| Im Anschluss an unseren Artikel zur Datenerhebungen in Fahrzeugen, beleuchten wir die signifikanten, datenschutzrechtlichen Probleme, die mit dem autonomen Fahren auf uns zukommen, am Beispiel Tesla. Nicht nur die Vielfalt der erhobenen Daten, sondern auch die große Anzahl der an der Datenverarbeitung Beteiligter sowie der unterschiedlichsten Betroffenen erfordert zukünftig ein genaueres Hinsehen der Datenschutzaufsicht und genaue regulatorische Vorgaben. Das autonome Fahren Mit zunehmender Digitalisierung der Kfz und dem Anstreben der autonomen Fahrfunktion wird es notwendig, dass in und rund um das Fahrzeug zahlreiche, unterschiedliche Daten erfasst und während des gesamten Fahrvorgangs verarbeitet werden. Diese Datenerfassung betrifft nicht nur den Halter oder Fahrer, sondern auch • Mitfahrer, • andere Verkehrsteilnehmer • und am Verkehrsgeschehen Unbeteiligte (z.B. im Garten sitzende Personen, die das Kfz passiert). Welche Datenverarbeitungen gibt es? Es gibt unendlich viele Datenverarbeitungen in den Fahrzeugen. Wesentlich und zukunftsträchtig sind u.a. folgende Datenverarbeitungen: • Car to Car Communication • Wartungshistorie • Multimediaangebote • Kompatibilität des Cockpits mit dem Smartphone und Internet • Kommunikation mit der Straßeninfrastruktur • Assistenzsysteme im Auto zur Unterstützung des Fahrers (Spur- und Bremsverhalten, eCall, automatische Airbags, Homelink, Navigationssysteme und vieles mehr) • Fernanalyse • Datentransfers in die USA u.a. Diese angeführten Datenverarbeitungen erfolgen mit gewaltigen Datenmengen aus unterschiedlichen Datenquellen aus dem Fahrzeug mit verschiedenen Formaten, teilweise in Echtzeit und zumindest über die gesamte Fahrzeit. Art der verarbeiteten Daten Klar ist, dass hierbei nicht nur Sachdaten, sondern auch viele personenbezogene Daten von diversen Funktionsbereichen (Marketing, Vertrieb, After-Sales, Entwicklung etc.) und Verantwortlichen (Hersteller, Zulieferer, Werkstatt) zu unterschiedlichsten Zwecken verarbeitet werden. Im Wesentlichen werden folgende Datenarten verarbeitet: • Sprach- und Audiodaten • Multimediadaten • Wartungsdaten • Fernanalysedaten • Fahrsicherheitsanalysedaten • Ladevorgangsdaten • Telematikprotokolldaten • Autopilot-Daten • Erweiterte Funktionsdaten Die datenschutzrechtlichen Probleme liegen auf der Hand. Ist die betroffene Person noch Herr Ihrer Daten? Kann Sie auf die Datenverarbeitung einwirken, d.h. kann Sie diese ggf. unterbinden und wird sie überhaupt adäquat über die Datenverarbeitung, deren Zwecke, Rechtsgrundlage und ggf. die Datenübermittlung in den AGB und/oder den Datenschutzhinweisen informiert? Im Hinblick auf die Entwicklung hin zum autonomen Fahren sind von besonderem Interesse die Autopilot-Dateien oder wie im Falle Tesla der Wächtermodus. Der Wächtermodus (Sentry Mode) Ein maßgeblicher Part als Grundlage für die Weiterentwicklung zum autonomen Fahren sind die Autopilotfunktionen. Hierunter fällt die Video- und Ultraschallüberwachung des Fahrzeugs, die sowohl im Fahrbetrieb als auch im Parkmodus aktiv ist. Hierbei erfolgt eine Dauererfassung der Autoumgebung meist mittels Kameras (Dashcam), d.h. unbeteiligte Dritte im öffentlichen Raum, die etwa ein Tesla-Fahrzeug