Datenschutz beim vernetzten und autonomen Fahren. Welche Rahmenbedingungen können sensible Daten schützen?

Inhaltsverzeichnis

Abstract

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Problemstellung
1.2 Zielsetzung der Arbeit
1.3 Gliederung und methodischer Hergang

2 Theoretische Grundlagen
2.1 Vernetztes und autonomes Fahren
2.2 Notwendigkeit des Datenschutzes
2.3 Europäischer und nationaler Datenschutz

3 Daten im vernetzten und autonomen Fahrzeug
3.1 Fahrzeugdaten
3.2 Insassendaten
3.3 Umfelddaten und Kommunikation
3.4 Zusammenfassung der Datensituation

4 Interessenslage der Akteure
4.1 Hersteller, Händler und Werkstätten
4.2 Herstellerunabhängige Dienstleister
4.3 Fahrzeugnutzer und Verkehrsteilnehmer
4.4 Sonstige Interessenten
4.5 Zusammenfassung der Interessenslage

5 Detailanalyse der EU-Datenschutz-Grundverordnung
5.1 Anwendungsbereich
5.2 Personenbezogene Daten
5.3 Informationspflicht
5.4 Einwilligung
5.5 Datenmaskierung
5.6 Privacy by Design and Default

6 Datenschutzrechtliche Anforderungen an das vernetzte und autonome Fahren
6.1 Transparenz
6.2 Datenminimierung
6.3 Vertraulichkeit, Verfügbarkeit, Integrität
6.4 Nichtverkettbarkeit
6.5 Intervenierbarkeit
6.6 Zusammenfassung der Datenschutzsituation

7 Zukunft des autonomen Fahrens
7.1 Datenschutzneutrale Voraussetzungen
7.2 Einführungsszenarien

8 Fazit
8.1 Ergebnisdarstellung
8.2 Datenschutzrechtliche Handlungsempfehlungen

Literaturverzeichnis

Abstract

Das Maß des Einzugs vernetzter Fahrzeuge in den Alltag nimmt stetig zu und lässt auch das autonome Fahren immer greifbarer erscheinen. Diese Entwicklung hat jedoch die Erhebung und Verarbeitung immenser Datenmengen zur Konsequenz, woraus sich neben den technologischen und infrastrukturellen Herausforderungen immer mehr ungeklärte rechtliche Fragen in den Vordergrund drängen. Die EU-Datenschutz-Grundverordnung regelt innerhalb der Europäischen Union den Umgang mit personenbezogenen Daten und hebt die EU-Mitgliedsstaaten auf ein einheitliches Datenschutzniveau. Damit existiert ein notwendiges Regelwerk, um das komplexe Zusammenspiel von Datenmassen und einer großen Anzahl an Akteuren und Interessenten zu kontrollieren. Die Ausarbeitung durchleuchtet dieses Zusammenspiel in Form einer Literaturrecherche und beurteilt daraufhin fallbezogen die Anwendbarkeit des Datenschutzes innerhalb der EU. Dabei unterstützen die Gewährleistungsziele des Standard-Datenschutzmodells die Durchführung der Analyse. Der Konflikt zwischen Datenschutz und technologischem Fortschritt bleibt letztendlich nicht aus. Besonders die Datenschutzprinzipien „Transparenz“, „Datenminimierung“ und „Zweckbindung“ beweisen ein hohes Konfliktpotenzial. Die Hersteller im Automobilbereich arbeiten mit unterschiedlicher Sorgfalt daran, die Anforderungen an den Datenschutz umzusetzen. Bis zu einer vollständigen Konformität scheint es jedoch noch ein weiter Weg zu sein.

Vernetztes Fahren | Autonomes Fahren | Datenschutz | DS-GVO | EU | Fahrzeugdaten

Abbildungsverzeichnis

Abbildung 1: Automatisierungsgrade nach VDA [Vda15]| S. 15]

Abbildung 2: Sensorfelder der Umfeldüberwachung [Audi18a]

Abbildung 3: HD-Karte BMW [Bmw18c]

Abbildung 4: Anonymisierte Daten (eigene Darstellung)

Abbildung 5: Pseudonymisierte Daten (eigene Darstellung)

Abbildung 6: Datenschutz-Oberfläche (eigene Darstellung)

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

„WIR WERDEN IN 20 JAHREN NUR NOCH MIT SONDERERLAUBNIS

SELBSTÄNDIG AUTO FAHREN DÜRFEN“

Angela Merkel, 2017 [Vitz17]

Auch wenn die Verlässlichkeit dieser kühnen Aussage der deutschen Bundeskanzlerin während einer wissenschaftlichen Fragerunde zum Thema „Zukunft“ schwer belegbar ist, kann dennoch erahnt werden, dass die nächste mobile Revolution nicht mehr allzu lange auf sich warten lässt.

Intelligente Fahrsicherheits- und Assistenzsysteme sind im Automobilbereich längst keine vage Zukunftsvision mehr. Bereits heute unterstützt eine Vielzahl an kommunizierenden Steuergeräten und Sensoren den Fahrer in verschiedensten Situationen des alltäglichen Straßenverkehrs. Spätestens seit der Etablierung des bordeigenen Notrufsystems eCall im April 2018 ist jeder in der Europäischen Union verkaufte Neuwagen gesetzlich zur Vernetzung verpflichtet [Euro15].

