Aufsatz : Die datenschutzrechtliche Verantwortlichkeit im Rahmen des automatisierten Fahrens : aus der RDV 3/2020, Seite 111 bis 120
Eine exemplarische Untersuchung anhand des Fahrmodusspeichers
Um zu verhindern, dass Fahrer von automatisierten Fahrzeugen sich im Fall eines Unfalls oder Fehlverhaltens künftig pauschal auf ein Systemversagen berufen können, verpflichtet § 63a StVG zur Speicherung der Daten im Zusammenhang mit dem Wechsel der Fahrzeugsteuerung zwischen dem automatisierten System und dem Fahrer. Unbeantwortet bleibt insoweit aber bislang, wer nach der DS-GVO für diese Speicherung verantwortlich ist. Dieser Aufsatz soll einen Beitrag bieten, um diese Frage unter Berücksichtigung des Straßenverkehrs-, Datenschutz- und Haftungsrechts kohärent aufzulösen.
I. Einleitung
Die Entwicklung des autonomen Fahrens schreitet weiter voran. Auch wenn einige Automobilhersteller nach Ansicht der Wettbewerbshüter die Autonomiefähigkeit ihrer Fahrzeuge noch etwas zu optimistisch darstellen,[1] sind die technologischen Fortschritte unverkennbar. Weniger fortschrittlich hingegen ist bislang noch die Anpassung des Rechts an diese neue Technologie.
So ist insbesondere die datenschutzrechtliche Einordnung der Datenverarbeitung bei sog. hoch- und vollautomatisierten Fahrzeugen noch nicht vollständig geklärt. Diese zeichnen sich im Gegensatz zu tatsächlich autonomen Fahrzeugen der Stufe 5 dadurch aus, dass weiterhin die „Erforderlichkeit der eigenhändigen Fahrzeugsteuerung durch den Fahrer“ bestehen kann.[2] Das Fahrzeug muss in diesen Fällen in der Lage sein, den Fahrer bei Bedarf zur Übernahme der Fahrzeugsteuerung aufzufordern. Diese Aufforderung, der Wechsel der Fahrzeugsteuerung zwischen Fahrer und System sowie technische Störungen des Systems werden durch das Fahrzeug gemäß § 63a Abs. 1 StVG im sog. „Fahrmodusspeicher“ (FMS)[3] unter Einbeziehung der aktuellen Positions- und Zeitangaben protokolliert. Im Falle der Speicherung außerhalb des Fahrzeugs muss der Speicher außerdem logisch zwingend eine Kennung enthalten, die die Daten mit dem jeweiligen Fahrzeug verknüpft (z.B. amtliches Kennzeichen oder Fahrzeug-Identifizierungsnummer).
Wie ein solcher FMS auszugestalten ist, wird aktuell auch auf internationaler Ebene diskutiert. Geplant ist eine Regelung der UNECE[4] zu einem „Data Storage System for Automated Driving (DSSAD)“.[5] Nach derzeitigen Vorschlägen soll das DSSAD ein System bezeichnen, das darauf abzielt, durch die Speicherung eines Datensatzes ein klares Bild der wesentlichen Wechselwirkungen zwischen dem Fahrer und dem autonomen Fahrsystem zu vermitteln.[6]
Nachdem zunächst die Anwendbarkeit des Datenschutzrechts, d.h. das Vorliegen personenbezogener Daten, festgehalten (II.) und skizziert wird, welche Rollen als Verantwortlicher in Frage kommen (III.), konzentriert sich die Betrachtung einerseits auf die Definition des Verantwortlichen nach Art. 4 Nr. 7 DS-GVO (IV.) und andererseits auf die Regelungen der §§ 63a f. StVG (V.). Ergänzend wird die Möglichkeit der neuen Rolle des „Datentreuhänders“ besprochen (VI.) und schließlich ein Ausblick auf die weitere Entwicklung gegeben (VII.).
II. Verarbeitung personenbezogener Daten im Fahrmodusspeicher
Die im FMS aufgezeichneten Informationen sind personenbezogene Daten i.S.d. Art. 4 Nr. 1 DS-GVO, wenn sie sich auf eine betroffene Person beziehen, d.h. eine natürliche Person, die identifiziert oder zumindest identifizierbar ist. Identifizierbarkeit ist gegeben, sofern eine Zuordnung zu einer individuellen Person möglich ist, selbst wenn hierfür weitere Informationen, die legal und mit verhältnismäßigem Aufwand erreichbar sind, zur Hilfe genommen werden.[7] Soweit es sich bei dem Fahrzeughalter um eine natürliche Person handelt, ist dieser u.a. durch eine Halterabfrage nach § 39 StVG[8] identifizierbar, so dass personenbezogene Daten vorliegen.
Ist der Fahrzeughalter hingegen eine juristische Person,[9] kommt als natürliche Person nur der Fahrer in Betracht, auf den sich die Informationen beziehen könnten. Hierbei dürfte der Halter regelmäßig Kenntnis von der Identität des Fahrers haben. Für Dritte hängt die Identifizierbarkeit vom Mitwirken des Halters,[10] oder eigenen Informationsbeschaffungsmöglichkeiten[11] ab. Für den Personenbezug ist es dabei nach Art 4 Nr. 1 DS-GVO nicht erforderlich, dass der Betroffene namentlich erkennbar ist, es reicht eine Identifizierbarkeit anhand von Referenzdaten.[12] Bereits die Speicherung von GPS-Position und Zeitangabe im Moment des Wechsels der Fahrzeugsteuerung kann zur Identifikation anhand des konkreten Aufenthaltsortes führen.[13]
III. Beteiligte Rollen
Im Weiteren soll untersucht werden, wer für die Verarbeitung dieser personenbezogenen Daten verantwortlich ist. Als potentielle Kandidaten nennt der Bundesrat: Fahrer, Fahrzeughalter, Fahrzeughersteller oder den für den Vertrieb in Deutschland zuständigen Fahrzeughändler.[14]
Von Bedeutung sind die Hersteller, da sie die technischen Spezifikationen umsetzen und maßgeblich das Fahrzeug gestalten. Daneben besitzt der Halter die allgemeine Verfügungsgewalt, bestreitet die Kosten und zieht den Nutzen aus der Verwendung.[15] Der Fahrer selbst ist zentrale Figur des zivilrechtlichen Haftungs- sowie des Straf- und Ordnungswidrigkeitenrechts bei Verkehrsverstößen und Unfällen.
In ihrem Verhältnis untereinander sind für die Verantwortlichkeit generell folgende Varianten denkbar: Der Hersteller kann sowohl gegenüber Halter und Fahrer Verantwortlicher sein, der Halter nur gegenüber dem Fahrer und der Fahrer umgekehrt nur gegenüber dem Halter, wenn letzterer eine natürliche Person ist. Eine Verantwortlichkeit zwischen Halter und Fahrer ist indes immer dann ausgeschlossen, wenn sie personenidentisch sind oder die DS-GVO nach Art. 2 Abs. 2 lit c), EWG 18 DS-GVO nicht zur Anwendung kommt (Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten).
IV. Allgemeine Bestimmung der Verantwortlichkeit
Nach Art. 4 Nr. 7 DS-GVO ist Verantwortlicher „jede […] Person, die die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; […]“ Sind hingegen Mittel und Zwecke bereits rechtlich vorgegeben, kann auch die Verantwortlichkeit gesetzlich zugewiesen werden. §§ 63a, 63b StVG verpflichten zwar zur Datenverarbeitung, enthalten aber noch keine explizite Zuweisung des Speicheradressaten.