passieren, werden ohne Anlass gefilmt (unzulässige Vorratsdatenspeicherung). Die betroffene Person, erhält keine Kenntnis davon, dass das Fahrzeug Bild- bzw. Videoaufnahmen macht, kennt nicht die Zwecke und seine Betroffenenrechte, ist also nicht informiert i.S. von Art. 13 DSGVO. Im Fall von Tesla gewähren mehrere Kameras am und im Fahrzeug eine 360-Grad-Überwachung des Fahrzeuges einschließlich Umgebung bis zu einer Entfernung von 250 Meter. Flankiert werden diese Kameras durch zahlreiche Ultraschallsensoren. Sie unterstützen die Fahrerassistenzsysteme sowie den Autopilot. Mit den eingerichteten Kameras ist es nach Unfällen möglich, die Informationen, die in den letzten 10 Minuten vor dem Unfall gesammelt worden waren, auszulesen (Dashcam-Funktion). Für das Auslesen von vier Kameras steht hierfür eine USB-Schnittstelle zur Verfügung. Die Kameras zeichnen so gut auf, dass andere Verkehrsteilnehmer als auch deren Nummernschilder klar und deutlich zu erkennen sind. Eine der Kameras befindet sich im Tesla Model 3 im Fahrzeuginneren bei dem zentralen Rückspiegel und ist auf die Insassen gerichtet. Diese werden in keinster Weise über deren Datenverarbeitung informiert – weder von Tesla noch von dem Halter des Fahrzeugs. Diese 8 Kameras, die sich in dem Tesla Model 3 befinden, könnten in den Wächtermodus (Sentry Mode) geschalten werden. Damit wird die Umgebung ununterbrochen analysiert und erfasst. Mit der Folge, dass wenn eine Kamera eine auffällige Bewegung erfasst, will heißen ein Passant geht am Auto vorbei, die Aufzeichnung beginnt oder beim Eindringen in ein geparktes Fahrzeug wird ein Alarm per SMS auf das Smartphone geschickt. Interessant ist jedoch, dass von dem Halter nicht definiert werden kann, was ein Benachrichtigungsalarm ist, dies bestimmt das Kfz mittels des hinterlegten Algorithmus, mithin eine automatisierte Entscheidung. Bedenkenswert ist auch, dass die Aufzeichnungen der letzten 6 Sekunden vor dem Unfall, wenn der Halter dies nicht manuell ändert, immer an Tesla übermittelt werden. Hat der Fahrzeughalter der Weitergabe von Daten zur Verbesserung der Wächterfunktion zugestimmt, können Aufzeichnungen in Kombination mit der Fahrzeugidentifikationsnummer (FIN) an Tesla übermittelt werden. Dies kann dann auch andere mobilitätsbedingte Daten betreffen, die bei einer nicht aktiv genutzten Funktion erfasst werden. Darüber hinaus werden die Daten in diesem Fall in ein Drittland übermittelt mit all den Folgen des Schrems II-Urteils. Datenschutzrechtliche Probleme bei Tesla Die auffallendsten Problemfelder bei der Datenverarbeitung durch das Model 3 von Tesla sind folgende Punkte: Datenübermittlung in ein Drittland, d.h. USA nach dem Schrems II-Urteil Mit dem Wegfall des US-Privacy Shields besteht keine Rechtsgrundlage mehr für die Datenübermittlung in die USA. Ebenso wenig ist allein ein Abschluss eines Vertrages, der auf den Standarddatenschutzklauseln beruht ausreichend, wenn nicht weitere Maßnahmen seitens des Verantwortlichen getroffen werden, um das EU-Datenschutzniveau zu gewährleisten. Für solche Maßnahmen ergeben sich keine Anhaltspunkte, wobei für einige Datenverarbeitungen auch die Verantwortlichkeit zwischen Tesla und dem Halter noch zu klären wäre und