Aufsatz : Connected Car – intelligente Kfz, intelligente Verkehrssysteme, intelligenter Datenschutz? : aus der RDV 5/2014, Seite 240 bis 253
Im Kfz von heute werden fortlaufend nicht nur Zustand und Umgebung des Fahrzeugs, sondern auch das Verhalten des Fahrers aufgezeichnet und ausgewertet. Es kommuniziert außerdem mit seiner Umgebung, um auf überfüllte Straßen oder Gefahrenquellen hinzuweisen oder zu reagieren, und sorgt selbständig für einen energieeffizienten Fahrverlauf. Intelligente Verkehrssysteme und hierauf basierende Anwendungen und Dienste fordern insbesondere das Datenschutzrecht heraus. Dieser Beitrag dient der Bestandsaufnahme zum Stand der Technik und der datenschutzrechtlichen Bewertung des Umgangs mit personenbezogenen Daten im „Connected Car“.
1. Einführung
„Was wir nicht wollen, ist der gläserne Autofahrer, für den Bewegungsprofile erstellt und Daten über den Fahrstil gesammelt werden“, so Bundesjustiz- und Verbraucherschutzminister Maas im Juli 2014[1], der damit eine Forderung des früheren Bundesbeauftragten für den Datenschutz Schaar aus dem Jahr 2006 wiederholt hat[2]. Dabei sind intelligente Verkehrssysteme und deren Auswertung mittels Big Data[3] längst Realität. Der Autobahnschütze, der jahrelang aus „Frust im Straßenverkehr“ auf Lastwagen geschossen hat, konnte erst durch die Auswertung und den Abgleich von Daten aus Kfz-Kennzeichen-Scannern, Mobilfunkstationen und seinem elektronischen Fahrtenschreiber ermittelt werden[4].
Bereits 2012 hielten in einer Verbraucherumfrage zum „Auto der Zukunft“ 76% der Befragten Fahrassistenten und intelligente Navigation für wichtig oder sehr wichtig, 48% eine integrierte Kommunikation und immerhin 39% eine „Vernetzung mit Zuhause“[5]. Dabei wünschten sich 53% der Befragten ausdrücklich Fahrhilfen, die auf „Car to Car“ Kommunikation beruhen[6]. Es verwundert deshalb nicht, dass das „Connected Car“ einer der Treiber von Forschung und Entwicklung bei Kfz ist[7] und „Connectivity“ als entscheidender Meilenstein der gesamten Automobilindustrie angesehen wird[8].
Dieser Beitrag fasst zunächst den Stand der Technik zusammen und beschreibt den Umgang mit Daten im und aus dem Kfz (Ziff. 2). Es folgen allgemeine datenschutzrechtliche Erwägungen (Ziff. 3), in deren Mittelpunkt der Personenbezug der im und aus dem Kfz gewonnenen Daten und das hierauf anwendbare Datenschutzrecht stehen. Anschließend werden verschiedene Anwendungsfälle aus der Praxis und deren Rechtmäßigkeit untersucht (Ziff. 4), bevor auf weitere Herausforderungen bei Anwendungen und Diensten intelligenter Verkehrssysteme (Ziff. 5) eingegangen wird. Der Beitrag endet mit einem Fazit und Empfehlungen des Autors (Ziff. 6).
2. Stand der Technik
Der Begriff „Connected Car“ legt die Vermutung nahe, dass sich das Intelligente auf die Vernetzung von Kfz im Straßenverkehr beschränkt. Tatsächlich sind jedoch nicht nur die Kfz, sondern auch die umgebenden Verkehrssysteme intelligent. Kfz und Verkehrssysteme sind wiederum an vorhandene technische Infrastrukturen angeschlossen, z.B. im Unternehmensfuhrpark, in der öffentlichen Notfallvorsorge, bei den Herstellern oder in der „Cloud“. Deshalb geht es nach dem Stand der Technik[9] tatsächlich um eine Kommunikation mittels und über die im jeweiligen System erhobenen oder gespeicherten Daten von Kfz zu Kfz (C2C = „Car to Car“), Kfz zur Verkehrssystemen als infrastrukturelle Einrichtungen (C2I = „Car to Infrastructure“) und Kfz zu anderen Systemen (C2X = „Car to Anything“) – selbstverständlich auch in die jeweils umgekehrte Richtung[10].
2.1 Sensoren im Kfz
In Kfz erfolgt die Erhebung von Daten durch Sensoren[11]. Diese beziehen sich auf das Kfz, dessen Umgebung sowie die Insassen und deren Tun. Die Sensoren werden entweder von den Herstellern bei der Fertigung oder nachträglich von Dritten wie Arbeitgeber oder Flottenbetreiber mittels Telematik-Boxen (zum Begriff Telematik unten Ziff. 2.3) im Kfz angebracht.
Im Kfz selbst werden, abhängig von Hersteller, Modell und Ausstattung, fortlaufend u.a. Achslast, Motorbelastung, Reifendrehzahl, Reifendruck, Temperatur, Querbeschleunigung, Geschwindigkeit, Glasbruch und Verformungen überwacht. Hinzu kommen Sensoren im Bremssystem (ABS), der elektronischen Stabilitätskontrolle (ESP), der Beleuchtung des Pkw und in den verschiedenen Motoren (etwa zum Öffnen von Fenstern oder Zuziehen von Heckklappen). Zudem wird die Umgebung über Kamera- und Radarsysteme überwacht[12].
Die auf die Insassen bezogenen Sensoren erfassen zunächst äußerliche Merkmale, etwa die Sitzbelegung über das auf den Sitz ausgeübte Gewicht und das Schließen des Sicherheitsgurtes oder die Aufmerksamkeit des Fahrers, die mittels (unangekündigter) Spurwechsel, der Dauer einer nicht durch Pausen unterbrochenen Fahrt, den Geradeauslauf des Kfz oder zukünftig mittels Erfassung der Augenbewegung durch Kameras im Innenraum beurteilt wird. Hinzu treten zunehmend medizinische Sensoren zur unmittelbaren Messung von Körperfunktionen des Fahrers, z.B. seines Atemalkoholgehalts (z.B. Volvo Alcolock)[13], seiner Herzfunktionen (etwa Ford SYNC)[14] oder seiner psychischen Verfassung[15].
Die mit den Sensoren erhobenen Daten (zu deren Personenbeziehbarkeit unten Ziff. 3.2) werden sodann Fahrer und ggf. Insassen zugänglich gemacht, um diesen mit Fahrassistenzsystemen[16] z.B. auf Gefahrensituationen oder die Verkehrslage hinzuweisen, zur Steuerung des Kfz genutzt, etwa um die Bremskraft richtig zu dosieren und ein Ausbrechen des Kfz zu verhindern, oder von den Herstellern für die Diagnose von Störungen herangezogen. So ist kürzlich über den ADAC ein Fall bekannt geworden, in dem die Beseitigung eines während der gesetzlichen Mängelhaftung aufgetretenen Schadens unter Hinweis auf die vom Sensor aufgezeichnete Überschreitung der zulässigen Last auf der Hinterachse abgelehnt worden[17].
2.2 Intelligente Verkehrssysteme
Der Begriff intelligente Verkehrssysteme geht auf die Richtlinie 2010/40/EU vom 7.7.2010 zum Rahmen für die Einführung intelligenter Verkehrssysteme im Straßenverkehr und für deren Schnittstellen zu anderen Verkehrssystemen (IVS-RL)[18] sowie dem 2013 zur Umsetzung in nationales Recht verabschiedeten Gesetz über Intelligente Verkehrssysteme im Straßenverkehr und deren Schnittstellen zu anderen Verkehrsträgern (IVSG) [19] zurück.
Bei intelligenten Verkehrssystemen handelt es sich nach § 2 Nr. 1 IVSG um „Systeme, bei denen Informations- und Kommunikationstechnologien im Straßenverkehr und an Schnittstellen zu anderen Verkehrsträgern eingesetzt werden“. „Anwendungen Intelligenter Verkehrssysteme“ i.S.d. § 2 Nr. 2 IVSG sind sodann technische Systeme, Verfahren oder Geräte für den Einsatz intelligenter Verkehrssysteme, auf deren Grundlage sodann die „Dienste Intelligenter Verkehrssysteme“ bereitgestellt werden. Entscheidend ist, dass Anwendungen und Dienste gemäß § 3 IVSG die sich aus der IVS-RL ergebenden Spezifikationen einhalten, insbesondere um die EU-weite Interoperabilität und Kompatibilität der Systeme zu gewährleisten. Dabei dienen intelligente Verkehrssysteme nach § 4 Nr. 4 IVSG insbesondere auch der „Verbindung zwischen Fahrzeug und Verkehrsinfrastruktur“.
Das Kfz mit seinen Sensoren und der eingebauten Technik ist damit ein Bündel von Anwendungen intelligenter Verkehrssysteme, ebenso die umgebenden Einrichtungen, z.B. Parkleitsysteme, „kollektive Verkehrsbeeinflussungsanzeigen“ (z.B. Matrixanzeigen über Autobahnen) oder Fernsteuerungen zur Ampelschaltung. Über diese Anwendungen wird wiederum eine Vielzahl von Diensten intelligenter Verkehrssysteme erbracht.
2.3 Kommunikation vom und zum Kfz
Die Kommunikation zwischen Kfz und Verkehrssystemen findet C2C, C2I/C2X und umgekehrt statt (zu den Begriffen oben Ziff. 2). Praktische Anwendungsfälle für die Kommunikation C2C sind Fahrassistenzsysteme und Abstandswarner (etwa zum Kolonnenfahren), für die Kommunikation C2I/C2X Verkehrssteuerungs- und Notrufsysteme, aber ebenso die Erfassung von Kfzoder fahrerbezogenen Daten zur Bewertung des Fahrverhaltens z.B. durch den Arbeitgeber oder Versicherungen (zu TelematikTarifen unten Ziff. 4.3).
Wenn in diesem Zusammenhang von Telematik[20] gesprochen wird, meint dies nichts anderes. Denn Telematik ist „das Mittel der Informationsverknüpfung von mindestens zwei Informationssystemen mit Hilfe eines Telekommunikationssystems, sowie einer speziellen Datenverarbeitung“,[21] also der abstrakte Oberbegriff für das, was bei der Kommunikation C2C und C2I/ C2X geschieht.
2.4 Einbindung von Smart Devices im Kfz
Nicht mehr auf obere Mittelklasse und Oberklasse beschränkt sind die sog. „Infotainment-Systeme“[22] der Kfz-Hersteller. Standen dabei zunächst selbständige Systeme und Premiumdienste mit eigenen Apps im Kfz im Vordergrund[23], vollzieht sich derzeit ein Wandel hin zur Integration von Smart Devices wie Smartphones und Tablets[24] in die Intelligenz der Kfz.
Diese Integration geschieht auf Grundlage standardisierter Schnittstellen der Hersteller von Betriebssystemen solcher Smart Devices, insbesondere „CarPlay“ von Apple[25] (Betriebssystem iOS) und „Android Auto“ von Google[26] (Betriebssystem Android)[27]. Bereits 57 Automobilhersteller haben sich für eines dieser Systeme entschieden, wobei zwischen Apple und Google etwa Gleichstand herrscht[28]. Dabei führt die Integration nicht zu einer Einbahnstraße vom Smart Device zum Kfz: auch umgekehrt lassen sich Daten aus dem Kfz zur Nutzung in Apps auf dem Smart Devices übermitteln.[29]
2.5 Autonome Kfz
Die in Kfz verbaute Intelligenz erlaubt grundsätzlich ein autonomes Fahren. Dieses beschränkt sich nicht mehr auf automatische Brems- und Parkassistenten, sondern erfasst auch die aktive Teilnahme am Straßenverkehr ohne steuernde Eingriffe oder Kontrolle eines Fahrers. Mercedes hat bereits 2013 eine selbstfahrende S-Klasse vorgestellt, und Volvo will bis 2017 die Selbstfahrtechnik optimieren[30]. Google arbeitet seit 2010[31] am autonomen „Google Car“ und hat bereits mehr als eine Million unfallfreie Kilometer zurückgelegt[32], wobei noch unklar ist, ob Google selbst ein solches Fahrzeug herstellen oder nur Technologielieferant sein will. So sollen nach Schätzungen bis 2035 weltweit 35 Millionen autonome Kfz unterwegs sein[33].