Das Innovationspotenzial ist jedoch längst nicht erschöpft. Eine lange Liste an Unternehmen aus beteiligten Branchen arbeitet weltweit zielstrebig an der Erreichung der höchsten Automatisierungsstufe und damit letztendlich am Betrieb des autonomen Fahrzeugs. Durch den Wegfall des Fahrers verspricht die Technologie unser Mobilitätsverhalten entscheidend zu verändern. Geht es nach den Vorstellungen der Ingenieure in der Automobilindustrie, dann ist der Mensch am Steuer ein Auslaufmodell. Fortan soll das Auto selbstständig fahren, während sich die Insassen beruhigt zurücklehnen können. [Haup15]

1.1 Problemstellung

Betrachtet man aktuelle Studien, ist es nicht die Frage ob das autonome Fahren kommen wird, sondern nur noch wann und wie. Der Verband der Automobilindustrie (VDA) prognostiziert diesbezüglich bereits für spätestens 2030 den ersten Einsatz von Fahrzeugen der höchsten Automatisierungsstufe in Städten [Vda17a]. Diese Entwicklung des vernetzten Automobils mit dem Ziel der vollständigen Autonomie hat jedoch die Erhebung und Verarbeitung immenser Datenmengen zur Konsequenz, woraus sich neben den technologischen und infrastrukturellen Herausforderungen immer mehr ungeklärte rechtliche Fragen in den Vordergrund drängen. Hält man sich vor Augen, dass Googles autonomes Fahrzeug „Waymo“ bereits heute pro Sekunde 1 Gigabyte an Sensordaten generiert [Lide17], gewinnt die Frage nach den Details der weiteren Verarbeitung durchaus an Relevanz. Die Vielfältigkeit der durch intelligente Sensoren erfassten Daten birgt ein enormes Wertschöpfungspotenzial und weckt selbstredend Begehrlichkeiten. Das vernetzte Fahrzeug wird dadurch zum Spielball unterschiedlicher Interessen.

Aus diesem Grund muss speziell der Datenschutz nach dem Anwendungsbeginn der EU-Datenschutz-Grundverordnung im Mai 2018 neu durchleuchtet werden, um die Rahmenbedingungen für den Einsatz vernetzter wie auch autonomer Fahrzeuge im aktuellen Kontext abzustecken.

1.2 Zielsetzung der Arbeit

Ziel dieser Arbeit ist eine Momentaufnahme der datenschutzrechtlichen Bedingungen zum Betrieb eines vernetzten und letztendlich autonomen Fahrzeugs im europäischen Straßenverkehr. Durch die Prüfung der verschiedenen Sachverhalte soll aufgedeckt werden, wie weit die Gesetzgebung, die Automobilbranche, wie auch die vorhandene Infrastruktur bei diesem Thema fortgeschritten sind und welche Hürden noch überwunden werden müssen.

Auf dem Weg zum Primärziel ist es erforderlich, sukzessive verschiedene Zwischenfragen zu bearbeiten, deren Beantwortung letztendlich die Anwendbarkeit des Datenschutzes und speziell der EU-Datenschutz-Grundverordnung fallbezogen ermöglicht. In diesem Zuge werden neben einer Analyse der Datenherkunft und -verwendung, auch die unterschiedlichen Interessenten und Akteure vorgestellt, bevor Konflikte, Chancen und Herausforderungen aufgedeckt werden.

1.3 GliederungundmethodischerHergang

Grundlage dieser Arbeit ist eine systematische Literaturrecherche anhand verschiedener Ausarbeitungen in den Bereichen „Datenschutz“, „vernetzte Mobilität“ und „autonomes Fahren“ zur analytischen Beantwortung der oben genannten Problemstellung. Um der Aktualität des Themas gerecht zu werden, wird vornehmlich auf Publikationen verschiedener Online-Quellen wie auch auf zeitgemäße Fachliteratur zugegriffen.

Die Ausarbeitung erstreckt sich über acht aufeinander aufbauende Kapitel. Einen Überblick der Problemstellung und die daraus resultierende Zielsetzung bekommt der Leser in der Einleitung, ehe in einem theoretischen Grundlagenteil die erforderliche Informationsbasis geschaffen wird. Wurde das Verständnis für die elementaren Themenbereiche vermittelt, folgt in Kapitel 3 die Analyse der für vernetztes und autonomes Fahren notwendigen Daten, deren Kategorisierung wie auch ein erster Blick auf datenschutzrechtliche Grundlagen. Vor der detaillierten datenschutzrechtlichen Behandlung, sorgt Kapitel 4 für Klarheit über die potenziell beteiligten Akteure und deren Interessenslage im Rahmen des vernetzten und autonomen Fahrens. Nach ausführlicher Betrachtung, welche Daten in Kombination mit welchen Akteuren, für welche Zwecke interessant erscheinen, wird in Kapitel 5 die neue EU-Datenschutz-Grundverordnung kontextuell auf den theoretischen Prüfstand gestellt. Anschließend besteht die notwendige Transparenz, um im darauffolgenden Kapitel die verschiedenen Datenverarbeitungsprozesse rund um das vernetzte und autonome Fahrzeug dem Zuständigkeitsbereich des europäischen Datenschutzes zuzuordnen, um daraufhin vorhandene Kontaktpunkte zu identifizieren. Das Ergebnis dieser Analyse zeigt letztendlich auf, welche datenschutzrechtlichen Regelungen und Prinzipien die verantwortlichen Stellen bereits erarbeitet haben, wie diese angewandt werden können und wo weiterhin potenzielle Lücken bestehen. Nach einer Zukunftsprognose in Bezug auf die Einführung des autonomen Fahrens, erfolgt abschließend das Fazit mit einer datenschutzrechtlichen Handlungsempfehlung.

2 Theoretische Grundlagen

Das folgende Kapitel beinhaltet eine explizite Darstellung, der für das bessere Verständnis notwendigen Grundinhalte dieser Arbeit, wie auch eine Definition und Abgrenzung der verwendeten Hauptbegriffe.

2.1 Vernetztesund autonomes Fahren

Dieses Fahrzeug bleibt immer in der Spur, vergisst beim Abbiegen nie zu blinken, beachtet alle Stoppzeichen und überholt nie in gefährlichen Kurven (Übersetzung aus Kurzfilm [Gene16]).

