Moderne Fahrzeuge mit hoch- oder vollautomatisierten Fahrsysteme sollen Fahrdaten künftig bis zu drei Jahre lang in einem Datenspeicher aufbewahren. Damit soll das Verhalten des Fahrers sowie des automatisierten Fahrsystems dokumentiert werden, um Haftungsfragen klären zu können. Der Gesetzesentwurf zur Änderung des Straßenverkehrsgesetzes wirft jedoch grundlegende verfassungsrechtliche Fragen auf, da seine Regelungen mehrheitlich zu Lasten des Fahrers gehen.
Bislang wurden die Bedenken der Verbraucher von der Bundesregierung nicht adressiert. Schon jetzt sorgen sich laut einer Umfrage von TNS Emnid im Auftrag der Verbraucherzentrale Bundesverband (VZBV) zwei Drittel der Verbraucher um ihre Privatsphäre beim automatisierten Fahren. Angesichts der Datenspeicher-Pläne dürfte die Zahl noch nach oben gehen. Viel Zeit für Diskussionen ist nicht eingeplant: Die erste Lesung des Gesetzesentwurfs findet bereits am 10. März im Bundestag statt. Der Entwurf soll noch vor der Bundestagswahl im September verabschiedet werden.
Wer haftet: Fahrer oder Hersteller?
Erklärtes Ziel der Blackbox-Installation ist es zunächst, im Falle eines Unfalls bewerten zu können, wer in Regress genommen werden kann: Der Fahrer oder der Hersteller des Fahrsystems? Das Gesetz [1] erlaubt nämlich, dass hoch- und vollautomatisierte Fahrsysteme künftig die Fahraufgabe übernehmen dürfen. Voraussetzung ist, dass der Autopilot Straßenverkehrsregeln einhalten und Geschwindigkeitsbeschränkungen erkennen können muss.
Das Gesetz versucht zu regeln, wann der Fahrer seine Hand vom Lenker nehmen darf und in welchen Fällen wer die Steuerung wieder übernehmen muss. Letzteres muss er entweder, wenn das System ihn dazu auffordert. Das könnte dann der Fall sein, wenn ein System, das nur für die Autobahn zugelassen ist, die Autobahn wieder verlässt. Alternativ ist das bei Störungen der Fall, etwa wenn ein Reifen platzt. Der Gesetzgeber unterlässt es dabei anzugeben, wieviel Zeit dem Fahrer für die Übernahme mindestens zusteht. Er muss „unverzüglich“ die vollständige Kontrolle über das System übernehmen können.
Eine Studie der Unfallforscher der Versicherer zeigte, dass eine vollständige Übernahme durch den Fahrer bis zu 15 Sekunden dauern kann. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) glaubt deshalb, dass die vorgesehene Warnfunktion bei unübersichtlichen Verkehrssituationen nicht genügt. Ein optisches Warnsignal könne nämlich leicht übersehen werden und die Zeit bis zur vollständigen Übernahme weiter verlängern. Deshalb müsse der Fahrer gleichzeitig auch akustisch und haptisch, etwa über Vibrationen des Lenkers oder Gaspedals, gewarnt werden.
Der GDV verlangt überdies, dass die automatische Fahrfunktion abgeschaltet werden muss, wenn die technischen Sensoren feststellen, dass der Fahrer fahrfremde Tätigkeiten übernimmt bzw. nicht zu einer „unverzüglichen“ Übernahme fähig ist. Das wäre etwa der Fall, wenn der Fahrer seinen Autositz verlässt, sein Smartphone nutzt oder ein Nickerchen macht. Der grüne Verkehrsexperte im Bundestag, Stephan Kühn kritisiert, dass der Gesetzesentwurf offenlässt, „was der Fahrer bedenkenlos tun darf, während der Computer das Auto lenkt“. Unklar sei auch, „wie schnell der Fahrer die Kontrolle wieder übernehmen muss, wenn ihn das technische System dazu auffordert, und was eigentlich in der Übernahmezeit vom automatischen zum manuellen Fahren passiert.“
Kühn sieht deshalb eine klare Schieflage zu Lasten der Fahrer: „Die Hersteller tragen die Verantwortung für das Funktionieren der technischen Systeme. Dobrindt lädt aber die Gefährdungshaftung bei den Autofahrern ab. Das ist nicht akzeptabel.“ Auch Verbraucherpolitikerin Barbara Klepsch (CDU) sieht die gefundene Regelung kritisch und will die Produkthaftung auf der Verbraucherschutzministerkonferenz im April auf den Tisch zu bringen.