Bislang verbot allerdings Art. 8 Abs. 2 des Wiener Übereinkommens über den Straßenverkehr vom 7./8.11.1968[34] autonome Kfz. Hiernach muss der Führer eines Fahrzeugs dieses „dauernd […] beherrschen“, was bei einem autonomen Kfz nicht der Fall ist. Erst mit einer u.a. auf Drängen von Deutschland beschlossenen Änderung vom Mai 2014 ist Art. 8 Abs. 2 dahingehend ergänzt worden, dass autonomes Fahren dann zulässig ist, wenn der Fahrer das System jederzeit stoppen und selbst die Kontrolle übernehmen kann[35]. Ungeklärt ist jedoch weiterhin, wer für Schäden durch autonome Kfz haftet. Während § 7 Abs. 1 StVG für die verschuldensunabhängige Halterhaftung allein auf den Betrieb eines Kfz abstellt, worunter begrifflich auch ein autonomes Kfz fällt, stellt sich die Frage, ob eine verschuldensabhängige Haftung des Fahrers aus § 823 Abs. 1 BGB oder § 823 Abs. 2 BGB in Verbindung mit einem Schutzgesetz noch in Betracht kommt, wenn sich das Tun des Fahrers ausschließlich auf Starten des Kfz und Festlegung des Fahrziels beschränkt[36].
2.6 Speicherung von Daten im und über das Kfz
Die Erhebung der Daten aus den Sensoren im Kfz (dazu oben Ziff. 2.1) und den intelligenten Verkehrssystemen (dazu oben Ziff. 2.2) erfolgt unmittelbar im jeweiligen System. Dabei wird zwischen der flüchtigen, semiflüchtigen und beständigen Speicherung der erhobenen Daten unterschieden.
Flüchtig gespeicherte Daten werden unmittelbar nach ihrer Erhebung genutzt (z.B. für die Steuerung von Motoren im Kfz) und nur für die Dauer der Nutzung selbst gespeichert, anschließend aber sofort überschrieben oder gelöscht. Semiflüchtige Daten sind solche, die fortlaufend gespeichert, nach Ablauf einer bestimmten Zeitspanne ohne Eintritt eines besonderen Ereignisses aber wieder gelöscht oder überschrieben werden, etwa die von einer lediglich für die letzten x Sekunden vor einem Unfall gespeicherten Daten aus den einem Unfalldatenschreiber zugeordneten Sensoren. Beständig gespeicherte Daten werden dauerhaft im jeweiligen System abgelegt.
Ob und welche Daten flüchtig, semiflüchtig oder beständig gespeichert werden, ist von wenigen Ausnahmen abgesehen das Geheimnis des Herstellers oder Betreibers des jeweiligen Systems. Ebenso unklar ist häufig, ob die Daten ausschließlich im System gespeichert oder ergänzend/alternativ an externe Systeme übermittelt und gespeichert werden. So senden aktuelle Navigationsgeräte Daten über Standort, Fahrstrecke und Bewegungsgeschwindigkeit an zentrale Systeme der Anbieter, die hieraus Verkehrsinformationen in Echtzeit ermitteln, die wiederum an die Navigationsgeräte zur Optimierung der Routenplanung übermittelt werden. Entsprechendes gilt für Telematik-Boxen (zum Begriff oben Ziff. 2.1 und 2.2), die Daten über das Fahrverhalten an Dritte übermitteln, insbesondere Arbeitgeber und Flottenbetreiber, aber auch Versicherer, die auf Grundlage dieser Daten sodann die Routenplanung vornehmen, arbeitsrechtliche Sanktionen ergreifen oder Versicherungstarife ermitteln (zu Telematik-Tarifen unten Ziff. 4.3). Auch der EU-weite verpflichtende eCall-Dienst wird zu einer Übermittlung und externen Speicherung von Daten aus dem Kfz führen (dazu unten Ziff. 4.2).
3. Erwägungen zum Datenschutzrecht[37]
Im Kfz werden über die Sensoren (dazu oben Ziff. 2.1) und eingebundenen Smart Devices (dazu oben Ziff. 2.4) potentiell eine Unmenge von Daten erhoben und semiflüchtig oder beständig gespeichert (dazu oben Ziff. 2.6), die anschließend vom Fahrer selbst oder Dritten verwendet werden. Dabei stellt sich jeweils die Frage nach dem Personenbezug dieser Daten, dem hierauf anwendbaren Datenschutzrecht sowie der Art und Weise im Umgang[38] mit etwaigen personenbezogenen Daten.
3.1 Potentiell betroffene Daten
Potentiell sind in Kfz und intelligenten Verkehrssystemen insbesondere folgende Daten betroffen:
- Kennungen der Hardware des Kfz (z.B. die Fahrzeug-Identifizierungsnummer = FIN[39]),
- Daten zum Fahrverhalten (z.B. Beschleunigung, Geschwindigkeit),
- Bewegungs- und Positionsdaten,
- Bestands-, Verkehrs- und Standortdaten von Mobilfunkkarten,
- Benutzerzugangsdaten zu Bordsystemen oder externen, im jeweiligen System genutzten Diensten (Benutzername und Passwort, ggf. biometrische Informationen),
- während der Fahrt abgerufene oder erzeugte Inhalte (z.B. Kontakte oder Nachrichten des Fahrers),
- der sog. MSD-Datensatz beim eCall-Dienst (dazu unten Ziff. 4.2),
- Gesundheitsdaten von Fahrer und ggf. Insassen, sowie
- Zahlungsdaten zu Abrechnungszwecken bei der Nutzung von Anwendungen oder Diensten intelligenter Verkehrssysteme.
Diese Daten, die von der Bundesregierung in Daten für Fahrzeugfunktionen und Daten für Servicefunktionen unterteilt werden[40], können im Kfz oder externen Systemen von einer Vielzahl von Beteiligten mit anderen Daten aus dem Kfz oder externen Systemen kombiniert oder abgeglichen werden, so etwa die Angaben zur gefahrenen Geschwindigkeit mit einer Karte, welche die jeweils zulässige Höchstgeschwindigkeit ausweist. Der Kombinationsvielfalt und dem Vorstellungsvermögen sind dabei keine Grenzen gesetzt.
3.2 Personenbezug der Daten
Solange die oben genannten Daten anonym erhoben oder ausschließlich anonymisiert i.S.d. § 3 Abs. 5 BDSG verarbeitet und genutzt werden, sind intelligente Kfz und Verkehrssysteme datenschutzrechtlich ohne Bedeutung.
Fraglich ist jedoch, wann aus oder im Kfz erhobenen Daten tatsächlich anonym sind. Die Bundesregierung hat sich im Mai 2014 in ihrer Antwort auf eine kleine Anfrage vor einer Beantwortung genau dieser Frage gedrückt. Die Bundesregierung räumt in ihrer Antwort zwar ein, dass „technische Messdaten in Fahrzeugsteuergeräten […] zunächst nur personenbeziehbar“ seien, will dies dann aber dadurch korrigiert sehen, „dass eine Verknüpfung mit der natürlichen Person des Fahrers unmittelbar“ nicht erfolge[41].
Für § 3 Abs. 1 BDSG genügt es indes, wenn Daten einer bestimmbaren Person zugeordnet werden können, also personenbeziehbar sind. Diese Personenbeziehbarkeit liegt nicht nur dann vor, wenn die verantwortliche Stelle (dazu unten Ziff. 3.4) mit ihren Kenntnissen, Mitteln und Möglichkeiten den Personenbezug herstellen kann[42]. Vielmehr genügt es, wenn objektiv für einen beliebigen Dritten die Möglichkeit zur Herstellung des Personenbezugs besteht, gleich ob dies, so der Wortlaut des Entwurfs von Art. 4 Abs. 2 Allgemeine Datenschutzverordnung[43], „direkt oder indirekt“ möglich ist[44]. Damit handelt es sich bei den Daten für Fahrzeugfunktionen ebenso wie bei den Daten für die ohnehin personalisierten Servicefunktionen (dazu oben Ziff. 3.1) um personenbezogene Daten i.S.d. § Abs. 1 BDSG, lassen sich diese doch durch den Fahrer selbst oder verschiedene Dritte, wie Hersteller, Werkstatt, Flottenbetreiber, Arbeitgeber oder Versicherung, ohne oder mit geringem Aufwand zumindest dem Halter, Fahrer oder Eigentümer des Kfz zuordnen[45]. Auch die weitere Relativierung in der Antwort der Bundesregierung, wonach die Personenbeziehbarkeit „im Einzelfall nur im Fall des Hinzutretens weiterer Ereignisse oder besonderer Umstände von Bedeutung (bspw. im Fall eines schweren Unfalls)“ werde, sodass „die faktische Bedeutung einer Herstellung des Personenbezuges im Alltag der Fahrzeugnutzer eingeschränkt“ sei[46], geht deshalb an der Rechtslage vorbei. Erklärlich ist dies aber, wenn man die Antwort der Bundesregierung vom März 2014 auf eine weitere kleine Anfrage auf die Frage kennt, wie verhindert werden könne, dass Bewegungsprofile oder Halterinformationen von Fahrzeugen ungehindert gespeichert und verarbeitet werden: „Die Bundesregierung hat diese Frage noch nicht vertieft geprüft.“[47]
Auch die Aufsichtsbehörden scheinen bislang die Augen vor der Realität zu verschließen, worauf eine von diesen gemeinsam mit dem Verband der deutschen Automobilindustrie (VDA)[48] erstellte „Muster-Information über Datenspeicher im Fahrzeug“[49] hinweist. Dort wird ebenso wie in der Antwort der Bundesregierung eine Personenbeziehbarkeit der Daten über Fahrzeugfunktionen verneint: „Eine Vielzahl elektronischer Komponenten Ihres Fahrzeugs enthalten Datenspeicher, die technische Informationen über Fahrzeugzustand, Ereignisse und Fehler temporär oder dauerhaft speichern. […] Diese Daten sind ausschließlich technischer Natur und dienen der Erkennung und Behebung von Fehlern sowie der Optimierung von Fahrzeugfunktionen. […] Bei der Nutzung des Fahrzeugs sind Situationen denkbar, in denen diese technische Daten in Verbindung mit anderen Informationen (Unfallprotokoll, Schäden am Fahrzeug, Zeugenaussagen etc.) – gegebenenfalls unter Hinzuziehung eines Sachverständigen – personenbeziehbar werden könnten“.[50]
Besonders misslich ist dieses Verkennen der Rechtslage, weil sich unter den Daten auch solche befinden, die als besondere Arten personenbezogener Daten i.S.d. § 3 Abs. 9 BDSG (Gesundheitsdaten) oder als eine Informationspflicht auslösende Daten i.S.d. § 42a BDSG (Bank- und Kreditkartendaten) besonderen Schutzes bedürfen. Zu beachten ist ferner, dass nicht nur Daten von Fahrer und Insassen betroffen sind, sondern auch personenbezogene Daten anderer Verkehrsteilnehmer und Dritter, wenn über die Einbindung von Smart Devices in das Kfz und die Nutzung entsprechender Dienste (dazu oben Ziff. 2.4) Fahrer oder Insassen mit Dritten aus dem Kfz kommunizieren.[51]
3.3 Zuordnung der Daten im Kfz
An Daten ohne Personenbezug gibt es kein Eigentum, welches über Art. 14 Abs. 1 GG Schutz genießen könnte. Diese dürfen deshalb frei genutzt werden. Eine Grenze ergibt sich erst, wenn über das Urheberrecht oder den Schutz von Betriebsund Geschäftsgeheimnissen Schutzrechte an Daten oder Datensammlungen begründet werden, die mit dinglicher Wirkung die Nutzung durch Dritte beschränken. Ob und inwieweit ein derartiger Schutz bei nicht personenbezogenen Daten aus Kfz und intelligenten Verkehrssystemen greift, bedarf gesonderter Betrachtung.