Art. 4 Nr. 7 DS-GVO entspricht ihrem Vorgänger in Art. 2 lit d) RL 95/46/EG (DS-RL).[16] Bereits damals wurde nach dem Vorschlag der Kommission die Entscheidungsbefugnis in den Mittelpunkt gestellt.[17] Diese soll aus einer „Analyse der faktischen Elemente und Umstände“ des Falls abgeleitet werden.[18]
1. Entscheidungsbefugnis über den Zweck
Der Zweck ist demnach das „erwartete Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet“ und das Mittel beschreibt die „Art und Weise, wie ein Ergebnis oder Ziel erreicht wird.“[19] In aktuellen Entscheidungen hob der EuGH mehrfach hervor, dass durch eine weite Definition des Begriffs des Verantwortlichen ein wirksamer und umfassender Schutz der betroffenen Personen gewährleistet werden soll.[20] Grundlegend kommt es darauf an, ob Daten zu eigenen Zwecken oder im Auftrag verarbeitet werden bzw. ob aus einem Eigeninteresse heraus Einfluss auf die Verarbeitung genommen wird. Dabei kann es ausreichen, dass ein Beitrag im Sinne einer Mitwirkung zur Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten geleistet wird.[21] Ein tatsächlicher Zugang jedes Verantwortlichen zu den Daten wird hingegen nicht gefordert, wenn eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DS-GVO vorliegt,[22] was auch vorliegend nicht ausgeschlossen ist.
a) Hersteller
Ein Eigeninteresse bzw. ein eigener Zweck könnte darin bestehen, dass sich der Fahrzeughersteller durch die Datenspeicherung gegen Haftungsansprüche zur Wehr setzen kann, soweit ein Geschädigter ein Versagen der automatisierten Systeme behauptet. Dagegen spricht aber, dass den Geschädigten als Anspruchsinhaber regelmäßig zunächst die Beweislast treffen wird, nachzuweisen, dass das System aktiv und damit kausal für einen Unfall war.[23]
Ein Eigeninteresse könnte an der Datennutzung zur Marktforschung oder zum Training von Algorithmen liegen. Diese Weiternutzung geht aber über den von § 63a StVG vorgezeichneten Zweck der Beweissicherung hinaus und müsste folglich auf eine andere Legitimationsgrundlage gestützt werden oder mit anonymisierten Daten erfolgen.
b) Halter
Da den Halter gemäß § 7 Abs. 1 StVG zunächst verschuldensunabhängig die Haftung trifft, kann er die FMS-Daten nicht zur Anspruchsabwehr nutzen.[24] Allerdings kann er über die Datenaufzeichnung erfahren, ob ein Unfall auf einem Systemfehler oder menschlichem Versagen beruht und er Fahrer oder Hersteller in Regress nehmen kann. In der Gesamtschau dient die Speicherpflicht im FMS allerdings vielmehr der Datenbereitstellung gegenüber Behörden und Dritten, die am Unfall beteiligt sind. Ein eigener Auskunftsanspruch des Halters ist hingegen gar nicht vorgesehen. Außerdem werden Zweifel daran geäußert, ob mit den nach § 63a StVG aufgezeichneten Daten der Beweis eines Systemfehlers gelingen kann.[25] Im Übrigen kann das Eigeninteresse des Halters freilich geringer ausfallen, wenn er zugleich Fahrer war und die Aufzeichnung die eigene Verantwortlichkeit belegt.
c) Fahrer
Die Datenspeicherung dient jedenfalls auch dem Zweck, dass es dem Fahrer im Falle eines Unfalls durch Systemversagen gelingen kann, einen gegen ihn gerichteten Schuldvorwurf positiv zu entkräften.[26] Der Fahrer ist gemäß § 18 Abs. 1 S. 2 StVG insoweit auch anders als nach § 823 Abs. 1 BGB beweispflichtig.[27] Das Eigeninteresse entfällt wie zuvor, wenn die Zurechnung eigenen Fehlverhaltens im Raum steht.
d) Zwischenergebnis
Weder beim Hersteller noch beim Halter oder Fahrer kann überzeugend ein eigenes Interesse bzw. eine Verfolgung eigener Zwecke durch die Datenspeicherung begründet werden. Trotz Ambivalenz kann am ehesten ein Eigeninteresse des Fahrers bestehen, um sich zu exkulpieren; beziehungsweise des Halters, um Regressansprüche erfolgreich durchzusetzen.
2. Entscheidungsbefugnis über die Mittel
Fraglich ist, ob einer der genannten Akteure über die „Art und Weise“, d.h. die Modalitäten der Verarbeitung entscheiden kann. Dies erscheint für den Fahrer selbst derzeit ausgeschlossen, da nach aktuellen Konzepten der FMS durch diesen nicht deaktiviert oder sonst beeinflusst werden kann.
a) Hersteller
Hier bestehen insoweit Zweifel, als nach § 63b Nr. 1 StVG insbesondere die „technische Ausgestaltung und der Ort des Speichermediums[28] sowie die „Art und Weise der Speicherung“ bereits durch Rechtsverordnung vorgegeben werden soll. Sollte die RVO hier allerdings nur grobe Vorgaben bzw. Leitlinien enthalten, könnte freilich wieder ein gewisser Entscheidungsspielraum auf Seiten des Herstellers entstehen. Dies erscheint aber aufgrund des umfassenden Katalogs der Norm bislang eher unwahrscheinlich. In § 63a Abs. 4 StVG ist darüber hinaus auch die Löschfrist und damit die Dauer der Datenverarbeitung festgeschrieben. Ein verbleibender Entscheidungsspielraum ist insoweit kaum mehr ersichtlich – wenn auch nicht ausgeschlossen.
b) Halter
Die Entscheidungsmöglichkeiten des Halters begrenzen sich auf eine Auswahlentscheidung. Inwiefern hier ein signifikanter Einfluss auf Mittel der Datenverarbeitung genommen werden kann, ist auch aus den folgenden Gründen fraglich: Obwohl das Datenschutzrecht an Produkthersteller, die nicht Verantwortliche sind, keine unmittelbaren Designanforderungen stellt, werden die Vorgaben zum FMS Bestandteil des Zulassungsrechts sein. So dürften die §§ 63a f. StVG wenn auch nicht ausdrücklich, so doch zumindest implizit die Pflicht enthalten, entsprechende Fahrzeuge mit den zur Erfüllung der Speicherpflicht erforderlichen Instrumenten auszustatten,[29] die den Anforderungen der Verordnung nach § 63b Nr. 1, 3 StVG entsprechen. Außerdem beschränkt § 1a Abs. 3 i.V.m. Abs. 1 StVG die Zulassungsfähigkeit automatisierter Fahrzeuge auf solche, die die UNECE-Regelungen einhalten bzw. eine entsprechende Typgenehmigung nach Art. 20 der RL 2007/46/EG erhalten haben.[30] Im Ergebnis kann der (potenzielle) Halter dann nur solche Fahrzeuge erwerben, deren FMS auch zulassungsrechtskonform arbeitet. Ihm verbleibt daher faktisch keine große Entscheidungsbefugnis über das Datenschutzniveau – sofern die RVO erschöpfend ist. Im Übrigen entzieht sich den Erwerbern von Fahrzeugen regelmäßig bereits die Kenntnis der Datenverarbeitungsvorgänge im Fahrzeug.[31]
3. Zwischenfazit
Fahrer und Halter haben zwar am ehesten ein Eigeninteresse an der Funktionalität des FMS, allerdings fehlt ihnen tatsächlich jede Einflussmöglichkeit auf technischer Ebene. Diese ist eher beim Hersteller anzusiedeln, wobei ihm wiederum ein positives Eigeninteresse fehlt. Im Gesamtergebnis lässt sich damit allein nach den Kriterien der DS-GVO die Verantwortlichkeit nicht sicher bestimmen.