damit u.U. der Halter besondere Maßnahmen ergreifen und den Vertrag abschließen müsste. Auch eine Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO scheidet aus, denn diese müsste informiert und auf einen Einzelfall bezogen erfolgen. Automatisierte Entscheidung nach Art. 22 Abs. 1 DSGVO Automatisierte Entscheidungen werden in einer Vielzahl von Assistenzsystemen, Auslösen des Airbags oder auch mit den Datenaufzeichnungen im Wächtermodus vorgenommen (s.o). Bei letzterem entscheidet, wie oben dargestellt ein hinterlegter Algorithmus, ob aufgezeichnet wird und welche weiteren vordefinierten Maßnahmen ausgelöst werden. Betroffen von dieser Entscheidung ist nicht nur der Halter, sondern auch der Fahrer, Insassen oder andere Verkehrsteilnehmer. Mit all diesen besteht kein Vertrag gem. Art. 22 Abs. 2 lit. a DSGVO und keiner von diesen ist i.d.R. gem. Art. 22 Abs. 2 lit. b DSGVO informiert oder hat ausdrücklich in diese Verarbeitung eingewilligt gem. Art. 13, 7 DSGVO. Ebenso wenig bestehen Rechtsvorschriften der EU oder der Mitgliedsstaaten gem. Art. 22 Abs. 2 lit. c DSGVO, die diese Verarbeitung durch den Verantwortlichen rechtfertigen würden. Selbstbelastung bei Datenübermittlung an Strafverfolgungsbehörden Mobilitätsbedingte Nutzungsdaten, insbesondere die der Dashcams, könnten von der Polizei gem. §§ 94ff, 163 StPO zur Aufklärung von Unfällen und Rechtsverstößen angefordert werden. Bedenkt man das mit den Aufzeichnungen der Kameras und Sensoren über einen längeren Zeitraum hinweg gegenüber der Polizei auch eine Selbstbelastung des Fahrers erfolgen kann, wäre hierüber zumindest eine Aufklärung des Halters notwendig. Verantwortlichkeit Die Verantwortlichkeit ist differenziert zu betrachten und müsste dem Halter zumindest bekannt sein, d.h. er müsste hierüber von dem Hersteller entsprechend informiert worden sein. Für einige der Datenverarbeitungen ist Tesla alleine bzw. gemeinsam mit dem Halter verantwortlich, für andere Datenverarbeitungen, insbesondere in den Fällen, in denen Dritte erfasst werden, ist der Halter der Verantwortliche. Dies hat zur Folge, dass der Halter Dritte, also Passanten, Insassen oder den Fahrer, der nicht identisch ist mit dem Halter, datenschutzrechtlich gem. Art. 13 DSGVO informieren, diesen die Betroffenenrechte gewähren und bei deren Beschwerde nach Art. 33 DSGVO gegenüber den Datenschutzbehörden Rede und Antwort stehen sowie ggf. auch Bußgelder und Strafen zahlen müsste. Unkenntnis schützt vor Strafe nicht! Unkenntnis schützt vor Strafe nicht, so heißt es im Volksmund. Dies trifft auf die datenschutzrechtliche Haftung eines Verbrauchers, der sich ein Fahrzeug kauft und unversehens zum Verantwortlichen i.S.v. Art. 4 Nr. 7 DSGVO wird, in eklatanter Weise zu. Die Datenschutzbehörden sollten darauf hinwirken, dass die Hersteller von zunehmend digitalisierten oder autonom fahrenden Kfz Ihrer Aufklärungspflicht nachkommen, so dass der unbefangene Käufer auch Kenntnis von den rechtlichen Auswirkungen erhält bzw. bei der zunehmenden Digitalisierung bei der Gestaltung der Software dem Grundsatz der Datensparsamkeit bzw. die Ausgestaltung der Software den Grundsätzen Privacy by Design und Privacy by Default Rechnung trägt. Beitrag hier kommentieren | 