Auch an personenbezogenen Daten, die regelmäßig vorliegen dürften (dazu oben Ziff. 3.2), gibt es kein Eigentum[52]. Mit der Ableitung eines Rechts auf informationelle Selbstbestimmung aus dem allgemeinen Persönlichkeitsrecht in Art. 2 Abs. 1 GG durch das BVerfG[53] und dem in der Folge im BDSG in § 4 Abs. 1 BDSG normierten Verbot mit Erlaubnisvorbehalt[54] gibt es gleichwohl keine freie Nutzung personenbezogener Daten.
Denn gleich einem Eigentümer ist der Betroffene i.S.d. § 3 Abs. 1 BDSG vorbehaltlich eines Erlaubnistatbestands berechtigt, jeden Dritten von dem Umgang mit seinen personenbezogenen Daten auszuschließen. Anderenfalls liefe das Verbot mit Erlaubnisvorbehalt ins Leere, woran auch im Entwurf in Art. 6 der Datenschutzverordnung[55] festgehalten wird. Die Zuordnung personenbezogener Daten aus Kfz und intelligenten Verkehrssystemen richtet sich deshalb allein danach, wer Betroffener i.S.d. § 3 Abs. 1 BDSG und wer verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG ist (dazu sogleich unten Ziff. 3.4).
3.4 Betroffener und verantwortliche Stellen
Betroffen vom Umgang mit personenbezogenen Daten im und aus dem Kfz können Halter, Fahrer, Insassen und ggf. Dritte sein (siehe oben Ziff. 3.2). Zur Feststellung des Betroffenen i.S.d. § 3 Abs. 1 BDSG bedarf es insoweit einer Betrachtung der Daten (dazu oben Ziff. 3.1) im konkreten Einzelfall (zu Anwendungsfällen aus der Praxis unten Ziff. 4). Dies gilt insbesondere, wenn ein Kfz, wie zumeist, durch verschiedene Fahrer oder Insassen genutzt wird, etwa bei einer vom Arbeitgeber gestatteten Privatnutzung eines betrieblichen Kfz durch den Beschäftigten und dessen Familie (zu den Rechtsfolgen einer solchen zugelassenen Privatnutzung im TMG unten Ziff. 3.5.3.2).
Ungleich schwieriger ist die Ermittlung der verantwortlichen Stelle i.S.d. § 3 Abs. 7 BDSG. Entscheidend ist, wer die Herrschaft über die im oder aus dem Kfz erhobenen personenbezogenen Daten innehat[56], wer also i.S.d. Art. 2 lit. d) der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie = DSRL)[57] „über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“[58].
Verantwortliche Stelle dürfte beim Umgang mit personenbezogenen Daten nur in Ausnahmefällen der Betroffene selbst sein, etwa wenn es um Daten aus Servicefunktionen (dazu oben Ziff. 3.1) im Infotainment-System (zum Begriff oben Ziff. 2.4) geht, über deren Verwendung der Betroffene einschließlich deren Löschung i.S.d. § 3 Abs. 4 Nr. 5 BDSG selbst (mit-) entscheiden kann[59]. Soweit die Bundesregierung davon ausgeht, dass Kfz dem Nutzer „regelmäßig über die elektronische Menüführung die Löschung dieser Daten“ erlauben[60], ist nicht bekannt, auf welcher Tatsachenbasis diese Aussage getroffen worden ist. Die Betriebsanleitungen und Datenschutzerklärungen der Anbieter solcher Dienste verhalten sich regelmäßig weder zum Vorhandensein einer Löschfunktion noch zu deren Wirkweise. Im Übrigen dürften dem Betroffenen im Regelfall die notwendigen Systeme (Software, Hardware) und Kenntnisse fehlen, um Daten für Fahrzeug- oder Servicefunktionen zu beherrschen.
Zumeist dürfte verantwortliche Stelle deshalb derjenige sein, der die zum Umgang mit personenbezogenen Daten im Kfz vorhandenen Anwendungen oder Dienste intelligenter Verkehrssysteme (zu den Begriffen oben Ziff. 2.2) bereitgestellt hat oder hierauf bei einem physischen oder Remote-Zugang zum Kfz zugreifen kann[61]. Das ist wegen der Daten aus im Kfz verbauten Steuergeräten regelmäßig der Hersteller oder die mit der Durchführung von Arbeiten am Kfz beauftragte Werkstatt, bei Telematik-Boxen (dazu oben Ziff. 2.3) der für deren Einbau verantwortliche Arbeitgeber, Flottenbetreiber oder Versicherer. Geht es um die Übermittlung von Daten C2I/C2X aus dem Kfz an externe infrastrukturelle Anwendungen oder Dienste intelligenter Verkehrssysteme, wird regelmäßig der Dienstleister die verantwortliche Stelle sein. Dabei können sich die verantwortlichen Stellen wiederum Auftragsdatenverarbeiter i.S.d. § 11 BDSG[62] bedienen oder die Verwendung der personenbezogenen Daten in Cloud-Applikationen[63] vornehmen.
Wesentliches Element der datenschutzrechtlichen Bewertung des Umgangs mit personenbezogenen Daten im Connected Car ist deshalb die sorgfältige und differenzierte Aufarbeitung des zugrunde liegenden Sachverhalts bezogen auf die Beteiligten, die verwendete Technik und die betroffenen Anwendungen und Dienste intelligenter Verkehrssysteme, woran es bislang zumeist fehlt.
3.5 Anwendbares Datenschutzrecht
Spezialgesetze für den Umgang mit personenbezogenen Daten im Zusammenhang mit intelligenten Verkehrssystemen gibt es mit Ausnahme des IVG nicht (zum IVSG oben Ziff. 2.2 und unten Ziff. 3.5.2). Die Bundesregierung hält solche auch nicht für erforderlich, weil es sich hier um ein Querschnittsthema handele, welches „allgemein und technikneutral geregelt werden“ könne[64].
3.5.1 GrenzüberschreitendeSachverhalte
Für die Bestimmung des anwendbaren Datenschutzrechts bei grenzüberschreitenden Sachverhalten ist auf § 1 Abs. 5 BDSG oder den diesen wegen seiner Harmonisierungswirkung überlagernden Art. 4 Abs. 1 DSRL als die entscheidenden Kollisionsnormen abzustellen, ohne dass es Besonderheiten zu beachten gilt[65].
3.5.2 Intelligente Verkehrssysteme
Gesetz Die besonderen Herausforderungen intelligenter Verkehrssysteme haben 2010 zur Verabschiedung der IVS-RL und 2013 in Deutschland zum IVSG geführt (Details oben Ziff. 2.2).
3.5.2.1 Erlaubnistatbestände für Intelligente Verkehrssysteme
§ 3 Satz 2 IVSG enthält einen völlig missglückten datenschutzrechtlichen Erlaubnistatbestand, wenn es dort heißt: „Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, soweit dies durch eine bundesgesetzliche Regelung ausdrücklich zugelassen oder angeordnet wird.“
§ 3 Satz 2 IVSG soll Art. 10 IVS-RL umsetzen. Art. 10 Abs. 1 IVS-RL schreibt fest, dass bei Intelligenten Verkehrssystemen die DSRL (siehe oben Ziff. 3.4) zu beachten ist. Art. 10 Abs. 3 IVS-RL konkretisiert dies dahingehend, dass „soweit angemessen“ die Verwendung anonymer Daten bei Anwendungen und Diensten intelligenter Verkehrssysteme zu fördern ist und mit personenbezogenen Daten nur dann umgegangen werden darf, wenn dies für den Betrieb der Anwendungen und Dienste erforderlich ist. Im Übrigen sind gemäß Art. 10 Abs. 4 IVS-RL die Bestimmungen über die Einwilligung im Datenschutzrecht einzuhalten.
Vor diesem Hintergrund[66] und der gebotenen europarechtskonformen Auslegung von § 3 Satz 2 IVSG[67] ist dieser kein eigenständiger, die Einwilligung ausschließender gesetzlicher Erlaubnistatbestand i.S.d. § 4 Abs. 1 BDSG, sondern zunächst nur ein in seiner Wirkung deklaratorischer Verweis auf alle bundesgesetzlichen Erlaubnistatbestände insbesondere im BDSG, TMG und TKG. Konstitutiv verbietet § 3 Satz 2 IVSG jedoch den Rückgriff auf landesgesetzliche Regelungen als Erlaubnistatbestand für den Umgang mit personenbezogenen Daten zum Betrieb intelligenter Verkehrssysteme und hierauf basierender Anwendungen und Dienste[68].
3.5.2.2 Besondere Datenarten im IVSG
Das IVSG definiert in § 2 besondere Datenarten. Straßendaten i.S.d. § 2 Nr. 6 IVSG sind „Daten über Merkmale der Straßeninfrastruktur einschließlich fest angebrachter Verkehrszeichen oder ihrer geregelten Sicherheitsmerkmale“, Verkehrsdaten i.S.d. § 2 Nr. 7 IVSG „vergangenheitsbezogene Daten und Echtzeitdaten zum Straßenverkehrszustand“ und Reisedaten i.S.d. § 2 Nr. 8 IVSG „Daten wie Fahrpläne und Tarife öffentlicher Verkehrsmittel als erforderliche Grundlage für die Bereitstellung von Reiseinformationen vor und während der Reise zur Erleichterung der Planung, Buchung und Anpassung der Reise“. Allen diesen Datenarten ist gemein, dass es sich nicht um personenbezogene Daten i.S.d. § 3 Abs. 1 BDSG handelt, so dass diese hier keiner weiteren Betrachtung bedürfen.
3.5.3 Weitere Spezialgesetze
Vorrangig gegenüber dem BDSG können als Spezialgesetze gemäß § 1 Abs. 3 S. 1 BDSG insbesondere TMG und TKG auf den Umgang mit personenbezogenen Daten im Kfz und den anderen intelligenten Verkehrssystemen Anwendung finden[69]. Die Subsidiarität des BDSG greift aber nur soweit, wie eigene, zum BDSG deckungsgleiche Erlaubnistatbestände zum Umgang mit personenbezogenen Daten in TKG oder TMG vorhanden sind[70], dies jedoch auch dann, wenn sich dadurch eine Erleichterung zugunsten der verantwortlichen Stelle gegenüber dem BDSG ergibt[71]. Weil das TKG keine eigenständigen, von § 1 Abs. 5 BDSG abweichenden Regelungen enthält und § 1 Abs. 5 TMG ausdrücklich klarstellt, dass dort keine „Regelungen im Bereich des internationalen Privatrechts“ getroffen sind, ist das bereichsspezifische Datenschutzrecht im TKG und TMG stets anwendbar, wenn auch das BDSG international Anwendung findet (dazu oben Ziff. 3.5.1)[72].