V. Gesetzliche Zuweisung der Verantwortlichkeit nach §§ 63a, 63b StVG
Allerdings könnte in den §§ 63a, 63b StVG eine Zuweisung der Verantwortlichkeit i.S.d. Art. 4 Nr. 7 Hs. 2 DS-GVO enthalten sein. Voraussetzung ist, dass Zweck und Mittel der Verarbeitung durch das nationale Recht vorgegeben sind sowie das Vorliegen einer Öffnungsklausel für die mitgliedstaatliche Regelung, bspw. über Art. 6 Abs. 1 S. 1 lit. c oder e i.V.m. Art. 6 Abs. 3 DS-GVO.[32] In Frage käme die Annahme einer Verarbeitung im öffentlichen Interesse.[33] Die Regelung muss zusätzlich im angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen. Bedenken bestehen hinsichtlich der Speicherdauer. Denn nur im Falle eines Unfallereignisses besteht ein Grund die Daten des letzten Fahrzeugsteuerungswechsels vor dem Unfall dauerhaft zu speichern.[34] Dieser Aspekt soll an dieser Stelle aber nicht betrachtet werden.
Geht man davon aus, dass eine mitgliedstaatliche Regelung wie § 63a StVG DS-GVO-konform zulässig wäre, kann festgehalten werden, dass der Zweck (Beweissicherung) bestimmt wurde und Mittel (technische Ausgestaltung / Art und Weise der Speicherung) per RVO festgelegt werden sollen. Ebenso soll der Adressat der Speicherpflicht benannt werden. Ob die exekutive Bestimmung des datenschutzrechtlich Verantwortlichen in Verbindung mit einer wie hier zwingenden Datenerhebung im Sinne des Wesentlichkeitsgebots[35] verfassungsrechtlich zulässig ist, soll in diesem Aufsatz ebenfalls dahingestellt bleiben.
Fraglich ist aber jedenfalls, welcher Gestaltungsspielraum dem BMVI bei der Zuweisung der Verantwortlichkeit noch offensteht. Insoweit steht das BMVI vor der Herausforderung, eine Lösung finden zu müssen, die sowohl mit den Festlegungen in §§ 63a ff. StVG als auch mit den datenschutzrechtlichen Pflichten des Verantwortlichen nach DSGVO ein kohärentes Ergebnis bildet. Schließlich gilt es weitere verfassungsrechtliche Aspekte zu beachten.
Die Frage der Verantwortlichkeit bleibt in der Gesetzesbegründung ausdrücklich offen, soweit es heißt: „Die Verpflichtung zur Übermittlung der Daten trifft den Datenverantwortlichen.“[36] Damit brachte die Bundesregierung in ihrem Entwurf aber zumindest zum Ausdruck, dass ihres Erachtens ein vom Fahrer zu unterscheidender Datenverantwortlicher regelmäßig gegeben ist. Dagegen erkannte der Bundesrat, dass es noch einer Klärung, wen die Speicherpflicht treffen sollte, bedarf, und nannte insoweit auch den Fahrzeugführer.[37] Unter Berücksichtigung dessen hat der Ausschuss für Verkehr und digitale Infrastruktur daraufhin in § 63b Nr. 2 StVG die final auch übernommene Verordnungsermächtigung an das BMVI vorgeschlagen. Zur Begründung wird insoweit ausgeführt, dass die Anforderungen an den Datenspeicher in internationalen Vorgaben festgelegt werden[38] und diese so ins nationale Recht eingeführt werden können.[39]
1. Historie des § 63a Abs. 2 Satz 1 StVG
Erste Anhaltspunkte hinsichtlich der Verantwortlichkeit könnten sich aus der historischen Entwicklung des § 63a Abs. 2 S. 1 StVG ergeben. Diese Vorschrift regelt die Übermittlung der nach Abs. 1 erhobenen Daten an die nach Landesrecht für die Ahndung von Verkehrsverstößen zuständige Behörde und adressiert damit zwangsläufig ebenfalls den datenschutzrechtlich Verantwortlichen, denn eine isolierte Verantwortlichkeit für Speicherung oder Übermittlung derselben Daten erscheint kaum denkbar.
a) Ursprüngliche Entwurfsfassung
Ursprünglich als Verpflichtungsnorm[40] ausgestaltet, konnte die Norm einerseits so verstanden werden, dass die Vorschrift eine gesetzliche Schranke der informationellen Selbstbestimmung[41] setzt, die den Fahrer selbst zur Preisgabe der ihn betreffenden Daten zwingt. Andererseits denkbar war, dass sie eine Übermittlungspflicht nach Art. 6 Abs. 1 lit c) DS-GVO an den „Datenverantwortlichen“ richtet und damit für den Hersteller, einen vom Fahrer personenverschiedenen Halter oder einen Dritten (z.B. Treuhand) die Verantwortlichkeit indiziert. Trotz anders intendierender Gesetzesbegründung war nach diesem Wortlaut auch eine Festlegung des Fahrers grundsätzlich möglich.
b) Empfehlung des Ausschusses für Verkehr und Digitale Infrastruktur
In der endgültigen Fassung wurde Satz 1 auf Empfehlung des benannten Ausschusses nun jedoch als Befugnisnorm ausgestaltet.[42] Eine unmittelbare Anwendung auf den Fahrer erscheint hier denklogisch ausgeschlossen, da es keiner Befugnis bedarf, über die ihn betreffenden Daten verfügen zu “dürfen”.
Mit der Schaffung einer Befugnisnorm folgte der Gesetzgeber dem durch das BVerfG vorgegebenen Doppeltürmodell,[43] wonach die Übermittlungsbefugnis und die Erhebungsbefugnis jeweils eigenständige normative Ermächtigungen voraussetzen.[44] Die entsprechende Erhebungsbefugnis besteht bei Verkehrsverstößen nach StPO bzw. OWiG.[45] Ob indes eine gesonderte Übermittlungsbefugnis in der StVG erforderlich war, ist zweifelhaft. Teilweise wird vertreten, dass bereits § 95 StPO die entsprechende Übermittlungsbefugnis enthalte und daher im Zusammenspiel mit § 94 StPO eine entsprechende „Doppeltür“ bilde.[46]
Insgesamt lässt sich zwar bei diesem Hintergrund der Anpassung noch nicht zwingend schlussfolgern, dass der Gesetzgeber die Norm hinsichtlich des Adressaten bewusst reduziert hat. Im Übrigen ist denkbar, dass die Norm schlicht nur Fälle regeln soll, in denen ein vom Fahrer abweichender Verantwortlicher besteht, ohne dass dies durch die Norm als zwingend präjudiziert wird. Gleichwohl spricht der finale Wortlaut nun gegen den Fahrer.
