit öffentlich zugänglichen Informationen identifizieren.
Der generelle Rechtsrahmen für die Verarbeitung personenbezogener Daten ergibt sich aus der DSGVO. Hiernach benötigt der Verantwortliche für jede Verarbeitung eine Rechtsgrundlage (sog. Verbot mit Erlaubnisvorbehalt). Als Verantwortlicher gilt diejenige Person, die Zwecke und Mittel der Verarbeitung festlegt. Das ist häufig der Hersteller des Fahrzeugs. Unter Verarbeitung versteht man sämtliche Vorgänge im Zusammenhang mit personenbezogenen Daten, etwa deren Erhebung, Speicherung, Analyse oder Übermittlung.
Die möglichen Rechtsgrundlagen nach der DSGVO ergeben sich aus Art. 6 und 9 DSGVO. Am häufigsten können Verarbeitungen auf der Basis einer Einwilligung (Art. 6 Abs. 1 S. 1 lit. a), zur Durchführung eines Vertrags mit dem Betroffenen (Art. 6 Abs. 1 S. 1 lit. b DSGVO) oder auf der Grundlage berechtigter Interessen (Art. 6 Abs. 1 S. 1 lit f DSGVO) gerechtfertigt werden. Bei der Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. b DSGVO (Durchführung eines Vertrags mit dem Betroffenen) ist zu beachten, dass sie nur herangezogen werden kann, soweit mit dem konkret Betroffenen tatsächlich ein Vertrag besteht. Im Automotive-Sektor kommt jedoch häufig nicht nur eine Person als Betroffener in Betracht (neben dem Halter auch weitere Fahrzeugführer und sonstige Verkehrsteilnehmer). Plant der Verantwortliche Verarbeitungen, bei denen nicht zu allen (potenziell) Betroffenen ein Vertragsverhältnis besteht, sind zusätzliche Rechtsgrundlagen heranzuziehen.
Zusammenarbeit mehrerer Akteure als gemeinsame Verantwortliche?
Die beschriebene Vernetzung von Fahrzeugen hat zur Folge, dass Automobilhersteller über Schnittstellen verstärkt Anbietern von Dienstleistungen Zugang zu Fahrzeugen und teilweise den dort gespeicherten Daten ermöglichen. Prominente Beispiele sind etwa Android Auto von Google und Apple Carplay. Smartphone-Nutzer können mit diesen Angeboten Apps in visuell optimierter Form auf dem Display ihres Fahrzeugs anzeigen lassen und nutzen.
Bei solchen und ähnlichen Kooperationen von Fahrzeugherstellern mit Dienstleistern stellt sich die Frage, wer datenschutzrechtlich für welche Verarbeitungen personenbezogener Daten verantwortlich ist. So liegt eher eine getrennte eigenständige Verantwortlichkeit beider Parteien vor, wenn sich Verarbeitungen von Fahrzeughersteller und Drittdienstleister funktionell in der Weise klar voneinander trennen lassen, dass sie jeweils eigenständig festlegen, ob und wie bestimmte Daten verarbeitet werden. Dabei sind die technischen Details der Funktionsweise des jeweiligen Dienstes entscheidend. Arbeiten Automobilhersteller und Dienstleister bei der Datenverarbeitung zusammen, liegt eine gemeinsame Verantwortlichkeit nach Art. 26 Abs. 1 S. 1 DSGVO nahe. Nach der „Fashion ID“-Entscheidung des Europäischen Gerichtshofs (EuGH) können bereits die Ermöglichung einer Verarbeitung durch einen Beteiligten und die Verfolgung gleichgerichteter Eigeninteressen beider Beteiligten eine gemeinsame Verantwortlichkeit begründen. Dann haften sie gemeinschaftlich (Art. 82 Abs. 4 DSGVO) und müssen einen besonderen datenschutzrechtlichen Vertrag (Art. 26 Abs. 1 S. 2 DSGVO) abschließen.
Einwilligung nach Regeln des TTDSG
Während Verantwortliche nach den Regeln der DSGVO häufig die Durchführung eines Vertrags oder ihre berechtigten Interessen als Rechtsgrundlage heranziehen können und eine Einwilligung daher nicht notwendig ist, kann sich die (zusätzliche) Einholung einer Einwilligung spezialgesetzlich aus dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) ergeben. Das Gesetz hat den Bundestag bereits passiert und tritt am 1. Dezember 2021 in Kraft.