3.5.3.1 Anwendbarkeit des TKG
Die Anwendbarkeit der §§ 91 ff. TKG setzt nach § 91 Abs. 1 S. 1 TKG voraus, dass „geschäftsmäßig Telekommunikationsdienste” erbracht oder an der Erbringung solcher Dienste mitgewirkt wird. „Telekommunikationsdienste” sind dabei nach § 3 Nr. 24 TKG „in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen”, wobei die Geschäftsmäßigkeit gemäß § 3 Nr. 10 TKG bei einem „nach haltigen Angebot (…) für Dritte mit oder ohne Gewinnerzielungsabsicht” vorliegt. Ebenfalls unter die Telekommunikationsdienste fallen die sog. telekommunikationsgestützten Dienste nach § 3 Nr. 25 TKG, die keinen vom Telekommunikationsdienst räumlich und zeitlich trennbaren Leistungsfluss auslösen, sondern bei denen die Inhaltsleistung noch während der Telekommunikationsverbindung erfüllt wird. Abgrenzungskriterium gegenüber Telemediendiensten nach § 1 Abs. 1 S. 1 TMG ist im Kern der technische Vorgang des Übertragens von Inhalten im Gegensatz zum Angebot der Inhalte als solche, sog. Schichtenmodell[73].
Wird eine Anwendung intelligenter Verkehrssysteme über Mobilfunk oder andere Funktechniken realisiert (ohne dass sich dies auf eine Ad hoc-Kommunikation zwischen zwei Systemen beschränkt[74]), liegt schon begrifflich eine Übertragung von Signalen über Telekommunikationsnetze i.S.d. § 3 Nr. 27 TKG vor. Die Entgeltlichkeit und Geschäftsmäßigkeit wird dabei regelmäßig gegeben sein. Damit ist keine vom Anwender zu zahlende Vergütung gemeint, vielmehr wird auf eine Teilnahme am Wirtschaftsleben durch den Anbieter der Dienste intelligenter Verkehrssysteme abgestellt. Dies hat zur Folge, dass auf den Umgang mit personenbezogenen Daten im Zusammenhang mit der Signalübertragung bei intelligenten Verkehrssystemen nicht das BDSG, sondern die §§ 91 ff. TKG anzuwenden sind[75].
Ein Telekommunikationsdienst ist auch dann gegeben, wenn der Dienst intelligenter Verkehrssysteme (zum Begriff oben Ziff. 2.2) selbständig für den Kfz-Nutzer das Veröffentlichen und Verteilen von Nachrichten oder sonstigen Informationen innerhalb des jeweiligen Dienstes oder an andere Anwendungen und Dienste übernimmt. In diesem Fall dient die Funktionalität überwiegend der Verbreitung von Inhalten, also deren technischer Übertragung; ohne die Übertragung wäre die Funktionalität für den Nutzer wertlos[76]. Eine derartige Verteilung von Informationen findet sich heute z.B. in InfotainmentSystemen (zum Begriff oben Ziff. 2.4), welche die Nutzung von Twitter, Facebook oder E-Mail-Diensten im Kfz erlauben, aber auch in Navigationsgeräten zur Optimierung der Routenplanung in Echtzeit oder standortbasierten Diensten im Fuhrparkmanagement.
Sind die §§ 91 ff. TKG anwendbar, wird der Umgang mit personenbezogenen Daten gegenüber dem BDSG erheblich beschränkt. Ohne Einwilligung dürfen dann im Wesentlichen Verkehrsdaten i.S.d. § 3 Nr. 30 TKG für den Aufbau von Verbindungen gemäß § 96 Abs. 1 TKG, zur Entgeltermittlung und Entgeltabrechnung gemäß § 97 TKG sowie zum Umgang mit Störungen und Missbrauchsfällen gemäß § 100 TKG, Bestandsdaten i.S.d. § 3 Nr. 3 TKG zur Begründung, Durchführung und Beendigung von Vertragsverhältnissen sowie Standortdaten i.S.d. § 3 Nr. 19 TKG nur anonymisiert gemäß § 98 TKG verwendet werden. Inhaltsdaten sind, soweit das Fernmeldegeheimnis greift, ohnehin jeglichem Zugriff durch den Diensteanbieter entzogen[77] und unterfallen mangels Spezialgesetz im TKG dem BDSG[78].
3.5.3.2 Anwendbarkeit des TMG
Nach § 1 Abs. 1 S. 1 TMG sind Telemediendienste durch eine Negativabgrenzung zu bestimmen. Hiernach ist jeder elektronische Informations- und Kommunikationsdienst, der kein ganz in der Übertragung von Signalen bestehender Telekommunikationsdienst nach § 3 Nr. 24 TKG, kein telekommunikationsgestützter Dienst nach § 3 Nr. 25 TKG und auch kein Rundfunk nach § 2 RStV[79] ist, ein Telemediendienst. Damit fallen u.a. folgende Funktionalitäten in den Anwendungsbereich des TMG:[80] Datendienste (Verkehr, Wetter, Umwelt, Börse), Empfehlungs- und Ratgeberdienste, Bestellungs-, Buchungs- und Maklerdienste, einschließlich Shops und Handelsplattformen, Presse und Nachrichtendienste sowie On-Demand- und Streaming-Dienste, soweit es sich dabei nicht um Rundfunk handelt.
Viele der vorgenannten Funktionalitäten werden durch Dienste intelligenter Verkehrssysteme (zum Begriff oben Ziff. 2.2) dynamisch und nicht nur als stationäre, lokal im Kfz installierte Software bereitgestellt, so dass auf diese Dienste vorrangig gegenüber dem BDSG die §§ 11 ff. TMG anzuwenden sind[81]. Funktionalitäten, die nicht ganz, sondern nur überwiegend in der Erbringung von Telekommunikationsdiensten bestehen, können sowohl unter die §§ 91 ff. TKG als auch unter die §§ 11 ff. TMG fallen. Besteht ein Dienst aus mehreren Funktionalitäten, die z.T. unter das TKG, z.T. unter das TMG fallen, sind derartige „zusammengesetzte Dienste” einzeln nach ihren Funktionalitäten und nicht nach dem Schwerpunkt des Dienstes zu behandeln[82].
Sind die § 11 ff. TMG anwendbar, ist der Anbieter des Dienstes zur Bereitstellung einer Datenschutzerklärung gemäß § 13 Abs. 1 TMG verpflichtet[83]. Daneben beschränken die §§ 14, 15 TMG den Umgang mit personenbezogenen Daten zur Erbringung von Telemediendiensten ähnlich wie die §§ 91 ff. TKG (dazu oben Ziff. 3.5.3.1). Außerhalb der Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses sowie dessen Abrechnung bedarf der Umgang mit personenbezogenen Daten aus Telemedien nahezu immer der Einwilligung des Betroffenen. Dies ist insbesondere im Beschäftigungsverhältnis misslich, wenn der Arbeitgeber dem Arbeitnehmer die (auch) private Nutzung eines betrieblichen Kfz als Anwendung intelligenter Verkehrssysteme gestattet hat und damit über das betriebliche Kfz Dienste intelligenter Verkehrssysteme in Form von Telemedien in Anspruch genommen werden können. Wegen § 11 Abs. 1 Nr. 1 TMG, der den Rückgriff auf das BDSG im Dienst- und Arbeitsverhältnis nur bei der ausschließlich betrieblichen Nutzung von Telemedien gestattet, kann der Arbeitgeber bei derartig gestatteter Privatnutzung einen nach dem BDSG zulässigen, aber nach dem TMG unzulässigen Umgang mit personenbezogenen Daten nur über eine Einwilligung des oder der Betroffenen (dazu unten Ziff. 3.6.3) oder eine Betriebsvereinbarung legimitieren, letzteres jedoch nur, wenn sich die Betriebsvereinbarung wegen § 12 Abs. 1, Abs. 2 TMG ausdrücklich auch auf Telemedien bezieht[84].
3.6 Art und Weise des Umgangs mit personenbezogenen Daten
Beim Umgang mit personenbezogenen Daten aus und im Kfz (zur Herleitung oben Ziff. 3.2) kann man zwischen einem geheimen Vorgehen, einem Vorgehen mit Wissen des Betroffenen und einem Vorgehen mit Einwilligung des Betroffenen differenzieren[85]. Die datenschutzrechtliche Zulässigkeit beurteilt sich dabei jeweils nach dem anwendbaren Datenschutzrecht (dazu oben Ziff. 3.5).
3.6.1 Geheimer Umgang
Der geheime Umgang bezieht sich auf solche personenbezogenen Daten, die ohne Wissen oder Einwilligung des Betroffenen erhoben, verarbeitet und genutzt werden. Hierbei handelt es sich regelmäßig um Daten für Fahrzeugfunktionen (zum Begriff oben Ziff. 3.1), auf die der Betroffene regelmäßig mangels Herrschaft über die verwendeten Systeme (Hardware/Software) keinen Zugriff hat und worüber er nicht durch eine Datenschutzerklärung der verantwortlichen Stelle (dazu oben Ziff. 3.4) aufgeklärt wird.
3.6.2 Umgang mit Wissen des Betroffenen
Der Umgang mit personenbezogenen Daten mit Wissen des Betroffenen erfasst alle Fälle, in denen der Betroffene entweder von der verantwortlichen Stelle (dazu oben Ziff. 3.4) über eine Datenschutzerklärung (zur Notwendigkeit bei Telemedien im Kfz oben Ziff. 3.5.3.2) über den Umgang mit personenbezogenen Daten in Kenntnis gesetzt worden oder dieser für den Betroffenen offenkundig ist. Letzteres ist bei solchen Anwendungen und Diensten intelligenter Verkehrssysteme der Fall, die vom Betroffenen aktiv in Betrieb genommen und die Erhebung personenbezogener Daten kenntlich machen. Hierunter fallen z.B. Daten aus Servicefunktionen (zum Begriff oben Ziff. 3.1) im Infotainment-System, etwa wenn der Betroffene sein Smart Device (dazu oben Ziff. 2.4) mit dem Kfz koppelt und sodann über das Kfz telefoniert, E-Mails versendet oder soziale Netzwerke nutzt oder aber auf Informationen aus Kamerasystemen im Kfz zurückgreift.
3.6.3 Umgang mit Einwilligung des Betroffenen
Der Umgang mit personenbezogenen Daten mit Einwilligung des Betroffenen setzt wegen der Informiertheit und Bestimmtheit der Einwilligung nach § 4a Abs. 1 BDSG[86] stets das Wissen des Betroffenen über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten voraus (dazu oben Ziff. 3.6.2). Kennzeichnendes Merkmal ist insoweit die Zustimmung des Betroffenen zum Umgang mit seinen personenbezogenen Daten, die als Erlaubnistatbestand i.S.d. § 4 Abs. 1 BDSG den anderenfalls erfolgenden Grundrechtseingriff rechtfertigt (dazu oben Ziff. 3.3). Derartige Einwilligungen werden in der Praxis bislang nahezu ausschließlich für Daten aus Servicefunktionen beim Kauf eines Kfz eingeholt, aber nur in Ausnahmefällen bei einer späteren Nutzungsüberlassung des Kfz an den Arbeitnehmer oder für Daten aus Fahrzeugfunktionen (zu den Begriffen oben Ziff. 3.1). Ein Beispiel hierfür sind die zur Inanspruchnahme eines Telematik-Tarifs (dazu unten Ziff. 4.3) erforderlichen Einwilligungen in die Installation der TelematikBox (zum Begriff oben Ziff. 2.3) und die Verwendung der hiermit erhobenen personenbezogenen Daten zur Bestimmung des Versicherungstarifs.
4. Anwendungsfälle aus der Praxis
Im Folgenden werden einzelne Anwendungsfälle zum Umgang mit personenbezogenen Daten im und aus dem Kfz beschrieben und datenschutzrechtlich bewertet. Daneben gibt es eine Vielzahl weiterer Anwendungsfälle, z.B. bei der Vertragsanbahnung, der Bereitstellung von Serviceangeboten, der Fernsteuerung von Kfz und in Straf- und Ordnungswidrigkeitenverfahren, deren Darstellung jedoch den Rahmen dieses Beitrags gesprengt hätte[87].
