Mobilität vs. DSGVO: Datenverarbeitung beim automatisierten und autonomen Fahren

Bei aller Offenheit technischer Entwicklungen gegenüber steht eines fest: Die Mobilität der Zukunft – von autonomem Fahren über E-Scooter bis hin zu Car-Sharing – kommt nicht ohne die Verarbeitung von personenbezogenen Daten aus. Damit gehen immense datenschutzrechtliche Herausforderungen einher, die sich unter der geltenden Rechtslage durch die DSGVO nur unzureichend bewältigen lassen.

Stefan Hessel und Monika Menz, Rechtsanwälte der auf Produkthaftung spezialisierten Wirtschaftskanzlei reuschlaw Legal Consultants, geben in diesem Beitrag einen kompakten Überblick zur Rechtslage für die Datenverarbeitung beim automatisierten und autonomen Fahren. Erfahren Sie von den Experten, welche Besonderheiten für die Mobilität der Zukunft gelten.

Automatisierte und autonome Fahrzeuge nutzen ein breites Spektrum an Kameras und anderer Sensorik, wie Radar oder LiDAR (von engl. Light Detection And Ranging), um die Umgebung zu beobachten. Für eine umfassende Erfassung der Umgebung kann darüber hinaus auch eine Kombination dieser Informationen mit GPS-Daten und Kartenmaterial erfolgen. Häufig lassen sich die erhobenen Daten direkt oder indirekt einer natürlichen Person, zum Beispiel dem Fahrer, Halter oder anderen Verkehrsteilnehmern, zuordnen. In diesen Fällen sind die Daten personenbezogenen und werden durch die Datenschutz-Grundverordnung (DSGVO) besonders geschützt. Auch Standortdaten oder individuelle Kennnummern sind in der Regel als personenbezogene Daten anzusehen. Für die Verarbeitung von personenbezogenen Daten gilt nach der DSGVO ein sogenanntes Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass für jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage benötigt wird. Liegt eine Rechtsgrundlage nicht vor, ist die Verarbeitung verboten und kann neben einem Bußgeld durch die Datenschutzaufsichtsbehörden, insbesondere auch Schadensersatzansprüche von Betroffenen zur Folge haben.

Insbesondere beim automatisierten oder autonomen Fahren gestalten sich die Suche nach der Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten und die Umsetzung der weiteren Pflichten nach der DSGVO jedoch häufig schwierig und trotz Versuchen auf nationaler Ebene durch neue gesetzliche Regelungen Hürden abzubauen, bleiben Probleme ungelöst.

Hauptadressat der Pflichten der DSGVO ist der datenschutzrechtliche Verantwortliche. Dabei ist noch ungeklärt, wer bei automatisierten und autonomen Fahrzeugen überhaupt als Verantwortlicher anzusehen ist. Grundsätzlich infrage kämen der Fahrer, der Halter, der Hersteller oder der Händler, der das konkrete Fahrzeug verkauft. Nach der DSGVO ist Verantwortlicher, wer über die Zwecke und Mittel der Datenverarbeitung entscheidet. Da der Hersteller technisch vorsieht, welche Daten zur Realisierung autonomen Fahrens verarbeitet werden, liegt es nahe, diesen als Verantwortlichen anzusehen. Allerdings hat der Hersteller in der Regel keinen Einfluss auf die konkrete Datenverarbeitung, da er das Fahrzeug nicht im Straßenverkehr betreibt. Darüber hinaus können bei bestimmten Features auch Konfigurationsmöglichkeiten bestehen. ­

In der Vergangenheit schritten mehrere Datenschutzaufsichtsbehörden etwa gegen Tesla-Halter ein, die im öffentlichen Verkehrsraum den Wächter-Modus (Sentry Mode) aktivierten und so die Umgebung mit einem intelligenten Kamera-System beobachteten. Die Berliner Polizei stufte Tesla-Fahrzeuge aufgrund ihrer Überwachungs- und Kameratechnik zuletzt sogar als „sicherheitsrelevante Gefährdung“ ein und diskutierte ein Zufahrtsverbot für die Liegenschaften der Polizeibehörde.