2. Übermittlungspflicht nach § 63a Abs. 3 StVG
§ 63a Abs. 3 StVG enthält einen materiell-rechtlichen Auskunftsanspruch am Unfall beteiligter Personen (Dritte).[47] Auf Drängen des Ausschusses für Verkehr und digitale Infrastruktur wurde die ursprüngliche Fassung dahin geändert, dass der Fahrzeughalter explizit genannt wird.[48] Damit wird anders als in § 63a Abs. 2 der Normadressat ausdrücklich festgesetzt.
An der Bestimmung wurde kritisiert, dass die Regelung damit eine tatsächliche Zugriffsmöglichkeit durch den Halter vorsehe.[49] Dies ergibt sich aus dem Wortlaut indes nicht. Der Halter hat nach § 63a Abs. 3 StVG lediglich die Übermittlung an Dritte „zu veranlassen“. Diese indirekte Formulierung spricht eher dafür, dass der Halter selbst keinen tatsächlichen Zugang zu den Daten haben muss, sondern eine andere Person, z.B. den Hersteller, zur Übermittlung anweist oder zumindest auf die Mitwirkung einer weiteren Person wie etwa einer den Onboard-Speicher auslesenden Kfz-Werkstatt angewiesen ist.
Der Verpflichtete müsste das Vorliegen der Übermittlungsvoraussetzungen prüfen, wenn personenbezogene Daten an Dritte weitergeleitet werden. Auch hier wird kritisiert, der Halter sei für diese Prüfpflichten ungeeignet.[50] Dass der Hersteller geeigneter wäre, überzeugt allerdings nicht. Dieser wird regelmäßig keine Kenntnis von Unfällen haben und erst recht nicht von den Unfallbeteiligten. Der Halter hingegen ist entweder selbst Fahrer – dann droht keine datenschutzrechtliche Haftung – oder wird vom Fahrer über das Unfallgeschehen informiert.
Jedenfalls muss für die Bestimmung des Verantwortlichen beachtet werden, dass die Entscheidung für die Übermittlung nach § 63a Abs. 3 StVG explizit dem Halter zugewiesen ist und dieser somit eine wesentliche Rolle einnimmt.
3. Telos mit Blick auf den Speicherort
In engem Zusammenhang mit der Festlegung des Speicheradressaten steht die Bestimmung des Speicherorts, was ebenfalls durch RVO erfolgen soll (§ 63b Nr. 1 StVG). Um das Regelungsziel zu erreichen, ist unter beiden Gesichtspunkten zu bedenken, welche der Rollen ein Interesse daran haben, die Datenaufzeichnung zu manipulieren, Daten vorzeitig zu löschen oder Informationen zweckentfremdend zu nutzen. Als mögliche Speicherorte werden insbesondere der Onboard-Speicher im Fahrzeug sowie das Backend-System des Herstellers oder bei einer vertrauenswürdigen Stelle (Treuhand – hierzu Kap. 6) diskutiert.[51]
a) Speicherung im Fahrzeug (Onboard)
Diese Lösung stärkt die „Datenhoheit” des Fahrzeugbesitzers, d.h. desjenigen, der die Sachgewalt über das Fahrzeug ausübt, da ein Auslesen ohne dessen Kenntnis deutlich erschwert wird.[52] Gleichzeitig erhöht sich die Gefahr der Manipulation durch den Fahrer, um in Haftungs- oder Strafprozessen eine Verursachung durch das Fahrsystem zu suggerieren.[53] Ein personenverschiedener Halter hätte hingegen kein Manipulationsinteresse, könnte allerdings die Daten zweckentfremdend nutzen, bspw. zur Erstellung von Bewegungsprofilen.
Problematisch sind somit weiterhin die Rückgabe des Fahrzeugs an den Halter,[54] sowie die Veräußerung[55] und der Diebstahl[56] des Fahrzeugs. Einer Manipulation kann zumindest entgegengewirkt werden, indem ausschließlich Leseund keine Schreibrechte gewährt werden. Es verbleibt aber das Problem der Beseitigung des Fahrzeugs als Ganzes, etwa durch die genannte Veräußerung (ggf. auch ins Ausland) oder mutwillige Zerstörung.
b) Speicherung im Backend des Herstellers
Nicht zuletzt aufgrund dieser Schwierigkeiten bietet sich deshalb eine Speicherung in einem Backend-System an.[57] Beim Hersteller stellt sich hier allerdings die Problematik, dass im Haftungsfall kein Interesse desselben bestehen dürfte, am Nachweis eines Systemversagens mitzuwirken. Ganz im Gegenteil kommt auch hier in Betracht, dass der Hersteller die Daten vorzeitig manipuliert bzw. löscht, um einem gegen ihn gerichteten Haftungsprozess die Beweisgrundlage zu entziehen. Daneben fehlt der Norm im Hinblick auf die Auskunftspflicht des Halters gegenüber Dritten eine Mitwirkungspflicht desjenigen, der Zugriff auf die Daten hat – sofern dies nicht der Halter selbst ist. Weiterhin ist zu bedenken, dass ein Unfallbeteiligter seine Ansprüche nach § 7 Abs. 1 StVG ohne Informationen aus dem FMS geltend machen kann.[58] Sofern kein Dritter einen Auskunftsanspruch geltend macht, liegt es im alleinigen Interesse des Halters, über die Datenaufzeichnung nachvollziehen zu können, ob System oder Fahrer für den Unfall verantwortlich waren. Erforderlich wäre dann ein Auskunftsanspruch zwischen Halter und Hersteller.
Die Speicherung auf einem Server führt zu einer wenigstens teilweisen Redundanz der Daten und dürfte damit dem Grundsatz der Datensparsamkeit zuwiderlaufen.[59] Dafür dürfte sich durch die Redundanz aber die Verfügbarkeit und Integrität der Daten als Teilaspekte der Datensicherheit erhöhen.[60] In jedem Fall bestehen bei einer externen Speicherung aber erheblich höhere Risiken einer zweckwidrigen Weiterverarbeitung oder eines Zugriffs Dritter. Schließlich ist in Deutschland eine dauerhafte Datenübermittlung gerade im ländlichen Raum nicht gesichert.
c) Minimierung des Manipulationsrisikos
Nur ergänzend soll an dieser Stelle noch darauf hingewiesen werden, dass der Verordnungsgeber unabhängig davon welchen der Beteiligten er auswählt, Maßnahmen treffen muss, damit dieser die Daten nicht manipulieren oder löschen kann. Im Ausgangspunkt sollten die Hersteller deshalb verpflichtet werden, die Systeme so zu bauen, dass diese manipulationssicher sind.[61] Systeme sind allerdings zumeist nur so lange sicher, bis die Überwindung der eingesetzten Schutzmechanismen gelingt. Eine derartige Vorgabe müsste sich am jeweiligen Stand der Technik orientieren. Sofern die Manipulationssicherheit versagt, sollten zumindest Mechanismen bestehen, die nachvollziehbar darstellen, in welcher Instanz die Daten verändert wurden, auch wenn dies ggf. dem Grundsatz der Datenminimierung zuwiderläuft. Schließlich kann die Etablierung von Straf- oder Ordnungswidrigkeitstatbeständen bei vorzeitiger Löschung oder Manipulation Abschreckungswirkung entfalten.[62] Als weitere Option wird die Einrichtung einer neutralen, hoheitlichen Treuhandstelle vorgeschlagen.[63]
4. Zwischenfazit
Der finale Wortlaut des Abs. 2: „dürfen“ und die Adressierung des Halters in Abs. 3 sprechen jeweils gegen den Fahrer als Speicheradressaten. Ein stimmiges Konzept ergibt sich unter Berücksichtigung beider Absätze eher dann, wenn der Hersteller oder ein sonstiger Dritter die Daten als (Mit-)Verantwortlicher speichert. Dieser „darf“ (Erlaubnis im Verhältnis zum Betroffenen nach dem Doppeltürmodell) die Daten an die zuständigen Verkehrsbehörden übermitteln, ohne dass es zu einer Prüfung durch den Halter oder Fahrer kommt. Im Falle eines Auskunftsanspruchs Dritter nach Abs. 3 entscheidet hingegen der Halter als sachnähere Person, ob die Übermittlungsvoraussetzungen vorliegen, und weist ggf. den Fahrzeughersteller bzw. sonstigen Dritten entsprechend zur Übermittlung an.