4.1. Intelligente Verkehrssteuerung
Bei der intelligenten Verkehrssteuerung geht es um den Umgang mit Daten zur Ermöglichung eines verkehrsoptimierten Verhaltens von Fahrer und Kfz.
4.1.1 Beispiele intelligenter Verkehrssteuerung
Bei der intelligenten Verkehrssteuerung können etwa Angaben über die Entfernung zur Ampel, die Restdauer der dortigen Grünphase und etwaige Geschwindigkeitsbegrenzungen oder Verkehrshindernisse auf dem verbleibenden Weg bis zur Ampel in einer Kommunikation C2C und C2X (dazu oben Ziff. 2) zu einem Fahren mit der „grünen Welle“, einem verbrauchsreduzierten Heranrollen an die Ampel oder einer Änderung der Ampelphasen genutzt werden. Ähnlich können Angaben zum Wetter wie Temperatur und Niederschlagsmenge in der Kommunikation C2C und C2X zur adaptiven Verkehrssteuerung und Unfallvermeidung genutzt werden, wenn etwa das vorausfahrende Kfz die nachfolgenden Kfz vor Glätte warnt oder infrastrukturelle intelligente Verkehrssysteme (zum Begriff oben Ziff. 2.2) im Kfz vor einem Unfall auf der Fahrstrecke warnen.
4.1.2 MDM Mobilitäts Daten Marktplatz
Die Einführung der intelligenten Verkehrssteuerung ist ein Schwerpunkt im sog. IVS Aktionsplan „Straße“ der Bundesregierung[88]. Ein Element ist die Etablierung des MDM Mobilitäts Daten Marktplatz mit Unterstützung des Bundeswirtschaftsministeriums.[89] Der MDM soll „die Profile aller bundesweit verfügbaren Online-Verkehrsdaten zentral vereinen“ und als „Metadatenplattform […] mehr Transparenz für die Akteure im neu entstehenden Markt [schaffen] und […] die Kooperation [fördern]“.[90] Beim noch bis Ende 2015 kostenfrei nutzbaren MDM sollen Datenanbieter unter Angabe von Metadaten ihre Straßendaten, Verkehrsdaten und Reisedaten i.S.d. IVSG (dazu oben Ziff. 3.5.2.2) bewerben, Kontakt zu Datenabnehmern herstellen und sodann die angebotenen Daten standardisiert übertragen können[91].
4.1.3 Datenschutzrechtliche Bewertung
Bei den auf dem MDM angebotenen Daten dürfte es sich regelmäßig nicht um personenbezogene Daten handeln, weil diese entweder ihrem Wesen nach als Straßendaten, Verkehrsdaten und Reisedaten keinen Personenbezug aufweisen (dazu oben Ziff. 3.5.2.2) oder aber nur in anonymisierter Form zum Handel angeboten werden. Solange es nicht durch die Kombination verschiedener Datenpakete mittels Big Data[92] zur Wiederherstellung eines Personenbezugs kommt, ist die Nutzung dieser Daten datenschutzrechtlich unbeachtlich (zu anderen Nutzungsschranken oben Ziff. 3.3).
Fehlt es beim Umgang mit personenbezogenen Daten zu Zwecken der intelligenten Verkehrssteuerung an einer Anonymisierung, erlauben diese Daten regelmäßig die Erstellung von Fahr- und Verhaltensprofilen der Betroffenen, was ein schwerwiegender Eingriff in das Persönlichkeitsrecht ist, der durch keinen gesetzlichen Erlaubnistatbestand gerechtfertigt werden kann, insbesondere dann nicht, wenn auch besondere Arten personenbezogener Daten i.S.d. § 3 Abs. 9 BDSG betroffen sind (dazu oben Ziff. 3.2). Damit ist regelmäßig eine Einwilligung der Betroffenen für einen datenschutzrechtlich zulässigen Umgang erforderlich (zur Einwilligung unten Ziff. 5.3).
4.2 Automatische Notrufsysteme
Die bislang von verschiedenen Herstellern freiwillig angebotenen automatischen Notrufsysteme (wie seit 2006 BMW Assist)[93] werden mit Einführung des EU-weiten, auf Mobilfunktechnik basierenden eCall-Dienstes rechtlich voraussichtlich zum 1.10.2015 verpflichtend, spätestens jedoch zum 1.10.2017[94]. Grundlage hierfür sind die IVS-RL (oben Ziff. 2.2), die delegierte Verordnung 305/2013 vom 26.11.2012 zur Ergänzung der Richtlinie 2010/40/EU in Bezug auf die harmonisierte Bereitstellung eines interoperablen EU-weiten eCallDienstes (eCall-VO)[95] und der Beschluss Nr. 585/2014 von europäischem Parlament und Rat vom 15.5.2014 über die Einführung des interoperablen EU-weiten eCall-Dienstes[96].
4.2.1 eCall-Dienst und Mindestdatensatz
Im Fall eines Unfalls löst das Kfz über ein bordeigenes Gerät i.S.d. Art. 2 lit. g) ISV-RL automatisch ohne Mitwirkung der Insassen eine eCall-Transaktion i.S.d. Art. 2 lit. i) ISV-RL aus, welche über das öffentliche Mobilfunknetz den sog. Mindestdatensatz (MSD) i.S.d. Art. 2 lit. j) ISV-RL an die zuständige eCall-Notrufabfragestelle i.S.d. Art. 2 lit. f) ISV-RL übermittelt und zugleich eine Tonverbindung zwischen dem verunfallten Kfz und derselben eCall-Notrufabfragestelle herstellt. Bestandteil des MSD sind die sich aus der DIN EN 15722 ergebenden Daten, im Einzelnen Unfallort, Unfallzeitpunkt, Fahrtrichtung, Fahrzeugkennung mit Fahrzeugtyp und Treibstoffart sowie die Anzahl der angelegten Sicherheitsgurte[97]. Da die Fahrzeugkennung mit der FIN (dazu oben Ziff. 3.1) die Ermittlung des Halters zulässt, handelt es sich beim MSD insgesamt um personenbezogene Daten i.S.d. § 3 Abs. 1 BDSG[98].
- 2.2 Datenschutzrechtliche Bewertung
Mit Inkrafttreten der zugehörigen Verordnung beruht der Umgang mit personenbezogenen Daten zur Realisierung des eCallDienstes auf einer Rechtsvorschrift i.S.d. § 4 Abs. 1 BDSG als Erlaubnistatbestand[99], bei deren Erstellung die Vorgaben der Art. 29 Gruppe im Working Paper 125 aus dem Jahr 2006[100] berücksichtigt worden sind[101].
Derzeit wäre der eCall-Dienst ohne Einwilligung der Betroffenen (zur Einwilligung unten Ziff. 5.3) jedenfalls über § 28 Abs. 1 Satz 1 Nr. 2 BDSG gerechtfertigt, weil dem Interesse an Verkürzung der Reaktionszeiten der Notdienste und einer Lebensrettung nach einem Unfall[102] keine überwiegenden schutzwürdigen Interessen der Betroffenen entgegenstehen.
Eine Möglichkeit zur Deaktivierung des eCall-Dienstes ist für eine datenschutzgerechte Ausgestaltung nicht erforderlich.[103] Dem Gesetzgeber steht es frei, als Erlaubnistatbestand i.S.d. § 4 Abs. 1 BDSG auch eine Verpflichtung zum Umgang mit personenbezogenen Daten zu normieren, wenn dies durch den Schutzzweck gerechtfertigt ist[104].
4.2.3 Zusatzdienste als Ergänzung des eCall-Dienstes
Datenschutzrechtlich problematisch können jedoch die ggf. neben dem verpflichtenden eCall-Dienst weiterhin möglichen Zusatzdienste sein, die vom Hersteller des Kfz oder Dritten angeboten werden. Denkbar sind insbesondere die Zusammenführung des MSD mit Gesundheitsdaten von Fahrer und Insassen, die aus Sensoren im Kfz gewonnen werden (dazu oben Ziff. 2.1 und Ziff. 3.2). Hierfür greifen die gesetzlichen Grundlagen des eCall-Dienstes nicht, so dass es für diese Zusatzdienste eines eigenen Erlaubnistatbestands bedarf, wobei es sich regelmäßig um die Einwilligung des/der Betroffenen handeln wird, wenn diese denn überhaupt zu ermitteln sind.[105]
4.3 Telematik-Tarife in der Kfz-Versicherung
Ein Telematik-basierter Tarif wird derzeit in Deutschland nicht mehr angeboten. Das bislang einzige Angebot, der S-Drive Telematik-Sicherheits-Service Sparkassen Direktversicherung AG[106], war auf 1.000 bereit vergriffene Einheiten beschränkt.
4.3.1 Funktionsweise und Umgang mit personenbezogenen Daten
S-Drive basiert auf einer Trennung der Erhebung und Verarbeitung personenbezogener Daten von deren Nutzung durch den Versicherer zur Bemessung eines Prämienvorteils in der KfzVersicherung, die wiederum nur ein Teil des dem Kunden angebotenen Leistungspakets ist[107]. Durch einen Dienstleister werden im ersten Schritt von einer im Kfz installierten Telematik-Box (zum Begriff oben Ziff. 2.3) Daten zur Fahrt und zum Fahrverhalten erhoben, ohne dass der Dienstleister jedoch die Kundendaten kennt. Die aus dem Kfz gewonnenen Rohdaten werden im zweiten Schritt mit Kartendaten angereichert und zu Scores i.S.d. § 28b BDSG[108] verarbeitet, bestehend aus einem Gesamtscore und vier Teil-Scores zum Fahrverhalten, zur Geschwindigkeit, zum Anteil der Nachtfahrten und zum Anteil der Stadtfahrten[109].
Auf die Daten zu ihren Fahrten, Scores und Ereignisse haben ausschließlich die S-Drive nutzenden Kunden Zugang über ein Webportal oder eine App (zu Smart Devices oben Ziff. 2.4). Der Versicherer erhält ausschließlich die Score-Werte und die im jeweiligen Zeitraum gefahrenen Kilometer mitgeteilt, um hieraus fahrdatenbasiert den etwaigen Nachlass auf den Versicherungstarif zu errechnen. Die Kommunikation erfolgt dabei über eine dem Versicherer und dem Dienstleister jeweils bekannte Kunden-Identifikationsnummer. Im Fall eines von der Telematik-Box ermittelten Unfalls wird außerdem ein Unfallreport an die Deutsche Assistance zur Einleitung von Rettungsmaßnahmen übermittelt.
4.3.2 Datenschutzrechtliche Bewertung
Die Trennung der Erhebung von Fahrt- und Fahrverhaltensdaten ohne Kenntnis des jeweiligen Fahrers von der Nutzung der ausschließlich durch Scores und Angabe einer Gesamtfahrleistung repräsentierten Daten vermeidet zunächst, dass Dienstleister und Versicherer jeweils über einen vollständigen Datensatz (Kundendaten, Fahrtdaten, Fahrverhaltensdaten) verfügen, obwohl dieser mit Blick auf § 3a BDSG zur Zweckerreichung überhaupt nicht erforderlich ist. Es darf allerdings nicht verkannt werden, dass die beim Dienstleister vorhandenen Rohdaten nicht anonymisiert, sondern nur pseudonymisiert i.S.d. § 3 Abs. 6a BDSG sind, so dass der Dienstleister durch Heranziehung weiterer Datenquellen diese wieder per sonalisieren kann. Ebenso erlauben die dem Versicherer übermittelten Scores zumindest noch die Bildung von Risikoprofilen des jeweiligen Kunden, weil ein schlechter Score aufgrund von Nachtfahrten weniger risikobehaftet ist als ein vergleichbar schlechter Score aus dem Fahrverhalten und der Geschwindigkeit
Ungeachtet dessen wird die oben beschriebene Verfahrensweise bei einer hinreichenden Datenschutzerklärung (Unfallmeldung und Datenaufbereitung für den Kunden sind Telemediendienste, dazu oben Ziff. 3.5.3.2) unter Einführung der notwendigen technischen und organisatorischen Maßnahmen i.S.d. § 9 BDSG datenschutzrechtlich wegen der der Trennung verschiedener Datenquellen gemäß § 28 Abs. 1 S. 1 Nr. 1 BDSG ohne Einwilligung des Fahrers[110] (zur Einwilligung unten Ziff. 5.3) zulässig sein[111], wenn die sich aus § 28b BDSG für das Scoring und aus § 6a BDSG für automatisierte Einzelfallentscheidungen geltenden Vorgaben beachtet werden[112]. Auch andere Ausgestaltungen sind auf dieser gesetzlichen Grundlage denkbar.