Was wie der tagesaktuelle Werbeslogan eines zukunftsorientierten Automobilherstellers klingt, findet seinen Ursprung jedoch weitaus früher als vermutet. Das Unternehmen General Motors inszenierte bereits im Jahr 1935 die Vision des autonomen Autos in dem Kurzfilm „The Safest Place“ als technisch realisierbare Möglichkeit und brachte dieses Thema schon damals in den öffentlichen Fokus.

In den darauffolgenden Jahrzehnten rangen sich Ingenieure aus aller Welt um die technologische Führerschaft und entwickelten zahlreiche themenbezogene Konzepte. Diese hatten mit der heutigen Vorstellung des autonomen Fahrens jedoch wenig zu tun. Mal folgten die Fahrzeuge einem in die Fahrbahn versenkten elektromagnetischen Kabel, dessen Impulse Geschwindigkeit und Steuerung regulierten, mal wurde ein ferngesteuertes Auto über eine Antenne per Morsecode gesteuert [MGLW15]| S. 44-50]. Die massentaugliche Evolution der Automatisierung und Vernetzung begann erst in den 60er Jahren. Durch die Einführung des Tempomats wurde erstmals ein Fahrzeug mit Assistenzfunktion serienreif und auch die Ära des vernetzten Fahrzeugs begann zeitgleich mit der Verbreitung des Verkehrsfunks [Vda15]| S. 10].

Seit dem ist viel Zeit vergangen und die Entwicklung mittlerweile weit vorangeschritten. Aus alten Ideen wurden neue Visionen und daraus bald konkrete Konzepte, welche wiederrum realisiert werden konnten. Doch wie definieren sich vernetzte und autonome Fahrzeuge, was sind die Voraussetzung dafür, wie können diese Bezeichnungen von ähnlichen abgegrenzt werden?

Der Begriff des vernetzten Fahrzeugs (englisch: Connected Car) und dessen Definition haben in den letzten Jahrzehnten einen Wandel durchlebt und konnten bis heute nicht einheitlich festgelegt werden. Zusammenfassend muss ein vernetztes Fahrzeug die Möglichkeit besitzen, sich mit der Umwelt, der Infrastruktur oder dem Internet zu verbinden, egal ob über eine integrierte SIM-Karte, über das Smartphone des Fahrzeugnutzers oder mithilfe anderer Vernetzungsmöglichkeiten [JoMi15]| S. 1-7] [Kump17]| S. 3-4].

Vernetzte Fahrzeuge gehören heute bereits zu unserem Alltag und sind die Grundlage für das autonome Fahrzeug von morgen. Der Verband der Automobilindustrie definiert die Eigenschaften des autonomen Fahrens folgendermaßen „Das System übernimmt die Fahraufgabe vollumfänglich bei allen Straßentypen, Geschwindigkeitsbereichen und Umfeldbedingungen" [Vda15]| S. 15]. Kurz gesagt übernimmt ein autonomes Fahrzeug die vollständige Fahraufgabe, ohne die Notwendigkeit des menschlichen Eingreifens. Die Begriffe „selbstfahrendes Auto“ und „fahrerloses Auto“ werden analog verwendet. Seltener tauchen die Varianten „pilotiertes Fahrzeug“, „automatisiertes Fahrzeug“ oder „automatisches Fahrzeug“ auf, welche jedoch teilweise keine eindeutige Abgrenzung zu den Vorstufen des autonomen Fahrens zulassen. Im Rahmen dieser Ausarbeitung werden die eindeutigen Bezeichnungen „autonomes Fahrzeug“ bzw. „autonomes Fahren“ verwendet, welche sich an der oben beschriebenen Definition des VDA orientieren.

In Vorstufen des autonomen Fahrens unterstützt die Technik die menschliche Wahrnehmung durch die Bereitstellung von Informationen, die sowohl die Entscheidungsfindung als auch die Reaktionsfähigkeit des Fahrers verbessern sollen. Der VDA hat auf Grundlage der ursprünglich 2012 entworfenen „BASt-Automatisierungsgraden“ [GAA12] eine erweiterte und vollständige Stufenfestlegung für die Kategorisierung des automatisierten Fahrens erarbeitet. Die verschiedenen Stufen und deren Unterschiede werden in Abbildung 1 dargestellt und enden mit der Stufe 5, dem autonomen Fahren.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Automatisierungsgrade nach VDA [Vda15]| S. 15]

Derzeitig in Serie gebaute Automobile der Oberklasse erfüllen bereits die technischen Voraussetzungen der Stufe 3 und sind somit hoch-automatisiert [Audi17]. Jedoch schiebt das Gesetz hier vorerst einen Riegel vor: Demnach dürfen automatisierte Eingriffe laut Wirtschaftskommission der Vereinten Nationen für Europa nur bis zu einem Grenzwert von 10 km/h (+/- 20 %) erfolgen [Wirt08], wodurch die zulassungsrechtlichen Rahmenbedingungen aktuell klar gegen den Betrieb von höher automatisierten Fahrzeugen sprechen. Die EU und 50 weitere Staaten weltweit arbeiten aber derzeit an neuen Regelungen für das autonome Fahren, wodurch Eingriffe bis Tempo 130 km/h ermöglicht werden sollen [Lenn17][Focu18].

2.2 Notwendigkeit des Datenschutzes

Daten gelten als das Gold des 21. Jahrhunderts. Die sukzessive Vernetzung unserer Lebensbereiche bringt gigantische Datenmengen hervor und sorgt für Goldgräberstimmung auf dem Markt der Digitalisierung. Die Verbreitung dieser Diversität an Datenquellen beeinflusst die globale Wirtschaft in einem noch nie dagewesenen Ausmaß [KHOH18]| S. 311]. Beherrscht ein Unternehmen mit der stetig ansteigenden Datenflut effektiv und effizient umzugehen, steigen die Chancen, sich erfolgreich auf dem Markt zu behaupten. Beispiel: Hat ein Unternehmen Zugang zu einer repräsentativen Menge an Nutzerdaten, können durch Targeting-Methoden [HaWi11] personenbezogene Werbeangebote gezielt an potenzielle Kunden gerichtet werden. Erkennt ein Automobil den im Kalender gespeicherten Hochzeitstag des Fahrers, können ihm auf dem Heimweg vom Arbeitsplatz, Angebote nahegelegener Blumenläden auf dem Display anzeigt werden.