Kein Recht, sich selbst nicht belasten zu müssen
Im Streitfall sollen Daten aus einem Datenspeicher, einer Art Blackbox, zur Klärung offener Haftungsfragen beitragen können. Sie sollen alle relevanten Vorgänge dokumentieren. Dabei wird aber nicht spezifiziert, welche Daten als relevant angesehen werden sollen: Geht es um Daten des Steuergerätes wie Geschwindigkeit, Bremseinsatz, Beschleunigung und Ort? Geht es um Check- und Control-Meldungen etwa zum Batterieladezustand von Elektroautos? Oder sind auch die Positions- und Sensordaten relevant, die das Fahrsystem über die Verkehrsinfrastruktur wie Ampeln, Baustellen, Gefahren, Verkehrsfluss, Verkehrsschilder und Straßenverläufe laufend erhebt? Interessiert die zurückgelegte Fahrtroute? Oder geht es auch um Sitzeinstellungen, aus denen hervorgehen könnte, welcher Fahrer am Steuer saß?
All diese Daten werden heute schon in Premium-Wagen laufend erfasst und an die Fahrzeughersteller übermittelt, die daraus verschiedene „intelligente Dienste“ schneidern – wie etwa einen Werkstatt-Service, der an Inspektionstermine erinnert, oder Remote-Dienste, mit denen der Wagen auch aus der Distanz angesteuert werden kann. Nur selten kann der Autokäufer der Nutzung bestimmter Dienste widersprechen [2]. In der Regel kann er sich im Moment nur pauschal für oder gegen die Dienste entscheiden.
Ziel des Datenspeichers ist jedenfalls die Klärung von Haftungsfragen: Das Gesetz verlangt, „Dritten“ die Daten aus dem Datenspeicher zur Klärung von Rechtsansprüchen zu übermitteln. In der Gesetzesbegründung heißt es, dass Fahrzeugführer sich „nicht pauschal auf ein Versagen des automatisierten Systems berufen“ können sollen. Auch ist dort zu lesen, dass das damit das „datenschutzrechtliche Bestimmtheitsgebot und die Zweckfestlegung“ sichergestellt werde. Gleichwohl bleibt ungeklärt, ob und unter welchen Bedingungen der Fahrer einem Auslesen widersprechen kann? Für den Datenschutzexperten Thilo Weichert wird damit „klar zum Ausdruck gebracht, dass beim automatisierten Fahren das Recht, sich nicht selbst belasten zu müssen, außer Kraft gesetzt wird.“ Dies möge berechtigt sein, räumt Weichert ein. Doch die damit verbundenen Konsequenzen dürften den Beteiligten wohl noch kaum klar sein.
Zweckgebundenes Auslesen?
Beim Auslesen des Datenspeichers dürfen jedenfalls nur die Daten übermittelt werden, die für den jeweiligen Zweck notwendig sind. So sollen laut dem neuen Paragrafen 63a die Daten „für die Überwachung des Straßenverkehrs zuständigen Behörden auf deren Verlangen“ übermittelt werden, wobei die Behörden diese dann speichern und nutzen dürfen. Die ID des Speichermediums muss im Zentralen Fahrzeugregister des Kraftfahrt-Bundesamtes geführt werden. Die Kontroll- und Straßenverkehrsbehörden werden hierfür spezielle, etwa 10.000 Euro teure Datenauslesegeräte erhalten.
Thilo Weichert weist jedoch darauf hin, dass sich im Gesetz selbst gar keine Zweckbestimmung findet: „Das heißt, die Behörden können sich jeden allzu plausibel erscheinenden Zweck ausdenken und dann von den Herstellern die Daten einfordern.“ Das genüge den verfassungsrechtlichen Bestimmtheitsanforderungen an Grundrechtseingriffe regelnde Gesetze nicht, kritisiert der ehemalige schleswig-holsteinische Landesdatenschützer.