§ 25 TTDSG sieht vor, dass die Speicherung von Informationen in „Endeinrichtungen“ oder der Zugriff auf dort bereits gespeicherte Informationen nur zulässig ist, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Eine Ausnahme des Einwilligungserfordernisses greift, wenn die Speicherung bzw. der Zugriff unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Dienst erbringen kann (§ 25 Abs. 2 Nr. 2 TTDSG).
Die Vorschrift setzt Vorgaben der europäischen ePrivacy-Richtlinie nahezu wortgleich in deutsches Recht um. Der Europäische-Datenschutzausschuss (EDSA) hatte in seinen Leitlinien zu Datenverarbeitungen im Kontext von vernetzten Fahrzeugen bereits klargestellt, dass die Vorschrift seiner Ansicht nach auch auf Fahrzeuge anwendbar sei, wenn diese mit einem öffentlichen Telekommunikationsnetz zur Versendung, Verarbeitung oder dem Empfang von Informationen verbunden seien (Rn. 12, 13 der Leitlinien).
Folglich müssen sowohl Fahrzeughersteller als auch Drittanbieter eine Einwilligung einholen, wenn sie etwa Standortdaten aus einem vernetzten Fahrzeug abrufen wollen. Ausnahmen greifen, wenn der Fahrer bzw. Halter des Fahrzeugs einen Dienst angefordert hat, der die Auslesung/den Zugriff unbedingt erfordert.
Autonomes Fahren: Einsatz von Kameras und weiterer Sensoren am Fahrzeug
Besonders relevant und derzeit viel diskutiert sind die Neuerungen, die das neue Gesetz zum autonomen Fahren mit sich bringt (wir berichteten in unserem Beitrag vom 6. Juli 2021). Der neue § 63a des Straßenverkehrsgesetzes (StVG) regelt jedoch nur die groben Rahmenbedingungen der Verarbeitung von „Zeit- und Positionsangaben“. Zudem bleiben zentrale Fragen zu Ort sowie Art und Weise der Speicherung offen und sind einer Rechtsverordnung des Bundesministeriums für Verkehr und digitale Infrastruktur vorbehalten (§ 63b StVG). Hier bleibt abzuwarten, ob sich der Verband der Automobilindustrie (VDA) mit seinem Vorschlag durchsetzen kann, Daten zentrale beim jeweiligen Fahrzeughersteller zu speichern (sog. NEVADA-Share & Secure-Konzept des VDA). Alternativ könnten Daten im Fahrzeug oder bei einem neutralen Datentreuhänder gespeichert werden.
§ 63a StVG umfasst seinem Wortlaut nach nicht die Verarbeitung von Kameraaufzeichnungen und weiterer Sensoren am Fahrzeug, die autonomes Fahren ermöglichen. Deshalb gelten hierzu aktuell alleine die Regelungen des allgemeinen Datenschutzrechts. Gerade für Verarbeitungen von Videoaufzeichnungen bestehen hohe Hürden. Möchten Fahrzeughersteller Aufzeichnungen zur Fortentwicklung von Algorithmen nutzen, kommt Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigte Interessen) in Verbindung mit dem Privileg für wissenschaftliche Forschung (Art. 89 DSGVO) als Rechtsgrundlage in Betracht.
Unabhängig hiervon ist die Verarbeitung von Aufzeichnungen sog. Dashcams zu beurteilen. Diese dient einem gänzlich anderen Zweck als die Sensorik zur Ermöglichung autonomer Fahrfunktionen – nämlich Beweiszwecken des Fahrers bzw. Halters. Dasselbe gilt für Kameras, die den Innenraum des Fahrzeugs aufzuzeichnen, um für sog. Pay-as-you-drive-Tarife von Autoversicherern das Verhalten des Fahrers zu analysieren.
Ausblick
Der dynamische Wandel in Automobilbranche bringt neben einer Vielzahl von Innovationen auch einige rechtliche Herausforderungen mit sich. Eine davon ist unzweifelhaft die Einhaltung datenschutzrechtlicher Anforderungen. Diese sollten trotz der schnellen Entwicklung immer von Anfang an mitgedacht werden. Andernfalls drohen Bußgelder, Schadensersatzansprüche oder Reputationsschäden.
Marco Degginger
Junior PartnerRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 365
M +49 162 1313 994