Daten werden langsam aber sicher zu einem der wertvollsten Güter auf dem Markt. Dies gilt besonders dann, wenn durch die Verknüpfung mit anderen Informationen die Möglichkeit besteht, Verhaltensmuster abzuzeichnen. Wer mit Kreditkarte zahlt oder eine Kundenrabattkarte nutzt, hinterlässt Datenspuren seiner Einkäufe. Besuchen wir Webseiten, werden unsere Aktivitäten in der Regel gleich von mehreren Akteuren aufgezeichnet und ausgewertet [Ritz18]| S. 179]. Durch den Fortschritt im IT-Bereich, ergeben sich immer einfachere und schnellere Methoden der Datenerfassung. Hieraus entsteht die Gefahr des „gläsernen Menschen“ und somit der Verlust der Privatsphäre. Deswegen verfolgt der Datenschutz das Ziel, jedem selbst die Entscheidung zu überlassen, was mit den eigenen Daten geschieht.

2.3 EuropäischerundnationalerDatenschutz

Betrachtet man die hohe Geschwindigkeit des technologischen und gesellschaftlichen Wandels, kann die Gesetzgebung tatsächlich nur unter großen Mühen mithalten. Es verwundert aber trotzdem, dass die noch bis vor kurzem gültige EU-Datenschutzrichtlinie 95/46/EG bereits aus dem Jahr 1995 stammt, einer Zeit, in der das Internet noch einer überschaubaren Bekanntheit unterlag. Zum Vergleich: In diesem Jahr begegneten sich Larry Page und Sergey Brin, die beiden Google-Gründer, zum ersten Mal an der Stanford University[Kett14] und der Facebook-Gründer Marc Zuckerberg begann sich mit 11 Jahren langsam für Computer zu interessieren [Maca17]. Viele Herausforderungen, die unsere Digitalisierung und Vernetzung mit sich brachten, lagen damals noch in weiter Ferne.

In den letzten Jahren bestand jedoch das Hauptproblem darin, das jedes Land der EU das Thema Datenschutz, unter Berücksichtigung der veralteten Datenschutzrichtlinie 95/46/EG, sehr unterschiedlich auslegte und sich, falls möglich, an nationalen Regelungen bediente. Die Überarbeitung und Vereinheitlichung des Datenschutzrechtes in Form einer Verordnung galt somit als dringend erforderlich und brachte auch die längst notwendige Neuausrichtung der meist zu milden Geldbußen und Sanktionen bei Verstößen auf die Agenda.

Nach 2 Jahren Übergangsfrist findet die EU-Verordnung 2016/679 des Europäischen Parlaments und des Rates nun seit dem 25. Mai 2018 (Art. 99 DS-GVO) verbindlich Anwendung und regelt innerhalb der Europäischen Union den Umgang mit personenbezogenen Daten. Damit hebt sie die EU-Mitgliedsstaaten auf ein einheitliches, zeitgemäßes Datenschutzniveau. Im weiteren Verlauf dieser Ausarbeitung wird die Verordnung als „EU-Datenschutz-Grundverordnung“ bezeichnet, oder alternativ mit „DS-GVO“ abgekürzt.

Mit dem Begriff „Verordnung“ kommt nun die Verbindlichkeit ins Spiel. Im Gegensatz zu einer EU-Richtlinie muss eine EU-Verordnung nicht erst durch eine entsprechende nationale Gesetzgebung des jeweiligen Landes umgesetzt werden, sondern gilt unmittelbar, in diesem Fall in allen EU-Mitgliedstaaten. Solange nicht widersprüchlich, können dennoch nationale Gesetze, wie beispielsweise die neue Fassung des deutschen Bundesdatenschutzgesetzes vom 30. Juni 2017 (fortan „BDSG (neu)“ genannt), die DS-GVO konkretisieren, ergänzen oder modifizieren [Bund17]. Im BDSG (neu), werden dazu Bereiche aufgegriffen wie auch geregelt, in denen die DS-GVO den Mitgliedstaaten Gestaltungsspielräume, sogenannte Öffnungsklauseln, belässt, die aus nationaler Sicht jedoch einer Festlegung bedürfen. Bezugnehmend auf den Themenbereich „vernetztes und autonomes Fahren“ werden darin bisher jedoch keine expliziten Regelungen vorgenommen.

Da der Fokus dieser Ausarbeitung auf dem europäischen Datenschutz liegt, sollte des Weiteren ein kurzer Blick auf die bevorstehende ePrivacy-Verordnung geworfen werden, welche die bisher gültige Richtlinie 2002/58/EG aus dem Jahr 2002 fortan ablösen soll. Die Europäische Union möchte damit die Privatsphäre von Bürgern online stärken und den Datenschutz intensiver regulieren. Durch die ePrivacy-Verordnung soll die EU-Datenschutz-Grundverordnung ergänzt und beispielsweise der Datentransfer beim vernetzten Fahrzeug geregelt werden [Bros18]. Da sich die Ausführungen der ePrivacy-Verordnung jedoch zum aktuellen Zeitpunkt noch in der Diskussion befinden, werden diese im Rahmen der Ausarbeitung nicht näher behandelt. Die derzeitig noch gültige Richtlinie 2002/58/EG regelt maßgeblich Aspekte der Datensicherheit und enthält keine für diese Ausarbeitung relevanten Regelungen, welche nicht bereits von der DS-GVO abgedeckt werden.