Auch wer genau verpflichtet wird, die Daten zu übermitteln, bleibt unklar. In der Gesetzesbegründung ist das der so genannte „Datenverantwortliche“. Die Datenschutzbehörden des Bundes und der Länder haben gemeinsam mit dem Verband der Automobilindustrie (VDA) in einer Gemeinsamen Erklärung [3] definiert, dass die datenschutzrechtliche Verantwortlichkeit für vernetzte Fahrzeuge bzw. „Online-Autos“ beim Hersteller liegt. Beim „Offline-Auto“ dagegen ist der Hersteller in keiner Pflicht, weil die Daten hier primär von den Werkstätten ausgelesen und verarbeitet werden. Es ist mit Blick auf die gegenwärtige Auto-Daten-Architektur davon auszugehen, dass bei hoch- und vollautomatisierten Systemen immer ein Online-Bezug gegeben ist und damit die Hersteller die „Datenverantwortlichen“ sind.
Für Datenschutzexperte Thilo Weichert, der sich seit Jahren mit Datenschutzfragen im „vernetzten Fahrzeug“ befasst, ist aber unklar, wo der Datenspeicher angesiedelt sein soll: Onboard im Auto oder online in der Hersteller-Datenbank, dem so genannten Backend? Nur im Backend dürfte nämlich eine dreijährige Speicherung der Datenmassen möglich sein, was aber zahlreiche weitere Fragen zur Vertraulichkeit und Integrität der Datenübermittlung und -haltung aufwerfen würde. Falls sie onboard stattfindet, wäre wohl der Halter als „Datenverantwortlicher“ verpflichtet, eventuell auch der Eigentümer oder gar der Fahrer. „Alle drei haben aber das Problem, dass ihnen die technische Kompetenz fehlt, die Daten zu übermitteln“, sagt Weichert.
Die Frage nach der Integrität der Daten ist für die Haftungsklärung zentral, doch dazu findet sich im Gesetz keine Regelung. „Ich kann nicht erkennen, wie eine Manipulation der Daten etwa durch den Hersteller ausgeschlossen wird“, sagt Weichert. Dieser wäre aber als möglicher Datenverantwortlicher und Verfahrensbeteiligter in einem unbestreitbaren Konflikt. Weichert verlangt aus verfassungsrechtlichen Gründen eindeutige und klare Regelungen.
Vorratsdatenspeicherung für Fahrdaten
Nicht weiter begründet wird jedoch, warum die in der Blackbox gespeicherten Daten erst spätestens nach drei Jahren gelöscht werden sollen. Eine differenzierte Mindestspeicherfrist für bestimmte Datenarten gibt es nicht, da auch die zu speichernden Datenarten bisher nicht definiert wurden. Das bedeutet, dass der Hersteller bestimmte Daten nach Bedarf früher löschen darf. Weichert: „Wenn Haftungsfragen beantwortet werden sollen und dabei festgestellt wird, dass der Hersteller einen Fehler gemacht hat und dadurch ein Schaden entstanden ist, könnte der Hersteller die entsprechenden Daten sanktionslos löschen und damit die Beweise für seine Haftungspflicht zerstören.“ Das Gegenteil wäre Herstellern zu empfehlen, wenn der Fahrer „schuld“ war und sich dies aus den Daten ableiten lässt: Dann empfiehlt sich eine möglichst vollständige Datenspeicherung.
Grundsätzlich hält es Weichert für „völlig unverhältnismäßig“ sämtliche Fahrdaten bis zu drei Jahre aufzubewahren, auch wenn die Haftungsansprüche erst nach drei Jahren verjähren: „Unfallgeschehen werden in der Regel innerhalb weniger Tage bekannt. Wenn derartiges bekannt wird, könnte eine Löschsperrung geregelt werden. Anderenfalls sollte spätestens nach wenigen Tagung die Löschung Pflicht sein“, schlägt er vor. Eine undifferenzierte Speicherung über drei Jahre sei eine „Vorratsdatenspeicherung über Fahrdaten“, die noch sensibler als die von Telekommunikationsverkehrsdaten sein könne, da mit ihnen Bewegungs- oder Verhaltensprofile erstellt werden können. Weichert verweist deshalb darauf, dass sowohl der Europäische Gerichtshof wie auch das Bundesverfassungsgericht bereits eine nur halbjährige Speicherung für verfassungswidrig erklärt haben.