4.4 Einsatz- und Verhaltenssteuerung
4.4.1 Beispiele zur Einsatz- und Verhaltenssteuerung
Über GPS, RFID[113] oder andere Systeme ermittelte Standortdaten von Kfz, Auflegern, Anhängern, Containern oder Ladungen können einerseits zur Einsatzplanung zwecks Routenplanung oder Nachverfolgung eingesetzt werden, andererseits zur Verhaltenssteuerung, um eine automatisierte Erfassung der betrieblichen und privaten Nutzung eines Kfz oder die Einhaltung vom Arbeitgeber vordefinierter dienstlicher Routen oder effizienter Fahrprofile zu gewährleisten[114]. Die durch solche Location Based Services erlangten Vorteile in Effizienz und Wirtschaftlichkeit der Leistungserbringung haben jedoch zur Folge, dass Bewegungsprofile der betroffenen Fahrer aus den Rohdaten erstellt werden und Fahrer ggf. in Echtzeit auch außerhalb ihrer Arbeitszeit überwacht werden können.
4.4.2 Datenschutzrechtliche Bewertung
Ein gesetzlicher Erlaubnistatbestand für die Erfassung von Standortdaten[115] (zu Standortdaten bei Anwendung des TKG oben Ziff. 3.5.3.1) wird sich nur in Ausnahmefällen aus § 28 Abs. 1 S. 1 Nr. 1, Nr. 2 BDSG ableiten lassen, etwa wenn es um die Erfüllung gesetzlicher Vorgaben bei Geldtransporten, die Ressourcen- und Routenplanung bei Logistikern oder die Erbringung von Notfallleistungen im Facility Management geht. Mit Blick auf die Eingriffsintensität von Bewegungsprofilen[116] bedarf es dabei jedoch einer besonders strengen Zweckbindung einschließlich einer unverzüglichen Löschung der angefallenen Daten nach Zweckerledigung und des Verzichts auf die Zusammenführung mit anderen Datenquellen. Ferner ist sicherzustellen, dass im Privatbereich keine Standortdaten erhoben werden, etwa indem die Systeme nach Beendigung der Arbeitszeit deaktiviert werden können. Im Übrigen lässt sich eine nicht anonymisierte Einsatz- und Verhaltenssteuerung nur über eine Einwilligung der Betroffenen realisieren (zur Einwilligung unten Ziff. 5.3).
5. Herausforderungen für Unternehmen und Datenschützer
Die Ausführungen zum Stand der Technik (oben Ziff. 2), zum Personenbezug der Daten im und aus dem Kfz sowie deren Zuordnung (oben Ziff. 3.2 und 3.3), dem anwendbaren Datenschutzrecht (oben Ziff. 3.5) und den Anwendungsfällen aus der Praxis (oben Ziff. 4) zeigen die Komplexität des Datenschutzes beim „Connected Car“ und den intelligenten Verkehrssystemen. Daraus ergeben sich exemplarisch die nachfolgend beschriebenen besonderen Herausforderungen für Unternehmen und Datenschützer.
5.1 Beschäftigtendatenschutz
§ 32 BDSG ist und bleibt auf absehbare Zeit die einzige Regelung zum Beschäftigtendatenschutz[117]. Die Bundesregierung will vor einem eigenen Tätigwerden zunächst das weitere Gesetzgebungsverfahren auf EU-Ebene bis zur Verabschiedung der allgemeinen Datenschutzverordnung abwarten[118], obwohl im Entwurf in § 82 Datenschutzverordnung[119] ausdrücklich eine Öffnungsklausel zu Gunsten des nationalen Gesetzgebers vorgesehen ist. Für den Umgang mit personenbezogenen Daten durch Anwendungen und Dienste intelligenter Verkehrssysteme (zum Begriff oben Ziff. 2.2) im Beschäftigungsverhältnis bleibt es deshalb beim Nebeneinander von § 28 Abs. 1 S. 1 Nr. 2, Nr. 3 BDSG und § 32 BDSG und der ungeklärten Frage zur Freiwilligkeit der Einwilligung eines Arbeitnehmers[120].
5.2 Beteiligung von Beschäftigtenvertretungen
Werden Anwendungen und Dienste intelligenter Verkehrssysteme (zum Begriff oben Ziff. 2.2) genutzt, ist dies regelmäßig mit der Einführung und Anwendung technischer Einrichtungen verbunden, die unabhängig von einer entsprechenden Intention des Arbeitgebers zur Überwachung von Verhalten und Leistung der Arbeitnehmer i.S.d. § 87 Abs. 1 Nr. 6 BDSG geeignet ist (zur Speicherung von Daten im und aus dem Kfz oben Ziff. 2.6) [121]. Dies ist selbst dann der Fall, wenn Erhebung, Verarbeitung und Nutzung der Daten aus der technischen Einrichtung zeitlich versetzt erfolgen oder die Überwachung nur ein (ggf. sogar nicht gewollter) Nebeneffekt der technischen Einrichtung ist[122]. Es verwundert nicht, dass keiner der zuvor beschriebenen Anwendungsfälle (dazu oben Ziff. 4) ohne Systeme (Hardware/Software) auskommt, die als eine solche technische Einrichtung zu qualifizieren sind.
Ist ein Betriebsrat vorhanden, bedürfen Einführung und Anwendung der technischen Einrichtung in diesen Fällen gemäß § 87 Abs. 1 Nr. 6 BetrVG dessen Zustimmung. Entsprechendes gilt für Personalvertretungen. Wird die Zustimmung im Zusammenhang mit einer Betriebsvereinbarung erteilt, kann diese eine Rechtsvorschrift i.S.d. § 4 BDSG und damit ein Erlaubnistatbestand für den Umgang mit personenbezogenen Daten sein[123], ohne dass jedoch das Schutzniveau des BDSG durch die Betriebsvereinbarung in der Summe unterschritten werden darf[124].
5.3 Einwilligung der Betroffenen
Viele praktische Anwendungsfälle (dazu oben Ziff. 4) machen ganz oder teilweise den Rückgriff auf eine Einwilligung des oder der Betroffenen erforderlich, wenn nicht mit anonymisierten Daten umgegangen wird (dazu oben Ziff. 3.2). Dabei ist die Einwilligung, obwohl mit Blick auf den mit jedem Umgang mit personenbezogenen Daten zunächst einhergehenden Grundrechtseingriff naheliegend (dazu oben Ziff. 3.3), wegen der Schwächen in der Praxis der denkbar schwächste Erlaubnistatbestand. Neben den bekannten Problemen zur Form, Informiertheit, Bestimmtheit und Widerruflichkeit der Einwilligung[125] sowie deren Freiwilligkeit im Beschäftigungsverhältnis (dazu oben Ziff. 5.1) ist bei Anwendungen und Diensten intelligenter Verkehrssysteme (zum Begriff oben Ziff. 2.2) die Ermittlung der Betroffenen und deren Ansprache zwecks Einholung der Einwilligung eine Herausforderung[126]. Neben dem Halter und Fahrerkönnen eben auch Insassen und Dritte wie Familienangehörige und Fuhrparkverantwortliche vom Umgang mit personenbezogenen Daten betroffenen sein. Dies gilt insbesondere dann, wenn das Kfz zu verschiedenen Zwecken (betrieblich, privat) genutzt wird.
5.4. Technische und organisatorische Maßnahmen zur Datensicherheit
Anwendungen und Dienste intelligenter Verkehrssysteme (zum Begriff oben Ziff. 2.2) bedürfen besonderer technischer und organisatorischer Maßnahmen gemäß § 9 BDSG nebst Anlage. Dies gilt insbesondere für die Weitergabekontrolle (Nr. 4 Anlage zu § 9 BDSG) und die Eingabekontrolle (Nr. 5 Anlage zu § 9 BDSG).
Anders als den Hersteller des Kfz oder den Betreiber einer Telematik-Box (dazu oben Ziff. 2.3) stellt dies Arbeitgeber und Fuhrparkbetreiber jedoch vor enorme Herausforderungen, verlangt die Einbindung der Kfz in das betriebliche Datensicherheitskonzept doch Kenntnis von dem im Einzelnen stattfindenden Umgang mit personenbezogenen Daten im Kfz, der jedoch bislang kaum oder gar nicht dokumentiert ist und von den Herstellern der Systeme (Hardware/Software) als Betriebsgeheimnis vor Zugriffen Dritter geschützt wird und dem Zugriff durch Dritte entzogen ist[127]. Wie soll aber ein Arbeitgeber oder Fuhrparkbetreiber seinen Verpflichtungen aus § 9 BDSG etwa durch Verschlüsselung der Daten im Kfz nachkommen, wenn ihm hierzu sowohl Zugang als auch technische Möglichkeiten fehlen?
Dieser offensichtliche Widerspruch zwischen den Pflichten der verantwortlichen Stelle und deren tatsächlichen Möglichkeiten lässt sich derzeit nur lösen, wenn die Hersteller oder Betreiber der Anwendungen und Dienste intelligenter Verkehrssysteme selbst die erforderlichen technischen und organisatorischen Maßnahmen treffen, die für einen datenschutzkonformen Umgang mit personenbezogenen Daten erforderlich sind.
6. Fazit
„Connected Car“ und intelligente Verkehrssysteme bringen alle Zutaten für den Alptraum eines jeden Datenschützers mit:
- schlecht oder nicht dokumentierte Hardware und Software,
- fehlendes technisches Verständnis für die Personenbeziehbarkeit der erhobenen Daten,
- Schwierigkeiten bei Ermittlung und Ansprache der Betroffenen,
- eine Vielzahl von nebeneinander und miteinander agierenden verantwortlichen Stellen,
- Einsatz von Big-Data-Technologien, und
- Umgang mit personenbezogenen Daten in der Cloud.
Solange im Datenschutz am Verbot mit Erlaubnisvorbehalt festgehalten wird, bedarf es deshalb vor Einführung und Anwendung intelligenter Verkehrssysteme und der hierauf beruhenden Anwendungen und Dienste einer sorgfältigen Ermittlung von Sachverhalt, (Rechts-)Beziehungen der Beteiligten und deren datenschutzrechtlicher Zulässigkeit.
Viel wäre schon gewonnen, wenn Hersteller und Dienstleister den Empfehlungen des 52. Verkehrsgerichtstags[128] nachkommen, insbesondere:
- verständliche und dokumentierte Information der Betroffenen bei Erwerb und Nutzung des Kfz über den Umgang mit personenbezogenen Daten im und aus dem Kfz und die damit verfolgten Zwecke,
- Einräumung technischer und rechtlicher Möglichkeiten zur Kontrolle und Unterbindung des Umgangs mit personenbezogenen Daten im und aus dem Kfz („privacy by default“[129] und „privacy by design“), sowie
- Bestimmung und Umsetzung der technischen und organisatorischen Maßnahmen zur Datensicherheit. Hierbei handelt es sich um datenschutzrechtliche Selbstverständlichkeiten, die freilich bislang vielfach ignoriert werden.