Datenschutz findet seine Anwendung erst beim Umgang mit personenbezogenen Daten, deren Zugehörigkeit im Art. 4 Abs. 1 der DS-GVO definiert ist. Wie eine gemeinsame Erklärung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder und des Verbandes der Automobilindustrie (VDA) zeigt [VdDs16], sind jedoch auch hier nationale Ergänzungen möglich. Die Erklärung behandelt datenschutzrechtliche Aspekte im Umgang mit vernetzten Fahrzeugen und legt unter anderem fest, dass bei anfallenden Daten ein Personenbezog vorliegt, sollte eine Verknüpfung mit der Fahrzeug-Identifizierungsnummer oder dem Kfz-Kennzeichen des betroffenen Fahrzeugs bestehen. Dieser Meinung schließen sich auch weitere Gesellschaften der EU-Länder an, wie beispielsweise ein Positionspapier der britischen „Society of Motor Manufacturers and Traders“ zeigt [SNW18]| S. 7] [Stör17]| S. 3]. Wie die folgenden Kapitel darlegen, haben diese Festlegungen besonders bei dem hier behandelten Themengebiet eine beachtenswerte Bedeutung.

Welche Herausforderungen hinsichtlich der EU-Datenschutz-Grundverordnungen letztendlich auf das vernetzte und autonome Fahren zukommen, wird in den folgenden Kapiteln ausführlich dargestellt.

3 Daten im vernetzten und autonomen Fahrzeug

Moderne Fahrzeuge haben mehr Elektronik an Bord als die erste Raumfähre [Ntv14]. Verschiedene Modelle der Oberklasse besitzen heute bereits bis zu 100 Steuergeräte, die verschiedenste Fahrzeugfunktionen durch den Einsatz von Software realisieren [Weiß12]. Mit dem Fortschreiten der Automatisierung ist zu erwarten, dass diese Entwicklung künftig weiterhin erheblich zunimmt.

Die Computer und Steuergeräte im Auto verarbeiten Daten, welche sie zum Beispiel von Fahrzeug-Sensoren empfangen, selbst generieren oder untereinander austauschen. Einige Steuergeräte sind für das sichere Funktionieren des Fahrzeugs erforderlich, weitere unterstützen beim Fahren, andere ermöglichen Komfort- oder Infotainment-Funktionen. Umso höher der Grad der Automatisierung, desto mehr Daten werden mit Hilfe von Sensortechnik generiert und verarbeitet.

Das folgende Kapitel beschäftigt sich damit, welche Daten in den einzelnen Steuergeräten eines Fahrzeugs erhoben, gespeichert, verarbeitet und übermittelt werden und versucht daraufhin aufgrund des aktuellen Wissenstands diese Informationen auf das autonome Fahren zu projizieren. Des Weiteren werden themenbezogen erste Berührungspunkte mit dem Datenschutz hergestellt.

3.1 Fahrzeugdaten

Fahrgestellnummer – Füllstand des Tanks – Reifendruck – Parkposition des Fahrzeugs

Bei den Fahrzeugdaten handelt es sich um weitestgehend technische Daten, die ausschließlich das Fahrzeug selbst betreffen. Diese beziehen sich zum Teil ebenfalls auf herkömmliche Fahrzeuggattungen und sind nicht exklusiv für das vernetzte und autonome Fahren von Belang.

3.1.1 Stammdaten

Die Fahrzeugstammdaten, oder auch Typdaten, sind Daten, die ein Fahrzeug eindeutig spezifizieren und sich während dessen Lebenszeit in der Regel nicht verändern. Diese werden größtenteils bereits in der Produktionsstätte festgelegt und sind beispielsweise die Hersteller-Kurzbezeichnung, Typschlüsselnummer, Fahrzeugart, die Anzahl der Sitzplätze oder das zulässige Gesamtgewicht [Kraf1][Erns06]| S. 28]. Eine Ausnahme ist hier beispielsweise das Kfz-Kennzeichen, welches zumeist einer mehrmaligen Veränderung unterliegt.

Als eine der wichtigsten Angaben der Stammdaten gilt die Fahrzeug-Identifizierungsnummer (Abk. FIN, auch Fahrgestellnummer). Sie ist eine international genormte, 17-stellige Nummer, mit der ein Kraftfahrzeug eindeutig identifizierbar ist. Bei den meisten Fahrzeugen befindet sich diese Nummer, neben der elektronischen Speicherung in Steuergeräten, zumeist eingestanzt am vorderen Teil der rechten Seite des Fahrzeugs. (Art. 59 Abs. 2 StVZO)

Können im Fahrzeug generierte Daten mit dieser FIN oder dem Kfz-Kennzeichen in Verbindung gebracht werden, fallen diese, wie in Kapitel 2.3 beschrieben, unter den Anwendungsbereich des Datenschutzes.

3.1.2 Betriebs- und Zustandsdaten

Haben Daten eine unmittelbare Auswirkung auf die weitere Steuerung und den Betrieb des Motors, oder geben detaillierte Auskunft über den aktuellen Fahrzeugzustand, können diese den „Betriebs- und Zustandsdaten“ zugeordnet werden.

Dazu zählen unter anderem Werte wie Flüssigkeitsfüllstände, Betriebstemperaturen, Radumdrehungszahlen, Geschwindigkeit und Beschleunigung, die Luft- und Abgasbeschaffenheit, der Kilometerstand aber auch Störmeldungen der Lichtanlage oder des Bremssystems [Kump17]| S. 9-10] [Smol18].

Für die Aufbewahrung der Daten werden die in Steuergeräten häufig verbauten Datenspeicher genutzt. In der Regel sind diese flüchtig und werden zwar während des Betriebs des Fahrzeugs, aber nicht darüber hinaus gespeichert und nur im Fahrzeug selbst verarbeitet [Smol18]. Diese Verarbeitung erfolgt beispielsweise durch einen stetigen Soll-Ist-Abgleich und ermöglicht dadurch die permanente Aktualisierung von Zuständen. Je nach Fahrzeugvariante können dies z.B. bei einem Elektrofahrzeug der Ladezustand der Hochvoltbatterie und die damit geschätzte Reichweite sein. Weichen die erfassten Daten kritisch vom Sollwert ab, oder soll sich das System einen später relevanten Vergleichswert merken, kann es in bestimmten Fällen auch zu einer dauerhaften Dokumentation der Auswertung kommen [Bmw18a]| „Welche Daten können über Sie erhoben werden?“].