Hinsichtlich des Speicherortes birgt sowohl eine Speicherung im Verantwortungsbereich des Herstellers (Backend) als auch des Halters/Fahrers (Fahrzeug) jeweils unterschiedliche Risiken. Die Speicherung im Fahrzeug hat den Nachteil, dass die Datenverfügbarkeit an die physische Unversehrtheit des FMS gebunden ist; bei einer Speicherung im Backend des Herstellers besteht das Risiko der Manipulation durch denselben sowie einer zweckfremden Weiterverarbeitung.
Insgesamt lässt sich aus dem StVG daher noch keine klare Determination für eine der beteiligten Rollen ermitteln. Einzig der Fahrer erscheint aus o.g. Gründen eher unpassend.
5. Einschränkung durch das Datenschutzrecht
An dieser Stelle soll untersucht werden, ob sich aus der DSGVO auch Gründe ergeben, die eine gesetzliche Zuweisung der Verantwortlichkeit an eine der genannten Rollen ausschließen. Eine exekutive Festlegung des Verantwortlichen darf diesem keine Pflichten auferlegen, die von diesem nicht umsetzbar sind. Der Pflichtenkanon folgt aus der DSGVO, wozu u.a. die Gewährleistung der Betroffenenrechte (Art. 12 ff. DS-GVO), der Grundsatz des Privacy-by-Designs (Art. 25 Abs. 1 DS-GVO) mit der wirksamen Umsetzung der Datenschutzgrundsätze und die Gewährleistung der Sicherheit nach Art. 32 DS-GVO zählen. All dies setzt aber voraus, dass zumindest ein Verantwortlicher auch tatsächlich Einsichts- und Steuerungsmöglichkeiten hinsichtlich der Verarbeitung innehat. Liegen diese Voraussetzungen faktisch nicht vor, sollte eine Person folglich auch nicht als (alleiniger) Verantwortlicher bestimmt werden.
Folglich erscheint eine alleinige Verantwortlichkeit von Fahrer oder Halter ausgeschlossen. Im Falle einer Sicherheitslücke müsste etwa der Fahrzeugeigentümer (ggf. identisch mit Halter) vom Hersteller nach Gewährleistungsrecht ein Update herbeiführen bzw. erzwingen. Schlägt dies fehl, so müsste er das Fahrzeug stilllegen, da er dieses nicht mehr auf einem nach Art. 32 Abs. 1 DS-GVO erforderlichen angemessenen Schutzniveau betreiben kann. Diese „Verantwortung“ auf den Halter abzuwälzen, erscheint zumindest wenig sachgerecht.[64] Denkbar wäre allenfalls eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO.
6. Weitere verfassungsrechtliche Aspekte
a) Minimierung von Risiken für das Recht auf informationelle Selbstbestimmung
Schließlich muss der Verordnungsgeber die Verantwortlichkeit so festlegen, dass der Eingriff für den Betroffenen in sein Recht auf informationelle Selbstbestimmung möglichst gering ausfällt. Da private Stellen zu dieser Datenverarbeitung durch die StVG verpflichtet werden, kommt es insoweit nicht auf grundrechtliche Schutzpflichten an, vielmehr handelt es sich um einen staatlichen Eingriff,[65] der daher verhältnismäßig auszugestalten ist.
Insoweit ist die Frage des Speicheradressaten eng mit der Frage nach der Möglichkeit der Identifizierung verknüpft. Im Falle einer Identifikation ist es dem Verantwortlichen möglich, Bewegungsprofile durch die Kombination von Zeitpunkt und Positionsangabe zu erstellen.[66] Je häufiger ein Wechsel der Fahrzeugsteuerung erfolgt, desto aussagekräftiger kann dieses Profil ausfallen und den Eingriff entsprechend vertiefen. Folglich sollte der Adressat der Speicherpflicht so gewählt werden, dass dieser möglichst wenig Möglichkeiten hat, den Betroffenen tatsächlich zu identifizieren. Umgekehrt ist zur Bestimmung der Datenschutzrisiken entscheidend, welche Rolle die „betroffene Person” ist.
Sind Fahrer und Halter identisch, würden die Risiken der Datenverarbeitung höher ausfallen, wenn Hersteller oder sonstiger Dritter die Daten (ggf. auch fahrzeugextern) speichern. Über eine Halterabfrage ließe sich leicht die Identität ermitteln. Eine Speicherung Onboard im Hoheitsbereich des Halters wäre hier eindeutig vorzugswürdig.
In der eingangs beschriebenen Dreieckskonstellation aus Hersteller, Halter und Fahrer hingegen, wäre die Identität des Fahrers zunächst dem Halter bekannt – nicht unbedingt jedoch dem Hersteller oder einem Dritten (bspw. bei Mietoder Dienstfahrzeugen). Könnte der Arbeitgeber als Halter die FMS-Daten frei auslesen, wäre ggf. eine heimliche Leistungskontrolle möglich.[67] In dieser Konstellation wäre die Speicherung fahrzeugextern außer Reichweite des Halters günstiger.
b) Nemo Tenetur
Grundsätzlich darf niemand gezwungen werden sich selbst zu belasten.[68] Pflichten zur Mitwirkung an der Aufzeichnung von potentiell selbstbelastenden Informationen sind allerdings verfassungsrechtlich nicht grundsätzlich unzulässig.[69] Bekannte Beispiele sind Fahrtenbuch oder Fahrtenschreiber.[70] Ausgehend von den hier untersuchten Varianten des Herstellers, Halters oder Fahrers als Adressat der Speicherpflicht gilt jedoch folgendes festzuhalten: sofern Halter und Fahrer personenidentisch sind, könnten sowohl Hersteller als auch Halter und Fahrer durch die Speicherung zur eigenen Belastung beitragen: für alle kann sich die Information positiv entlastend oder negativ belastend auswirken und mögliche Straf-/ Haftungsprozesse nach sich ziehen. Dies spricht eher für die Wahl einer neutralen Instanz, die Zugriffsrechte unter Berücksichtigung datenschutzrechtlicher Vorgaben verwaltet.
7. Fazit
Bereits die Auslegung der StVG sprach gegen den Fahrer als Adressaten; auch zeigte sich, dass er den Pflichten eines Verantwortlichen nicht sinnvoll gerecht werden kann. Schließlich besteht bei dann gleichzeitig naheliegender onboard-Speicherung ein hohes Risiko der nachträglichen Datenvernichtung.