Für Rena Tangens vom Bielefelder Bürgerrechtsverein Digitalcourage ist klar, dass der Verbraucher letztlich den Kürzeren ziehen wird, wenn die Zugriffsrechte der Hersteller und Versicherer nicht klar definiert werden. „Schon heute ist es so, dass der Autokäufer der umfassenden Auswertung seiner Daten zustimmen muss, wenn er intelligente Dienste seines Fahrzeugs nutzen möchte“, sagt sie CIVES. In der Blackbox sieht sie daher einen weiteren, entscheidenden Schritt zur Entmündigung des Verbrauchers. Tangens hält daher den Vorschlag des Verbraucherzentrale Bundesverbands für sinnvoll, ein „Trust Center“ einzurichten, das bei der Datenspeicherung und -weitergabe zwischen den verschiedenen Parteien vermitteln soll. Auch die Versicherungswirtschaft fordert mit Blick auf die Automobilhersteller, dass ein „diskriminierungsfreier“ Zugang zu den Daten technisch wie organisatorisch gewährleistet werden müsse.
Privacy by Design für die Blackbox: Fehlanzeige
Wie dieser gesonderte Speicher technisch beschaffen sein muss, soll dem Gesetzgeber nach separat in einer kommenden internationalen UN-Regelung festgelegt werden. Für Thilo Weichert ist „befremdlich, etwas zu regeln, von dem man noch gar nicht weiß, wie es aussehen und wer es regeln wird, zumal Umfang und Qualität künftiger Vorgaben sehr unterschiedlich sein können.“ Klar ist jedenfalls mit Blick auf die Europäische Datenschutzgrundverordnung, dass zentrale Anforderungen nach Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz und Intervenierbarkeit technisch und organisatorisch erfüllt werden müssen.
Ein ausdrücklicher Verweis auf die Grundverordnung mit ihrem „Privacy by Design“–Artikel 25 fehlt zwar. Aber es ist inzwischen unbestritten, dass auch technische Daten im Auto als personenbeziehbar gelten und damit grundsätzlich dem Datenschutzregime unterfallen, wie in der Gemeinsamen Erklärung [3] von Datenschutzaufsicht und Automobilindustrie nachzulesen ist. Möglicherweise wird es noch zu Sonderregelungen für den Datenspeicher kommen, „die aber dann nicht auf nationaler, sondern auf europäischer Ebene zu finden sein werden“, wie Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht anmerkt.
Auffallend ist, dass die zuständigen Datenschutzaufsichtsbehörden den Gesetzesentwurf bisher nicht öffentlich kommentiert haben. Welche Maßstäbe sie an die technisch-organisatorische Gestaltung des Datenspeichers möglicherweise anlegen werden, kann ihrem im Herbst 2016 beschlossenen Handbuch zum Standard-Datenschutzmodell [4] entnommen werden, das einen standardisierten Prüf- und Beratungsprozess beschreibt.
Offensichtlich spielt der Gesetzesentwurf im Moment die Anforderungen der deutschen Automobilindustrie wider. Die IT-Riesen im Silicon Valley sitzen nämlich den deutschen Autobauern im Nacken. Das Geschäftsmodell „Auto“ soll sich grundlegend ändern: Der Kunde soll sich bald weniger für die Karosserie samt Lenkungsfunktion interessieren, sondern für intelligente Mobilität weltweit. Das automatisierte Fahren ist, wie Googles Auto-Prototyp zeigte, dann nichts weniger als das Vehikel für ein mobiles, gläsernes Wohnzimmer, in dem jede Tätigkeit des Nutzers minutiös registriert und ausgewertet wird. Auf dem Weg dahin wäre ein gesetzlich reglementierter Datenspeicher in der Hand der Hersteller schon einmal ein pragmatischer erster Schritt.
Quellen
[1] https://www.bundesrat.de/SharedDocs/drucksachen/2017/0001-0100/69-17.pdf?__blob=publicationFile&v=1 [2] http://www.stuttgarter-zeitung.de/inhalt.datenschutz-auf-dem-weg-zum-glaesernen-fahrer.8966753c-2b0b-4a18-9f1a-09abcfb52481.html [3] PDF-Download: http://www.lfd.niedersachsen.de/download/104132 [4] https://www.datenschutzzentrum.de/artikel/954-Pruefen-und-Beraten-mit-dem-Standard-Datenschutzmodell.htmlFrühere Artikel zum gleichen Thema auf diesem Blog
Your Car is watching you …, 01.06.2016, CIVES
https://cives.de/your-car-is-watching-you-3008
Copyright und Nutzungsrechte
(C) 2017 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. den namentlich genannten Autoren.