Je nach technischer Ausstattung des Fahrzeugs, können die Daten anschließend über verschiedene Kanäle das Fahrzeug verlassen. Die Werkstatt bedient sich in der Regel am Fahrzeugdiagnosesystem OBD um die Daten der Steuergeräte kabelgebunden abzufragen und auszuwerten. Moderne Fahrzeuge besitzen oft bereits eine integrierte Mobilfunkkarte und haben so die Möglichkeit zur direkten Datenübertragung an die Server der Hersteller. Alternativ nutzen manche Bordsysteme per Bluetooth-Verbindung das Smartphone des Insassen, um über installierte Apps einen Online-Kanal zur Herstellerdatenbank aufzubauen [Stif17]| Heft S. 70-75].

Betrachtete man die Empfehlung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zum automatisierten und vernetzten Fahren, ist für den reinen Fahrbetrieb in der Regel gar keine Datenspeicherung erforderlich.

3.1.3 Positionsdaten

Eine zentrale Voraussetzung für das autarke Navigieren eines Fahrzeugs ist die exakte Positionsbestimmung. Die Ermittlung von Positionsdaten gehört daher zu den maßgeblichen Technologien für die Realisierung des autonomen Fahrzeugs [Abel16][Deut17]. Die folgenden Varianten zur Positionsbestimmung unterscheiden sich nicht nur in der angewandten Technik, sondern auch in der speziell für autonomes Fahren wichtigen Positionsgenauigkeit.

Bei der Positionsbestimmung durch die Funkzellenabfrage, muss sich das Mobilfunksystem des Fahrzeugs oder auch ein Smartphone in einem Funkmast in Reichweite einloggen. Dadurch wird bekannt, in welcher Mobilfunkzelle sich das Fahrzeug befindet. Anschließend kann über ein trianguläres Modell die Funkzelle in Teilsegmente aufgeteilte werden und dadurch die ungefähre Position des Fahrzeugs bestimmt werden [Barc11]. Die Genauigkeit schwankt hier durch unterschiedliche Messverfahren und kann zwischen mehreren Kilometern und wenigen Metern liegen [Tomi13].

Das satellitengestützte System, auch als Global Positioning System (GPS) bekannt, nutz periodische Signale, die in exakten Abständen an die Endgeräte versandt werden. Mit Hilfe der Laufzeit können dort anschließend die Positionskoordinaten ermittelt werden. Die Satelliten selbst empfangen hierbei keine Daten, wodurch GPS den Aufenthaltsort der jeweiligen Empfänger nicht kennt [Schn16]. Dieses Verfahren liefert eine durchschnittliche theoretische horizontale Positionsgenauigkeit von 7,5 Metern [Schn15a]. Das derzeit in der Entwicklung befindliche europäische Pendant zum GPS lautet Galileo und verspricht eine Genauigkeit von 4 Metern [Schn15b].

Betrachtet man die Anforderungen an ein autonomes Fahrzeug, ist die Präzision der oben genannten Techniken jedoch nicht ausreichend. Hier wird eine Genauigkeit mindestens im Dezimeter-Bereich erforderlich. Digitale 3D-Kartenmodelle werden letztlich in Kombination mit den oben genannten Verfahren die Daten liefern, mit denen das autonome Fahrzeug seine aktuelle Position zuverlässig berechnen kann [Haup15].

Positionsdaten werden in den Steuergeräten des Fahrzeugs temporär wie auch dauerhaft gespeichert und dort ebenfalls weiterverarbeitet. Ebenso ist jedoch bekannt, dass diese Daten bereits in vereinzelten vernetzten Fahrzeugmodellen in regelmäßigen Zyklen an das Backend des Herstellers übermittelt werden. Der BMW i3 speichert beispielsweise nicht nur die Positionsdaten der zuletzt benutzten Elektro-Ladestationen, sondern auch die rund 100 letzten Abstellpositionen des Fahrzeugs [Adac16]. Damit weiß der Autohersteller ziemlich genau, wo sich seine Elektromodelle befinden und welche Strecken ihre Besitzer zurücklegen.Aus datenschutzrechtlicher Sicht können bei dieser Vorgehensweise potenzielle Verstöße gegen mehrere Datenschutz-Grundsätze wie z.B. Transparenz, Datenminimierung und Zweckbindung identifiziert werden. Besonders bedenklich wird es, wenn aus Positionsdaten personenbezogene Bewegungsprofile generiert werden. Diese Punkte werden in den weiteren Kapiteln detailliert analysiert.

Unter Beachtung der enormen Wichtigkeit von Positionsdaten für das autonome Fahren, besteht Gefahr, dass diese Ausnahmen zukünftig zur Regel werden könnten.

3.1.4 Datenaggregation

Für die Realisierung erweiterter Funktionen ist es nicht selten notwendig, bereits erfasste Fahrzeugdaten voneinander unabhängiger Zwecke, intelligent miteinander zu verknüpfen. Durch die sogenannte Datenaggregation können relevante Werte generiert werden, die zuvor nicht, oder nur durch erhöhten Aufwand erfasst werden konnten. Dies lässt sich am Beispiel des indirekten Reifendruckmessverfahrens veranschaulichen:

Die indirekte Kontrolle des Reifendrucks verwendet Fahrzeugdaten, die nicht zu diesem Zweck originär erfasst werden. Bei einem Druckverlust verringert sich der Reifenumfang jedes Rades, wodurch sich dieses bei gleichbleibender Geschwindigkeit schneller dreht. Mit Hilfe der vorhandenen Drehzahlsensoren des ABS oder ESP, kann durch einen Soll-Ist-Vergleich eine Abweichung festgestellt werden. Die Reifendruckkontrollleuchte wird daraufhin aktiviert und die Insassen auf die Veränderung hingewiesen. [Kump17]| S. 9-10]. So lange es nicht zur Störmeldung durch Druckverlust kommt, ist eine Datenspeicherung bei diesem Verfahren nicht erforderlich.