Indes begegnet es auch Bedenken, den Halter als allein Verantwortlichen zu bestimmen: Insbesondere soweit es um die Gewährleistung der Sicherheit und datenschutzkonformen Technik nach Art. 32, 25 DS-GVO geht, ist er kaum geeigneter als der Fahrer selbst. Allerdings ist er nach § 63a Abs. 3 StVG ausdrücklich für die Entscheidung der Übermittlung an Dritte bestimmt worden.
Es bietet sich daher eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO von Halter und Hersteller an. Die Rechte und Pflichten untereinander lassen sich dabei auch durch die RVO bestimmen.[71] Allerdings kann der Halter nur dann sinnvoll mitadressiert werden, wenn Halter und Fahrer auseinanderfallen und die Überlassung nicht in nur in einem persönlichen oder familiären Kontext erfolgt.[72] Dies ist insbesondere bei Miet- oder Firmenwagen denkbar, so dass hier die entsprechenden Unternehmen als Mitverantwortliche bestimmt werden können. Hinsichtlich der Betroffenenrechte hat dies den Vorteil, dass der Fahrer diese dann gegenüber seinem Arbeitgeber oder dem Mietwagenunternehmen ausüben kann und nicht auf den Hersteller angewiesen ist, zu dem er selbst keine Rechtsbeziehung unterhält.
Die Mitverantwortlichkeit des Herstellers ist gleichwohl nicht unproblematisch. Trotz einer möglichen Reduktion der Missbrauchsrisiken durch das Vier-Augen-Prinzip im Rahmen einer gemeinsamen Verantwortlichkeit kann kaum ausgeschlossen werden, dass der Hersteller den Fahrer durch die Aggregation mit Daten aus Zusatzdiensten identifiziert und diese Daten unbefugt weiterverarbeitet. Auch ist der Hersteller, wie gezeigt, nicht frei von dem Verdacht, Daten im Eigeninteresse zu löschen oder zu manipulieren.
Da damit aus den verschiedenen, dargestellten Gründen kein Akteur bedenkenlos geeignet ist, wird teilweise die Einführung eines neuen Akteurs, nämlich eines sog. Datentreuhänders gefordert.[73] Der Treuhänder würde – anstelle des Herstellers – das Backend-System betreiben, das die vom Fahrzeug übermittelten Daten speichert, verwaltet und ggf. auf Behördenanforderung (§ 63a Abs. 2) oder Anweisung des Halters (§ 63a Abs. 3 StVG) weiterleitet.
VI. Treuhand
Das Treuhandmodell fußt auf dem Gedanken, dass eine zugangsoffene, diskriminierungsfreie Plattform zur Verfügung stehen sollte, deren Betreiber weder ein Eigeninteresse an den Daten selbst noch an deren Manipulation hat und Auskunftsanfragen professionell entsprechen kann.[74] Präferiert man ein Treuhändermodell, gilt es zu bedenken, dass zur Wahrung der erforderlichen Neutralität diese Rolle frei von Sachzwängen und Eigeninteressen sein müsste, wofür eine Eigenfinanzierung ein wesentlicher Baustein wäre.[75]
Im Hinblick auf die technische Umsetzbarkeit wird kritisiert, dass die Einbindung eines Treuhänders aufgrund der Menge der im automatisierten Fahrzeug anfallenden Daten nicht sach- und zeitgerecht erfolgen könne.[76] Zudem wird die durchgehende Gewährleistung der Daten- und IT-Sicherheit erschwert, da die Onboard-Einrichtung (Hersteller) und das Backend (Treuhänder) nicht mehr von derselben Person betrieben werden. Insoweit ist aber möglicherweise auch eine Konstruktion der Auftragsdatenverarbeitung denkbar, welche nach Art. 28 Abs. 3 DS-GVO auch gesetzlich ausgestaltet werden könnte. Ebenso möglich wäre die Annahme einer gemeinsamen Verantwortlichkeit zwischen Halter bzw. Hersteller und Treuhand. Dass der Hersteller an der tatsächlichen Durchführung der Verarbeitung dann nicht mehr direkt beteiligt wäre, hindert die Einordnung als Verantwortlichen nach der weiten Definition nicht.[77]
Da eine solche Instanz bislang aber nicht existiert, müsste sie neu geschaffen werden. In Betracht kommt insoweit die Einrichtung einer neuen hoheitlichen Stelle oder die Ausschreibung an eine private Institution. Es darf allerdings bezweifelt werden, dass die § 63a f. StVG hierfür eine taugliche Grundlage bieten. Es ist schon nicht erkennbar, dass der Gesetzgeber diese Datenverarbeitung überhaupt an sich ziehen wollte. Jedenfalls stellt § 63b Nr. 2 StVG keine hinreichende Ermächtigungsgrundlage dar, auf Basis derer das BMVI eine entsprechende Aufgabenzuweisung an eine Behörde vornehmen oder diese Treuhandaufgabe ausschreiben dürfte. Vielmehr erscheint es naheliegend, dass diese Vorschrift lediglich die Bestimmung eines Adressaten aus den bestehenden Akteuren zulassen sollte.
VII. Ausblick
Insgesamt ist an der Konzeption des FMS zu kritisieren, dass eine Datenspeicherungspflicht statuiert wird, ohne dass die Verantwortlichkeit klar mitgeregelt wird. Wie gezeigt wurde, sind hierfür nämlich verschiedenste rechtliche und tatsächliche Implikationen zu berücksichtigen. Darüber hinaus stellt sich das hier nicht thematisierte Problem der Speicherdauer. Insofern ist offen, ob § 63a StVG in seiner aktuellen Form überhaupt mit den Grundsätzen der DS-GVO und den Verbürgungen der Datenschutzgrundrechte vereinbar ist. Die Entscheidung über die konkrete Ausrüstung von Fahrzeugen mit dem FMS wird ohnehin auf Ebene der UNECE-Regelungen getroffen werden, an denen sich eine Regelung im StVG oder per Rechtsverordnung orientieren muss.[78]
Aus wissenschaftlicher Sicht stellt sich die Einführung des FMS indes als spannendes Phänomen dar, dass verschiedene Rechtsgebiete (Datenschutzrecht, Haftungsrecht, Straf- und Ordnungswidrigkeitenrecht) miteinander verschränkt. Dabei besteht eine gewisse Ähnlichkeit mit der Vorratsdatenspeicherung von TK-Daten, die gerade erneut Gegenstand eines Verfahrens am EuGH ist:[79] In beiden Fällen werden privaten Stellen Speicherpflichten zum Zwecke der Informationsbeschaffung im öffentlichen Interesse auferlegt; darüber hinaus beim FMS auch zur Verfolgung private Beweisinteressen (§ 63a Abs. 3 StVG). Spannend ist an dieser Gegenüberstellung insbesondere, ob ungeachtet des Datenumfangs eine anlasslose Speicherung aus den im StVG genannten Zielen heraus grundrechtlich Bestand haben kann, wenn bereits eine anlasslose Speicherung zur Terrorabwehr zweifelhaft ist.
Christoph Werner
Akademischer Mitarbeiter am Zentrum für
Angewandte Rechtswissenschaft des Karlsruher
Instituts für Technologie in der Forschungsgruppe
ITR mit Schwerpunkt im
Datenschutz- und IT-Sicherheitsrecht.