Sascha Kremer
Sascha Kremer ist Fachanwalt für Informationstechnologie-Recht und Partner bei LLR LegerlotzLaschet Rechtsanwälte in Köln (www.llr.de). Zugleich ist er Geschäftsführer der LLR DSC GmbH (www.llrdsc.de) und als externer Datenschutzbeauftragter tätig.
Er unterrichtet als Lehrbeauftragter an der Heinrich-Heine-Universität Düsseldorf und der Hochschule Bonn-Rhein-Sieg. Spezialisiert ist er auf das Informationstechnologie-Recht nebst den Bezügen zum Gewerblichen Rechtsschutz (insb. Urheberrecht, Wettbewerbsrecht) und das Datenschutzrecht, ebenso auf die praktische Umsetzung des Datenschutzes und der IT-Sicherheit in Unternehmen.
[1]Http://www.cio.de/news/wirtschaftsnachrichten/2962888/.
[2] Pressemitteilung des Bundesbeauftragten für den Datenschutz Nr. 13/06 v. 28.3.2006 = MMR 2006, VI.
[3] Zum Datenschutz bei Big Data Ehmann, K&R 2014, 394; Mielchen, ITRB 2014, 110; Bornemann, RDV 2013, 232; Schaar, RDV 2013, 223; Ulmer, RDV 2013, 227; Roßnagel, ZD 2013, 562.
[4]Http://www.spiegel.de/panorama/justiz/prozess-gegen-autobahnschuetzen-anwaelte-kritisieren-ermittlungsmethode-a-986176.html.
[5] Ernst & Young, Verbraucherumfrage März 2012, Seite 16: http://www.ey.com/Publication/vwLUAssets/Connected_Car_-_das_Auto_der_Zukunft_2012/$FILE/Connected%20Car%202012.pdf.
[6] Ernst & Young, Verbraucherumfrage März 2012, Seite 21: http://www.ey.com/Publication/vwLUAssets/Connected_Car_-_das_Auto_der_Zukunft_2012/$FILE/Connected%20Car%202012.pdf.
[7] Siehe das Leitprojekt „Connected-Car“ (http://www.imst.de/imst/de/forschung/connectedcar.php) und das Projekt „simtd – Sichere Intelligente Mobilität Testfeld Deutschland“ (http://www.simtd.de/index.dhtml/deDE/index.html).
[8] So 2011 Elmar Frickenstein, BMW Bereichsleiter Elektrik/Elektronik: http://www.car-it.com/frickenstein-connectivity-wird-zum-meilenstein/id-0029485.
[9] Definiert von Stiemerling als „die gegenwärtigen und künftigen technischen Möglichkeiten der elektronischen Datenverarbeitung“, CR 2012, 60 (64).
[10] Schulz/Roßnagel/David, ZD 2010, 510, ergänzen dies noch um C2P = Car to Pedestrian (Fußgänger).
[11] Grafische Darstellung verschiedener Sensoren im Fahrzeug unter http://www.kfztech.de/kfztechnik/elo/sensoren/sensoren.htm, von Umgebungssensoren am Beispiel der S-Klasse von Mercedes unter http://www.focus.de/auto/autoentwicklung/technik/auto-und-technik-autopilot-an-bord_id_3635914.html.
[12] Zur Zulässigkeit sog. Dashboard-Cams siehe AG München, Urteil v. 6.6.2013 – 343 C 4445/13; VG Arnsbach, Urteil v. 12.8.2014 – AN 4 K 13.01634 mit Anmerkung Lachenmann/Schwiering, ZD-Aktuell 2014, 04300; ausführlich Atzert/Franck, RDV 2014, 136.
[13]Http://www.shortnews.de/id/884387/volvo-verbaut-alcolocks.
[14]Http://www.presseportal.de/print/2544042-s-max-concept-zeigt-diemoeglichkeiten-von-design-und-technologie-kommender.html.
[15]Http://www.spiegel.de/spiegel/a-656024.html.
[16] Zu Fahrassistenzsystemen Deutschle, SVR 2005, 249.
[17] Bericht in ADAC Motorwelt, Ausgabe 7/2014.
[18]Http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:207:0001:0013:DE:PDF.
[19] Intelligente Verkehrssysteme Gesetz: http://www.gesetze-im-internet.de/ivsg/BJNR155300013.html.
[20] Zum früheren Verständnis der Verkehrstelematik „Leitfaden Verkehrstelematik“ des Bundesverkehrsministeriums von 2005: http://www.bmvi.de/SharedDocs/DE/Anlage/VerkehrUndMobilitaet/leitfaden-verkehrstelematik.pdf?__blob=publicationFile.
[21] Definition von Nora/Minc, L‘informatisation de la société: rapport à M. le Président de la République, 1978, zitiert nach Wikipedia: http://de.wikipedia.org/wiki/Telematik.
[22] Zu Begriff und Technik http://de.wikipedia.org/wiki/Infotainmentsystem.
[23] Beispielsweise „BMW ConnectedDrive“ (http://www.bmw.com/com/de/insights/technology/connecteddrive/2013/connectivity_technologies/index.html), „Mercedes me“ (https://www.mercedes.me/de/) oder „Audi connect“ (http://origin-www.audi.com/de/brand/de/neuwagen/infotainment_und_kommunikation/audi_connect_dienste.html).
[24] Zu Smart Devices und Datenschutz Kremer, CR 2012, 438; Kremer/Sander, ITRB 2012, 275; Lober, K&R 2013, 357; Art. 29 Gruppe, WP202, „Opinion 02/2013 on apps on smart devices“ vom 27.2.2013: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp202_en.pdf; Düsseldorfer Kreis, „Orientierungshilfe zu den Datenschutzanforderungen an App-Enwickler und App-Anbieter“ vom 16.6.2014: http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Orientierungshilfe_Apps_2014.pdf.
[25]Https://www.apple.com/ios/carplay/.
[26]Http://www.android.com/auto/.
[27] Ein vom Betriebssystem unabhängiges System zur Integration von Apps in Kfz bietet Bosch mit MySpin an: http://www.bosch-softtec.com/myspin.html.
[28] 29 zu 28 Hersteller stand es im Juli 2014 zu Gunsten von Apple: http://www.heise.de/newsticker/meldung/Fahrzeugintegration-Apple-gegenGoogle-bei-29-zu-28-2244427.html.
[29] Das Fahren kann auch durch sog. „Wearables“ (http://de.wikipedia.org/wiki/Wearable_Computing), etwa Google Glass (http://www.google.com/glass/start/), beeinflusst werden, wenn etwa die Navigationsanweisungen in einer Datenbrille unmittelbar vor dem Gesicht des Fahrers statt auf der hierfür vorgesehenen Anzeige im Kfz eingeblendet werden. Ob die Benutzung ggf. ein Verstoß gegen § 23 Abs. 1, Abs. 1a StVO ist, ist derzeit offen. Zu den Rechtsfragen von Google Glass Schwenke, K&R 2013, 685.
[30]Http://www.handelsblatt.com/auto/test-technik/google-baut-eigenesselbstfahrendes-auto-sieht-so-die-zukunft-des-autos-aus/9961054.html.
[31]Http://googleblog.blogspot.de/2010/10/what-were-driving-at.html.
[32] Zu den technischen Schwierigkeiten bei unbekannten oder baulich veränderten Wegstrecken http://www.heise.de/tr/artikel/SchlagloecherPapierfetzen-und-andere-Probleme-2327769.html
[33]Http://www.handelsblatt.com/auto/test-technik/google-baut-eigenesselbstfahrendes-auto-sieht-so-die-zukunft-des-autos-aus/9961054.html.
[34]Http://www.admin.ch/opc/de/classified-compilation/19680244/index.html.
[35] Http://www.welt.de/motor/news/article128190138/Autonomes-Fahren.html.
[36] Zur bisherigen Forschung siehe die Ausführungen zu den Legal Issues im Projekt „AdaptiVe – Automated Driving“: http://adaptive-ip.eu/index.php/legal_issues.html.
[37] Nicht Gegenstand dieses Beitrags ist die Bestandsaufnahme zum Umgang mit den aus intelligenten Kfz und Verkehrssystemen erhobenen personenbezogenen Daten zur Strafverfolgung. Die sich hieraus ergebenden Fragen werden in einem Folgebeitrag betrachtet.
[38] Der Begriff des Umgangs mit personenbezogenen Daten wird in diesem Beitrag i.S.d. § 1 Abs. 1 BDSG als Oberbegriff für das Erheben, Verarbeiten und Nutzen personenbezogener Daten i.S.v. § 3 Abs. 3 bis 5 BDSG verwendet.
[39]Http://de.wikipedia.org/wiki/Fahrzeug-Identifizierungsnummer.
[40] BT-Drucksache 18/1362 v. 2.5.2014, S. 2: http://dipbt.bundestag.de/dip21/btd/18/013/1801362.pdf.
[41] BT-Drucksache 18/1362 v. 2.5.2014, S. 5: http://dipbt.bundestag.de/dip21/btd/18/013/1801362.pdf.
[42] So aber Gola/Schomerus, BDSG, § 3 Rn 10
[43] Entwurf einer Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung), Kom(2012) 11 endgültig: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:HTML; konsolidierte Fassung: http://www.delegedata.de/datenschutzgrundverordnung-konsolidierte-fassung/; zur Datenschutzverordnung insgesamt Gola/Schulz, RDV 2013, 1; Schwartmann, RDV 2012, 55; Eckhardt, CR 2012, 195; Schneider, ITRB 2012, 180.
[44] Ebenso Pohle/Zoch, CR 2014, 409 (410)
[45] Ebenso Weichert, SVR 2014, 201 (204).
[46] BT-Drucksache 18/1362 v. 2.5.2014, S. 5: http://dipbt.bundestag.de/dip21/btd/18/013/1801362.pdf
[47] BT-Drucksache 18/706 v. 5.3.2014, S. 11: http://dipbt.bundestag.de/dip21/btd/18/007/1800706.pdf.
[48] VDA: http://www.vda.de.
[49] Abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Muster-Information_Fahrzeugdatenspeicher.pdf.
[50] Kritisch dazu auch Pohle/Zoch, CR 2014, 409 (410)
[51] Ausführlich Weichert, SVR 2014, 201 (204).
[52] BT-Drucksache 18/1362 v. 2.5.2014, S. 3: http://dipbt.bundestag.de/dip21/btd/18/013/1801362.pdf.
[53] BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, NJW 1984, 419 = Volkszählungsurteil.
[54] Dazu Gola/Schomerus, BDSG, § 4 Abs. 1 Rn. 1 f.
[55] Dazu oben Fn. 43
[56] BT-Drucksache 18/1362 v. 2.5.2014, S. 4: http://dipbt.bundestag.de/dip21/btd/18/013/1801362.pdf.
[57]Http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:DE:HTML.
[58] Gola/Schomerus, BDSG, § 3 Rn. 48; anders Weichert, SVR 2014, 201 (205), der jede Zweckveranlassung eines Umgangs mit personenbezogenen Daten genügen lässt.
[59] Zu beachten ist, dass bei einem ausschließlich persönlichen oder familiären Umgang mit personenbezogenen Daten das BDSG gemäß § 1 Abs. 2 Nr. 3 BDSG keine Anwendung findet, dazu Schulz/Roßnagel/David, ZD 2012, 510 (513).
[60] BT-Drucksache 18/1362 v. 2.5.2014, S. 2: http://dipbt.bundestag.de/ dip21/btd/18/013/1801362.pdf.
[61] Ausschließlich auf die Zugriffsmöglichkeit stellt ab Kamps, Internationales Verkehrswesen 2014, 18.