3.2 Insassendaten

Sitzplatz im Fahrzeug – Smartphone-Modell – Pulsfrequenz - Körpergröße

Unter der Betrachtung des datenschutzrechtlichen Kontextes, ist es besonders interessant einen Blick auf die Erfassung der Insassendaten zu werfen. Das Zusammenspiel der vielfältigen Sensoren und Informationsgebern im Fahrzeug ermöglichen weitreichende Informationen über Fahrer und weitere Insassen zu gewinnen.

3.2.1 Identifizierung

Komfort- und Entertainmentfunktionen spielen im vernetzten Fahrzeug eine immer wichtigere Rolle und umso höher der Grad der Automatisierung, desto individueller soll die Gestaltung dieser Dienste ausfallen. Um das Angebot perfekt auf die Insassen abzustimmen, ist eine möglichst präzise Identifizierung dieser von erheblichem Vorteil. So kann sich der Passagier nach dem Einsteigen beispielsweise über die perfekte Sitzeinstellung, den gewohnten Radiosender und eine angenehme Klimatisierung freuen. Doch welche Möglichkeiten stehen dem Fahrzeug zur Verfügung, um die Insassen einem gespeicherten Profil zuzuordnen?

Heutige Fahrzeuge besitzen bereits die Möglichkeit, verschiedene Profile pro Fahrzeugschlüssel zu hinterlegen. Nach dem Entriegeln nimmt das Fahrzeug Einstellungen vor, die für diesen Nutzer zuvor hinterlegt wurden. Da die Schlüssel jedoch von verschiedenen Personen genutzt werden können, ist eine eindeutige Identifizierung dadurch nicht möglich. Des Weiteren scheint die Zukunft des klassischen Autoschlüssels ungewiss. Ein Fingerabdruck-Scanner am Türeingang oder ein Irisscanner präsentieren sich hier durchaus praktischer und könnten schon bald in auserwählten Fahrzeugen Verwendung finden [Cont16]. Allgemein ist jedoch festzuhalten, dass es sich bei biometrischen Daten um personenbezogene Daten handelt. Daher ist ihre Erhebung, Speicherung und Verarbeitung nur zulässig, wenn entweder eine gesetzliche Grundlage oder eine datenschutzkonforme Einwilligung des Betroffenen vorliegt. [Bfdi1]

Das Smartphone ist zu unserem ständigen Begleiter geworden, was auch den Automobilherstellern nicht entgangen ist. Einen Passagier durch sein Smartphone zu identifizieren erscheint daher naheliegend. Die Automobilbranche arbeitet bereits am virtuellen Autoschlüssel, der im Smartphone abgespeichert wird und den klassischen Fahrzeugzugang ersetzt [Ippe18]. Der virtuelle Schlüssel wird in der Regel über eine App des Herstellers und das Kundenkonto des Autobesitzers freigeschaltet und als Datensatz verschlüsselt auf dem Smartphone abgelegt. Um das Auto zu entriegeln, muss das Smartphone in die Nähe des Türgriffs gehalten werden. Besonders beim kommerziellen Carsharing scheint dies aufgrund der wechselnden Passagiere sehr zweckmäßig und findet in der Praxis sogar schon seinen Einsatz [Krüg18]. Weitere Möglichkeiten die Passagiere über ihr Smartphone zu identifizieren, entstehen zum Beispiel durch Verwendung derselben Netzzelle wie der Mobilfunkadapter des Fahrzeugs oder durch das Einloggen in das fahrzeugeigenen WLAN.

Eine interessante Variante der Identifizierung stellt Volvo innerhalb seiner Vision 2020 vor [Volv14]. Mithilfe einer neuen Technik auf Basis moderner Sensoren, wird das Gesicht der Insassen vermessen, woraufhin aufgrund des Abstands zwischen verschiedenen Punkten dieser anschließend identifiziert werden kann.

3.2.2 Innenraumüberwachung

Betrachtet man die voranschreitende Entwicklung des Automobils, wird auch der Fahrzeuginnenraum einen Wandel durchleben und mit an Sicherheit grenzender Wahrscheinlichkeit sein heutiges Gesicht verlieren [Schl16].

Sensoren im Innenraum wie Kameras und Temperaturfühler erfassen auf immer detailliertere Weise das Geschehen im Auto [RGJR16]| S. 2]. Über sogenannte Tiefenkameras ist es durch Lichtimpulse möglich, dass Fahrzeuginnere in Echtzeit zu erfassen. Damit entsteht Kenntnis über die Anzahl der Personen, ihre Größe und deren Körperhaltung, woraus sich beispielsweise Rückschlüsse auf deren aktuelle Aktivitäten ziehen lassen [Gros16]. Des Weiteren soll Infrarot-Technik zur Abtastung des Fahrergesichts eingesetzt werden, um eine Müdigkeit des Passagiers und eine damit verbundene verzögerte Reaktionsfähigkeit sowie eine Ablenkungsgeneigtheit festzustellen [Schw18]| S. 12].

Dazu kommen Mikrofone, die sämtliche Gespräche im Innenraum des Fahrzeugs erfassen und diese auf Muster beispielsweise in Sprachgeschwindigkeit, Lautstärke und Rhythmus analysieren. Hierdurch lassen sich bei messbaren Abweichungen neben der Müdigkeit gegebenenfalls auch psychologische Bewertungen der Insassen erstellen [Kump17]| S. 14].