Nach der DSGVO ist eine Verarbeitung von personenbezogenen Daten zulässig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Wenn Daten mit dem Zweck verarbeitet werden, automatisiertes oder autonome Fahren zu ermöglichen, kommt dieser Tatbestand grundsätzlich in Betracht. Geht man davon aus, dass der Hersteller Verantwortlicher ist, weil er Zweck und Umfang der Verarbeitung der Daten bestimmt, müsste es allerdings zu einem Vertragsschluss zwischen dem Betroffenen und dem Hersteller kommen. Dies ist jedoch regelmäßig nicht der Fall, da in der Praxis zumindest ein Zwischenhändler involviert ist. Der Zwischenhändler hat allerdings keinen Einfluss darauf, welche Daten von dem Fahrzeug verarbeitet werden. Eine mögliche Lösung wäre, dass bei Konfiguration des Fahrzeuges ein weiterer Vertrag zwischen dem Halter oder Fahrer und dem Hersteller geschlossen wird. Für die Verarbeitung der personenbezogenen Daten von anderen Verkehrsteilnehmern scheidet diese Lösung von vornherein aus.

Eine weitere, in der Praxis bedeutsame, Rechtsgrundlage stellt die Einwilligung dar. Diese setzt nach der DSGVO eine freiwillige und informierte Erklärung des Betroffenen voraus, welche Daten zu welchem Zweck verarbeitet werden dürfen. Während eine Einwilligung des Fahrers oder Halters noch realisierbar erscheint, ist eine Einwilligung von anderen Verkehrsteilnehmern, wie zum Beispiel Passanten, unter praktischen Gesichtspunkten unmöglich. Verschärfte Anforderungen gelten zudem an die Einwilligung bei besonderen Kategorien personenbezogener Daten, wie zum Beispiel Informationen, aus denen die politische Überzeugung oder die sexuelle Orientierung hervorgeht, oder Gesundheitsdaten. Deren Verarbeitung ist, wenn im Vorbeifahren beispielsweise Aufnahmen von einer Demonstration oder von einer Person, die eine bestimmte Arztpraxis verlässt, angefertigt werden, nicht ausgeschlossen. Ein häufiges Praxisproblem bei der Einwilligung ist, dass diese jederzeit widerruflich ist und der Verantwortliche daher technisch und organisatorisch in der Lage sein muss, eine bereits begonnene Datenverarbeitung einzustellen.

Insbesondere bei der Verarbeitung der personenbezogenen Daten von anderen Verkehrsteilnehmern, die bereits bei der bloßen Erfassung durch ein Kamerasystem vorliegt, kommt ein berechtigtes Interesse an der Datenverarbeitung als Rechtsgrundlage in Betracht. Erforderlich ist jedoch, dass das berechtigte Interesse des Verantwortlichen (zum Beispiel die Gewährleistung der Verkehrssicherheit) die schutzwürdigen Interessen der Betroffenen (zum Beispiel Datenschutz und Privatsphäre) überwiegt. Zur Durchführung der Interessenabwägung haben Rechtsprechung, Datenschutzaufsichtsbehörden und die juristische Fachliteratur umfangreiche Kriterien entwickelt. Nach diesen ist etwa zu berücksichtigen: Die Erwartung der betroffenen Person, der Umfang der Datenverarbeitung und die Dauer der Beobachtung. Eine Verarbeitung auf Basis eines berechtigten Interesses ist daher auch beim automatisierten oder autonomen Fahren nicht in jedem Fall zulässig.