[62] Denkbar ist, dass die Anwendungen oder Dienste intelligenter Verkehrssysteme im Auftrag des Betroffenen von einem Dritten beherrscht werden, wovon ohne Begründung die Bundesregierung ausgeht, BT-Drucksache 18/1362 v. 2.5.2014, S. 3: http://dipbt.bundestag.de/dip21/btd/18/013/1801362.pdf. Dann handelt es sich bei Abschluss eines Vertrags gemäß § 11 Abs. 2 S. 2 BDSG um eine Auftragsdatenverarbeitung i.S.d. § 11 Abs. 1 BDSG mit der Folge, dass der Betroffene selbst verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG ist. Ebenso ist denkbar, dass eine Auftragsdatenverarbeitung zwischen dem den Umgang mit personenbezogenen Beherrschenden und einem Dritten abgeschlossen ist, etwa zwischen Flottenbetreiber und Arbeitgeber. Ausführlich zur Auftragsdatenverarbeitung Kremer, ITRB 2014, 60; Kremer/Sander, ITRB 2014, 187.
[63] Zum Datenschutz beim Cloud Computing Selzer, DuD 2014, 470; Borges, DuD 2014, 165; Kühling/Biendl, CR 2014, 150; Göpel, RDV 2013, 292.
[64] BT-Drucksache 18/1362 v. 2.5.2014, S. 5: http://dipbt.bundestag.de/dip21/btd/18/013/1801362.pdf; kritisch Weichert, SVR 2014, 241 (247).
[65] Zur Harmonisierungswirkung der DSRL und der Bestimmung des anwendbaren Rechts am Beispiel von Social Media Diensten ausführlich Kremer, RDV 2014, 73 (75). Zur neuen extensiven Auslegung des Begriffs der Ausführung von Datenverarbeitungen in einer Niederlassung in Art. 4 Abs. 1 lit. a) DSRL EuGH, Urteil v. 13.5.2014 – C-131/12 = K&R 2014, 512, dazu Karg, ZD 2014, 359.
[66] Siehe auch Erwägungsgrund 12 IVS-RL, zur Notwendigkeit der Berücksichtigung der Erwägungsgründe bei Auslegung einer Richtlinie EuGH, Urteil v. 10.4.2014 – C-435/12, Urteil v. 21.10.2010 – C-467/08.
[67] Zur Harmonisierungswirkung der DSRL siehe Kremer, RDV 2014, 73 (75).
[68] Ob die mit dem Ausschluss landesgesetzlicher Erlaubnistatbestände einhergehende Beschränkung der Gesetzgebungskompetenz der Länder aus Art. 70 Abs. 1 GG verfassungsrechtlich zulässig ist, bedarf ggf. noch besonderer Prüfung.
[69] Ausführlich Weichert, SVR 2014, 201 (203).
[70] Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, § 91 TKG Rn. 2.
[71] Gola/Schomerus, BDSG, § 1 Rz. 24.
[72] Stadler, ZD 2011, 57 (58).
[73] Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, § 91 TKG Rz. 5; Holznagel/Ricke, in: Spindler/Schuster, Recht der elektronischen Medien, § 3 TKG Rz. 35.
[74] Schulz/Roßnagel/David, ZD 2012, 510 (512).
[75] BMW ist bei der Bundesnetzagentur (http://www.bnetza.de) bereits als Telekommunikationsdiensteanbieter registriert: http://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/Meldepflicht/TKDiensteanbieterPDF.pdf?__blob=publicationFile&v=24.
[76] Zur vergleichbaren Situation bei Apps Kremer, CR 2012, 438 (441).
[77] Zum Fernmeldegeheimnis nach § 88 TKG und Art. 10 GG am Beispiel EMail Sander, CR 2014, 176.
[78] Weichert, SVR 2014, 201 (203).
[79] Zur Abgrenzung Heckmann in jurisPK-Internetrecht, Kap. 1 Rz. 42 ff.
[80] Weitere Beispiele bei Heckmann in jurisPK-Internetrecht, Kap. 1 Rz. 59 ff.; Holznagel/Ricke in Spindler/Schuster, Recht der elektronischen Medien, § 1 TMG Rz. 10.
[81] Ebenso die Bundesregierung, BT-Drucksache 18/1362 v. 2.5.2014, S. 4: http://dipbt.bundestag.de/dip21/btd/18/013/1801362.pdf; kritisch Schulz/Roßnagel/David, ZD 2012, 510 (512).
[82] Mit Nachweisen zur anderen Ansicht Kremer, CR 2012, 438 (441).
[83] Zur Datenschutzerklärung und deren Inhaltskontrolle als AGB Kremer, RDV 2014, 73, 82.
[84] Zur Abgrenzung von TMG und BDSG ausführlich Sander, CR 2014, 176 (181).
[85] Nach Mielchen in: 52. Deutscher Verkehrsgerichtstag 2014, 241 (246); Mielchen, SVR 2014, 80 (81).
[86] Dazu Gola/Schomerus, BDSG, § 4a Rn. 26 ff.
[87] Zur Kommunikation zwischen Kfz und Fußgänger ausführlich Schulz/ Roßnagel/David, ZD 2012, 510 (513).
[88] Details im IVS Aktionsplan „Straße“, September 2012: http://www.bmvi.de/SharedDocs/DE/Anlage/VerkehrUndMobilitaet/Strasse/ivs-aktionsplan-strasse-broschuere.pdf?__blob=publicationFile; Information an die EU-Kommission, August 2012: http://www.bmvi.de/SharedDocs/DE/Anlage/VerkehrUndMobilitaet/Strasse/ivs-massnahmen.pdf?__blob=publicationFile; Bericht zu Status und Rahmenbedingungen für intelligente Verkehrssysteme in Deutschland, 2011: http://ec.europa.eu/transport/themes/its/road/action_plan/doc/2011_its_initial_report_germany.pdf.
[89] MDM Mobilitäts Daten Marktplatz: http://www.mdm-portal.de.
[90]Http://www.mdm-portal.de/projekt.html.
[91]Http://service.mdm-portal.de/mdm-portal-application/.
[92] Dazu oben Fn. 3.
[93]Http://www.pressebox.de/pressemitteilung/bmw-ag-0/AutomatischerNotruf-mit-Ortung-in-allen-BMW-Automobilen-erhaeltlich/boxid/61214.)
[94] Der genaue Zeitpunkt hängt vom Inkrafttreten der „Verordnung über Anforderungen für die Typgenehmigung zur Einführung des bordeigenen eCall-Systems in Fahrzeuge und zur Änderung von Richtlinie 2007/46/ EG“, die derzeit nur als Vorschlag COM(2013)316 final (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2013:0316:FIN:DE:PDF) vorliegt und beraten wird, zum Stand des Verfahrens http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=de&DosId=202791; weitere Details bei Lüdemann/Sengstacken, RDV 2014, 177; Pohle/Zoch, CR 2014, 409 (412).
[95]Http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:091:0001:0004:DE:PDF.
[96]Http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:JOL_2014_164_R_0002&from=DE.
[97] Ausführlich Lüdemann/Sengstacken, RDV 2014, 177 (178).
[98] Zur Kritik an der Einbeziehung der FIN in den MSD Pohle/Zoch, CR 2014, 409 (414).
[99] Ausführlich Lüdemann/Sengstacken, RDV 2014, 177 (178).
[100] Artikel 29-Gruppe: Working document on data protection and privacy implications in eCall initiative v. 26.9.2006 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp125_en.pdf).
[101] Zur Kritik an der verpflichtenden Einführung des eCall-Dienstes Mielchen, ITRB 2014, 110; zu Details der datenschutzrechtlichen Regelungen auf EU-Ebene Pohle/Zoch, CR 2014, 409 (413).
[102] Vgl. Erwägungsgrund 6 der Verordnung Nr. 305/2013.
[103] Ebenso Pohle/Zoch, CR 2014, 409 (416).
[104] Eine Datenverwendungspflicht ergibt sich etwa aus § 25h Abs. 2 S. 1 KWG, die noch durch einen positiv formulierten Erlaubnistatbestand in § 25h Abs. 2 S. 2 KWG ergänzt wird. Zu Rechtsvorschriften als Erlaubnistatbestand Gola/Schomerus, BSDG, § 4 Rn. 7.
[105] Zu Zusatzdiensten und den Schwächen einer Einwilligungslösung Lüdemann/Sengstacken, RDV 2014, 177 (179).
[106]Https://www.sparkassen-direkt.de/telematik.html.
[107] Schaubilder: http://www.sparkassen-direkt.de/fileadmin/pdf/getrennte.datenkreise.pdf und https://www.sparkassen-direkt.de/fileadmin/pdf/datenfluss.im.ueberblick.pdf.
[108] Zum Scoring BGH, Urteil v. 28.1.2014 – VI ZR 156/13 = RDV 2014, 154; Joos, RDV 2014, 157; Gürtler/Kriese, RDV 2010, 47; Behm, RDV 2010, 61
[109] Merkblatt: https://www.sparkassen-direkt.de/fileadmin/pdf/Merkblatt07112013.pdf.
[110] Zu den Problemen bei mehreren Betroffenen Lüdemann/Sengstacken, RDV 2014, 177 (180).
[111] Ebenso Pohle/Zoch, CR 2014, 409 (411); Weichert, SVR 2014, 241 (246).
[112] Soweit im Zusammenhang mit S-Drive von einer durch den Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen (LDI NRW) erfolgten Prüfung des Verfahrens gesprochen wird, lässt sich diese Angabe nicht nachvollziehen. Eine öffentliche Stellungnahme oder Empfehlung des LDI NRW gibt es nicht.
[113]Http://de.wikipedia.org/wiki/RFID, dazu Löw, ZD 2013, 309; Dreyer, ZD 2012, 20; Kesten, RDV 2008, 97.
[114] Mit dem sog. Fiskaltaxameter ist dies technisch möglich, dazu http://taxi-magazin.de/taxi/topics/fiskaltaxameter-hamburgs-weg-in-dieschoene-neue-taxiwelt.php.
[115] Ausführlich Weichert, SVR 2014, 201 (206).
[116] Dazu Weichert, SVR 2014, 241.
[117] Zum Verlauf des Gesetzgebungsverfahren im Beschäftigtendatenschutz nach Einführung des § 32 BDSG http://gesetzgebung.beck.de/node/1002468, zum Beschäftigtendatenschutz insgesamt Wybitul, NZA 2014, 225; Hornung/Knieper, ZD 2014, 383; Pötters/Traut, RDV 2013, 132; Gola, RDV 2012, 60; Thüsing, RDV 2011, 163.
[118] BT-Drucksache 18/1122 v. 10.4.2014, S. 3: http://dip21.bundestag.de/dip21/btd/18/011/1801122.pdf
[119] Dazu Fn. 43.
[120] Dazu Gola/Schomerus, BDSG, § 4a Rn. 65 f.
[121] Ausführlich Kania, Erfurter Kommentar zum Arbeitsrecht, § 87 Rn. 48 ff.
[122] Grundlegend BAG, Beschluss v. 10.7.1979 – 1 ABR 50/78 zum Fahrtenschreiber.
[123] Gola/Schomerus, BDSG, § 4 Rn. 10 f.
[124] Grundlegend BAG, Beschluss v. 27.5.1986 – 1 ABR 48/84 = RDV 1986, 199.
[125] Hierzu Lüdemann/Sengstacken, RDV 2014, 177 (181); Weichert, SVR 2014, 241 (243).
[126] Lüdemann/Sengstacken, RDV 2014, 177 (180).
[127] Kritisch auch Weichert, SVR 2014, 241 (244).
[128] Zusammenfassung bei Born, NZV 2014, 154 (158).
[129] Dazu Pohle/Zoch, CR 2014, 409 (411).