Geht es nach der DS-GVO, unterliegen Daten sowohl dem Zweckbindungsgrundsatz wie auch einer Löschpflicht (Art. 17 DS-GVO). Ist der Zweck der Datenerhebung, in diesem Fall beispielsweise die Ermittlung der Reaktionsfähigkeit des Insassen, nicht mehr erforderlich, müssen diese Daten unmittelbar gelöscht werden. Dazu zählt selbstredend auch das Ergebnis der Ermittlung.

3.2.3 Vitaldatenerfassung

Besonders in den Vorstufen des autonomen Fahrens ist die Erfassung von Vitaldaten eine Möglichkeit, die potenzielle Fahrtauglichkeit der Insassen zu ermitteln. In den USA, Skandinavien und den Niederlanden werden schon heute Systeme eingesetzt, welche bei potenziellen Alkoholsündern die Zündung erst nach einem negativen Alkoholtest freigeben [Oppe13].

Die Technologie findet seinen Ursprung im Telemonitoring, wo bisher durch die Übermittlung von Vitaldaten an einen Arzt eine medizinische Ferndiagnose möglich war. Zukünftig könnte diese Funktion durch die Verwendung von Smartphones in Kombination mit Fitnessarmbändern Einzug in die Mobilität halten. Neben dem Alkoholisierungsgrad wäre es dadurch möglich zahlreiche Vitaldaten, wie Blutzucker, Blutdruck, Gewicht oder Pulsfrequenz zu erheben [RGJR16]| S. 18].Auch befassen sich bereits Start-up-Unternehmen mit „Smarten Textilien“, die mit Hilfe integrierter Microsensoren zusätzliche Aufgaben übernehmen. Neben bereits entwickelten T-Shirts und Betteinlagen, die Vitaldaten erfassen, wäre ebenfalls ein entsprechender Sitzbezug im Auto der Zukunft vorstellbar [medi18][Nage16].

Inwiefern diese Technologie im autonomen Fahrzeug Einzug findet, ist nach aktuellem Stand schwer zu beurteilen. Denkbar wäre jedoch beispielsweise die Prüfung des Gesundheitszustands der Insassen nach einem Verkehrsunfall zur direkten Übermittlung an ein Notrufsystem. Stets zu beachten ist an dieser Stelle, dass sowohl aktuelle wie auch historische Gesundheitsdaten zu einer besonderen Kategorie der personenbezogenen Daten zählen und deswegen laut DS-GVO speziellen Verarbeitungsbestimmungen unterliegen (Art. 9 DS-GVO). Diese personenbezogenen Daten sind besonders geschützt und ihre Verarbeitung an noch strengere Voraussetzungen geknüpft.

3.3 UmfelddatenundKommunikation

Das Auto der Zukunft ist ein fahrender Rechner. Besonders viel zu tun bekommt dieser bei der aufwändigen Verarbeitung von Umfelddaten und der Bedienung diverser Kommunikationsschnittstellen. Im Sprachgebrauch der Branche taucht dafür ebenfalls häufig die Bezeichnung „Telematikdaten“ auf.

3.3.1 Umgebungswahrnehmung und Kartografie

Das autonome Fahrzeug braucht eine Vielzahl an Sensoren, um die Augen und Ohren des fehlenden Fahrers zu ersetzen. Die maschinelle Wahrnehmung der Umgebung wird durch den Einsatz von Kameras, Wärmesensoren, Radar- und Lidar-Sensoren ermöglicht. Die Informationen, die diese Sensoren liefern, muss das Fahrzeug daraufhin in ein Umgebungsbild umrechnen. Die folgende Darstellung (Abbildung 2) des Automobilherstellers Audi, zeigt die verbauten Sensorfelder zur Umfeldüberwachung an einem aktuellen, teil-automatisierten Model:

Abbildung 2: Sensorfelder der Umfeldüberwachung [Audi18a]

Durch die sogenannte Sensorfusion werden relevante Daten unterschiedlicher Sensoren intelligent und zeitgleich miteinander verknüpft, wodurch autonomes Fahren erst möglich wird. Ein besonderes Augenmerk wird dabei auf die Funktionssicherheit gelegt. Durch Redundanzen und Plausibilitätsprüfungen, soll eine fehlerhafte Interpretation der Daten zu verhindern werden [Vda17b]. So wird beispielsweise bei Stau oder in städtischer Umgebung der gleiche Sichtbereich von verschiedenen Sensorsystemen überwacht, um bei sicherheitskritischen Manövern stabil reagieren zu können.

Mit den fusionierten Sensordaten lassen sich bewegte und statische Objekte, aber beispielsweise auch Fahrbahnmarkierungen grundsätzlich erkennen und physikalisch vermessen. Für die spätere Situationsbewertung und Situationsvorhersage ist allerdings nicht nur die physikalische Vermessung der Objekte notwendig, sondern auch die Kenntnis darüber, um welche Objektklasse es sich handelt. Beispielsweise unterscheiden sich ein Fußgänger und ein Motorradfahrer in ihren möglichen Bewegungsfreiheitsgraden, wie auch in der zu erwartenden Bewegungsdynamik [MGLW15]| S. 423]. Werden durch die Erfassung anderer Verkehrsteilnehmer personenbezogene Daten generiert, muss an dieser Stelle ebenfalls der Datenschutz berücksichtigt werden.

Um sich selbstständig zurechtzufinden, braucht ein autonomes Fahrzeug weitaus detailliertere Karten- und Navigationssysteme als der Mensch. Das hierfür nötige hochpräzise Kartenmaterial (Beispiel siehe Abbildung 3) braucht mindestens eine Genauigkeit im Dezimeterbereichund muss zusätzlich hochaktuell sein, um vorausschauend auf dem richtigen Weg zu bleiben. Um die Karten auf dem neuesten Stand zu halten, können die im Verkehr befindlichen Fahrzeuge helfen die Qualität und Aktualität permanent zu validieren und gegebenenfalls Korrekturvorschläge zu übermitteln. [Deut17]

[...]