Dr. Manuela Wagner
Wissenschaftliche Mitarbeiterin am FZI
Forschungszentrum Informatik und Projektleitung
in dem vom Land Baden-Württemberg
geförderten Projekt Smart Mobility
– Rechtliche Begleitforschung.
Maria Pieper
Wissenschaftliche Mitarbeiterin am FZI Forschungszentrum
Informatik.
[1]https://www.golem.de/news/irrefuehrende-angaben-wettbewerbszentrale-verklagt-tesla-wegen-autopilot-werbung-1910-144694.html [letzter Abruf aller Onlinequellen: 12.02.2020].
[2] Vgl. § 1a Abs. 2 Nr. 4, 5 StVG; BR-Drs 69/17, S. 6; vgl. zur Definition der Stufen und zur Kritik an der zugehörigen Regelung: Wissenschaftlicher Dienst des Bundestages, WD 7-3000 111/18, abrufbar unter https://www.bundestag.de/resource/blob/562790/c12af1873384bcd1f8604334f97ee4b9/wd-7-111-18-pdf-data.pdf; Verbraucherzentrale Bundesverband, Rechtssicher fahren mit automatisierten Fahrzeugen (2017), S. 7 ff.
[3] Der Begriff dient als abstrakte Umschreibung für den Datenspeicher, ohne damit festzulegen, ob dieser sich im Fahrzeug befindet oder ein externes Backend-System verwendet wird.
[4] United Nations Economic Commission for Europe.
[5] Siehe hierzu die Diskussionen der Unterarbeitsgruppe zu DSSAD/EDR der Working Party on Automated/Autonomous and Connected Vehicles (GRVA): https://wiki.unece.org/pages/viewpage.action?pageId=87621709.
[6] Proposal for DSSAD Section in ALKS requirements, abrufbar unter https://wiki.unece.org/pages/viewpage.action?pageId=92012869 (eingebracht von Japan).
[7] Siehe zur Identifizierbarkeit: EuGH, 19.10.2016 – C-582/14 – Breyer.
[8] Zu den Anforderungen: VG Augsburg, Urteil vom 14.07.2015 – Au 3 K 15.348, BeckRS 2015, 49296.
[9] Zu jur. Person als Halter: Geigel, Haftpflichtprozess, 2. Teil Haftpflichttatbestände, 25. Kapitel. Haftung des Kraftfahrzeughalters und -führers Rn. 47.
[10] Der Halter muss Information zwar grundsätzlich nicht herausgeben. Die Verweigerung der Mitwirkung kann allerdings eine Fahrtenbuchauflage nach § 31a Abs. 1 StVZO nach sich ziehen (OVG Münster, Beschluss vom 21.04.2008 – 8 B 491/08, NZV 2008, 479), welches nach § 31a Abs. 3 StVZO jederzeit von der zuständigen Stelle herausverlangt werden kann. Daneben bestehen strafprozessuale Möglichkeiten der Informationsbeschaffung (§§ 94, 98, 103 StPO). Vgl. spezifisch zur digitalen Informationsbeschaffung von Servern: Basar/Hiéramente, NStZ 2018, 681.
[11] Bspw. Bildaufzeichnung bei Geschwindigkeitsüberschreitung, Unfallzeugen etc.
[12] Paal/Pauly/Ernst, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 8.
[13] Brockmeyer ZD 2018, 258 (260 f.).
[14] BT-Drs. 18/11534, S. 8.
[15] Vgl. zum Halterbegriff: BGH, 22.03.1983 – VI ZR 108/81
[16] Im dt. BDSG wurde verantwortliche Stelle nach § 3 Abs. 7 BDSG definiert als „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“; allerdings wurde insoweit eine richtlinienkonforme Auslegung vorgenommen, vgl. Plath/Schreiber, in: Plath, BDSG, 2013, § 3 BDSG, Rn. 69 m.w.N.
[17] Vgl. Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ WP 169, S. 10 f.
[18] Art.-29-Datenschutzgruppe, WP 169, S. 11.
[19] Art.-29-Datenschutzgruppe, WP 169, S. 16.
[20] EuGH, Urteil vom 10.07.2018 – C-25/17 – Jehovan todistajat, Rn. 66; EuGH, Urteil vom 05.06.2018 – C-210/16 – Wirtschaftsakademie, Rn. 28; EuGH, Urteil vom 13.05.2014 – C-131/12 – Google Spain, Rn. 34; kritisch Hoeren, ZD 2018, 472 (473); Schulz, ZD 2018, 363 (364)
[21] EuGH, Urteil vom 10.07.2018 – C-25/17 – Jehovan todistajat, Rn. 68; EuGH, Urteil vom 05.06.2018 – C-210/16 – Wirtschaftsakademie, Rn. 31
[22] EuGH, Urteil vom 10.07.2018 – C-25/17 – Jehovan todistajat, Rn. 69; EuGH, Urteil vom 05.06.2018 – C-210/16 – Wirtschaftsakademie, Rn. 38; Marosi/Matthé, ZD 2018, 361 (362).
[23] Vgl. § 823 Abs. 1 BGB, § 1 Abs. 1, Abs. 4 S. 1 ProdHaftG. Dies gilt ebenso bei vertraglichen Ansprüchen.
[24] Dies gilt unabhängig davon, ob Fahrer oder System für den Unfall verantwortlich sind, vgl. auch Schmid/Wessels, NZV 2017, 357 (360). Es bestehen lediglich Ausschlusstatbestände in § 7 Abs. 2, 3 StVG, höhere Gewalt und Entwendung des Fahrzeugs. Vgl. zur Halterhaftung bei (teil)automatisierten Fahrzeugen ausführlich: Buck-Heeb/Dieckmann, in: Oppermann/ Stender-Vorwachs „Autonomes Fahren“, 2. Aufl. 2020, S. 143 ff.
[25] Schmid/Wessels, NZV 2017, 357 (360).
[26] Vgl. BT-Drs. 18/11300, S. 24.
[27] Vgl. Greger, NZV 2018, 1 (1); BHHJ/Heß, 25. Aufl. 2018, StVG § 18 Rn. 8 f.
[28] Diskutiert wird neben der Speicherung im Fahrzeug das Modell eines Datentreuhänders sowie eine Speicherung auf den Backend-Systemen der Hersteller; siehe hierzu: Brockmeyer, ZD 2018, 258 ff., der sich im Ergebnis für eine lokale Speicherung im Fahrzeug ausspricht.
[29] Schmid/Wessels, NZV 2017, S. 357 (359); entscheidend wird es darauf ankommen, wie konkret die geplante RVO ausfallen wird. Sofern nur grundsätzliche Zielsetzungen definiert würden, deren technische Umsetzung auf unterschiedlichen Wegen vorstellbar sind, wird es der Hersteller sein, der über die entsprechenden Hard- und Softwarekonfigurationen entscheidet.
[30] Zum möglichen Konflikt mit dem europäischen Zulassungsrecht siehe: Lutz DAR 2019, 125 (126 f.).
[31] In diese Richtung zum Fahrzeugführer auch: BeckOK StVR/Will StVG § 63a Rn. 9a.
[32] Gola, in: Gola, DS-GVO, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 55.
[33] Befürwortend: Lutz DAR 2019, 125 (126), Schmidt/Wessels, NZV 2017, 357 (364).