Werden personenbezogene Daten verarbeitet, treffen den Verantwortlichen nach der DSGVO umfangreiche Informationspflichten gegenüber dem Betroffenen. Diese umfassen unter anderem die Kontaktdaten des Verantwortlichen, die Zwecke der Datenverarbeitung und eine Angabe zu etwaigen Empfängern der Daten. Bei der Entwicklung und Erprobung von automatisierten und autonomen Fahrzeugen wurden die Informationspflichten bisher über Aufdrucke auf den jeweiligen Fahrzeugen gelöst. Für die Nutzung entsprechender Fahrzeuge im Privatbereich erscheint dies jedoch keine Lösung. Neben ästhetischen Aspekten dürfte es aus Sicht der Privatsphäre des Fahrzeughalters kaum tragbar sein, zukünftig nur mit einer Angabe von Kontaktdaten am Straßenverkehr teilnehmen zu können. Im Ergebnis erscheint die DSGVO daher an vielen Stellen inkompatibel mit den Erfordernissen des automatisierten und autonomen Fahrens in der Praxis. Da die Daten von anderen Verkehrsteilnehmern in der Regel nach der Erhebung direkt automatisiert werden und der Eingriff in die Privatsphäre daher äußerst gering ausfällt, erscheinen die Vorgaben auch ungerechtfertigt. Es wäre daher begrüßenswert, wenn die Gesetzeslage statt einer kaum zu erfüllenden und unpraktikablen Informationspflicht eine Zertifizierung des Anonymisierungsverfahrens erlauben würde.

Für bestimmte Fälle hat der deutsche Gesetzgeber in § 1g StVG speziell für das autonome Fahren eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten geschaffen. Danach ist der Halter eines Kraftfahrzeugs mit autonomer Fahrfunktion verpflichtet, bestimmte Daten beim Betrieb des Fahrzeugs in bestimmten Situationen wie Störungen im Betriebsablauf oder Unfällen zu speichern. Die Vorschrift erscheint insofern unglücklich, als dass sie den Halter als Verantwortlichen adressiert – dabei hat er auf die technische Ausgestaltung und die Möglichkeit der Speicherung, anders als der Hersteller, keinen Einfluss. Des Weiteren löst die Vorschrift außerhalb der dort genannten Situationen und Daten die aufgeworfenen datenschutzrechtlichen Probleme nicht.

Aufgrund der großen Menge personenbezogener Daten, die Fahrzeuge beim automatisierten und autonomen Fahren verarbeiten müssen, stellen sich in diesem Zusammenhang besonders viele datenschutzrechtliche Probleme. Jedoch werden auch bei der Nutzung von Car-Sharing oder den in Innenstädten omnipräsenten E-Scootern eine Vielzahl von personenbezogenen Daten verarbeitet. Auch hier müssen Anbieter auf rechtssichere Lösungen achten – damit ihr Geschäftsmodell nicht der Datenschutzaufsicht zum Opfer fällt.

Neben der DSGVO muss außerdem das zum 1. Dezember 2021 in Kraft getretene Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) beachtet werden. In dessen Anwendungsbereich fällt beispielsweise die Regelung zum Einwilligungserfordernis für die Speicherung von Informationen, wie zum Beispiel Cookies, auf Endeinrichtungen des Nutzers. Der Begriff der Endeinrichtung kann dabei denkbar weit verstanden werden und letztlich auch jede Art von Fahrzeug umfassen.

Aus all dem folgt, dass Hersteller und Anbieter von Mobilitätslösungen datenschutzrechtliche Anforderungen bei ihren Geschäftsmodellen frühzeitig mitdenken müssen, um rechtliche Risiken zu vermeiden. Manche Probleme erscheinen unter der gegenwärtigen Rechtslage jedoch schlicht unlösbar. Hier muss der Gesetzgeber tätig werden, um die Entwicklung innovativer Technologien nicht zu behindern. Ein Mobilitätsdatengesetz, wie es die Regierungsparteien bereits in ihrem Koalitionsvertrag angekündigt haben, wäre hierfür der richtige Ort.