[34] Verbraucherzentrale Bundesverband, Rechtssicher fahren mit automatisierten Fahrzeugen (2017), S. 6.
[35] Maunz/Dürig/Scholz, 87. EL März 2019, GG Art. 12 Rn. 324; BVerfG 33, 125 (157); vgl. zu den zulässigen Rechtssetzungsformen im Rahmen der DS-GVO: BeckOK Datenschutz/Albers/Veit, 30. Ed. 01.11.2019, DSGVO Art. 6 Rn. 58.
[36] BT-Drs. 18/11300, S. 25; BR-Drs. 69/17, S. 18; als Antwort auf die Kritik des Bundesrats an dieser Unbestimmtheit antwortete die Bundesregierung, dass eine abschließende Festlegung des „Datenverantwortlichen“ als Adressat zum Zeitpunkt noch nicht möglich war, BT-Drs. 18/11534, S. 16.
[37] BT-Drs. 18/11534, S. 8.
[38] Vgl. Diskussion zur UNECE-Regelung zu Data Storage Systems for Automated Driving (DSSAD, Dokumente abrufbar unter: https://wiki.unece.org/pages/viewpage.action?pageId=92012869).
[39] BT-Drs. 18/11776, S. 12.
[40] „Die gemäß Abs. 1 aufgezeichneten Daten sind den nach Landesrecht für die Überwachung des Straßenverkehrs zuständigen Behörden auf deren Verlangen zu übermitteln.“
[41] Auf EU-Ebene dem Datenschutzgrundrecht nach Art. 8 GRC.
[42] BT Drs. 18/11776, S. 3, 11.
[43] BVerfG, Beschluss vom 24.01.2012 − 1 BvR 1299/05, NJW 2012, 1419 (1422 f.).
[44] BT-Drs. 18/11776, S. 11, Lutz DAR 2019, 125 (127); Schmidt/Wessels, NZV 2017, 357 (360)
[45] BT-Drs 18/11776, S. 11, demnach ergibt sich die Erhebungsbefugnis aus § 94 StPO, der über § 46 Abs. 2 OWiG auch für Ordnungswidrigkeiten anwendbar ist.
[46] Hoeren/Sieber/Holznagel, MMR-HdB, Teil 19.3 Strafprozessrecht, Rn. 106.
[47] BT-Drs. 18/11300, S. 25; Hoeren, NZV 2018, 153 (153)
[48] BT-Drs. 18/11776, S. 3, vgl. auch BT-Drs. 18/11534, S. 6.
[49] Hoeren, NZV 2018, 153 (154)
[50] Hoeren, NZV 2018, 153 (154).
[51] BT-Drs. 18/115234, S. 8; Hoeren, NZV 2018, 153 (153); Wagner/Goebele, NZV 2017, 263 (267); Brockmeyer, ZD 2018, 258 (258); Empfehlungen des 56. Deutschen Verkehrsgerichtstags 2018, NZV 2018, 69; Verbraucherzentrale Bundesverband, Rechtssicher fahren mit automatisierten Fahrzeugen (2017), S. 6; Vd TÜV, DEKRA, FSD, Gemeinsame Position zur Ausgestaltung des Fahrmodusspeichers (DSSAD), abrufbar unter https://www.vdtuev.de/dok_view?oid=749911.
[52] Wagner/Goebele, NZV 2017, 263 (267).
[53] Bei Datenverlust kommt es dann entscheidend auf die jeweilige Beweislastverteilung an.
[54] Es sei denn, dieser ist personenidentisch mit dem Fahrer.
[55] ADAC, Standpunkt Fahrmodusspeicher für automatisierte Fahrfunktionen (11.07.2019), abrufbar unter https://www.adac.de/-/media/pdf/vek/fachinformationen/automatisieung-und-digitalisierung/fahrmodusspeicher-adac-sp.pdf; Vd TÜV, DEKRA, FSD, Fn. 51, S. 2.
[56] Vd TÜV, DEKRA, FSD, Fn. 51, S. 2.
[57] Ebd.
[58] Da die Gefährdungshaftung verschuldensunabhängig ausgestaltet ist, kommt es nicht darauf an, ob sich das Risiko des automatisierten Systems oder ein Fehlverhalten des Fahrers in einem Unfall manifestiert hat, vgl. Wagner/Goebele, ZD 2017, 263 (268). Ein Interesse des Dritten, den Fahrer über § 18 StVG ebenfalls zu verklagen, kann darin bestehen dessen Zeugenstellung auszuschalten. Um das Prozesskostenrisiko gering zu halten, wäre eine Anfrage auf Datenübermittlung somit grundsätzlich denkbar, aber nicht zwingend erforderlich.
[59] Brockmeyer, ZD 2018, 258 (261).
[60] ADAC, Fn. 55; Vd TÜV, DEKRA, FSD, Fn. 51, S. 2.
[61] Wagner/Goebele, NZV 2017, 263 (267).
[62] Vgl. BT-Drs. 18/11534, S. 10.
[63] Siehe hierzu: Kapitel VI.
[64] Gegen eine datenschutzrechtliche Verantwortlichkeit von Privatpersonen ebenso: Conrad, DuD 2019, 563 (567)
[65] Schantz/Wolff, Das neue Datenschutzrecht, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 153, beck-online; BVerfG, Urteil vom 02. 03.2010 – 1 BvR 256/08 u.a., NJW 2010, 833 (836), Rn. 193.
[66] Wagner/Goebele, NZV 2017, 263 (267). Dagegen soll das DSSAD es nicht erlauben, ein Fahrprofil zu erstellen: BMVI, EDR & DSSAD – Current understanding, EDR-DSSAD-03-05, S. 16, abrufbar unter https://wiki.unece.org/pages/viewpage.action?pageId=92012869.
[67] Ggf. bedürfte ein solches System dann der Zustimmung des Betriebsrats nach § 87 Abs. 6 BetrVG.
[68] Wagner/Goebele, ZD 2017, 263.
[69] Schmid/Wessels, NZV 2017, 357 (360); Lutz DAR 2019, 125 (126); vgl. auch Schlanstein NZV 2016, 201 (203) zur Forderung eines Unfalldatenspeichers.
[70] BVerfG, Beschl. v. 07.12.1981 – 2 BvR 1172/81 – NJW 1982, 568
[71] Auch wenn unter den Voraussetzungen des Art. 4 Nr. 7 Hs. 2 DS-GVO im Singular nur “der Verantwortliche“ normativ bestimmt werden darf, spricht viel dafür, dass dies auch für mehrere gemeinsame Verantwortliche gilt.
[72] Siehe oben, Abschnitt 3 a.E.
[73] Vd TÜV, DEKRA, FSD, Fn. 51; kritisch Brockmeyer, ZD 2018, 258.
[74] Brockmeyer, ZD 2018, 258 (259).
[75] Hoeren, NZV 2018, 153 (154).
[76] Ebd.
[77] Vgl. Klabunde, in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 36; Spindler/Dalby, in: Spindler/Schuster Elektron. Medien, 4. Aufl. 2019, DS-GVO Art. 4 Rn. 18.
[78] Vgl. Lutz DAR 2019, 125 (127).
[79] Campos Sánchez-Bordona, Schlussanträge vom 15.01.2020 – C-623/17; C-511/18; C-512/18; C-520/18.