Neuester Artikel

Lesen Sie hier den neuesten Artikel des Autors zum Thema Datenschutz und Informationssicherheit.

Sofort lesen Übersicht

Automatische Fahrzeugdatenübermittlung schafft den gläsernen Bürger

 

Automatische Fahrzeugdatenübermittlung schafft den gläsernen Bürger

Mit einer voranschreitenden Digitalisierung tut sich der deutsche Gesetzgeber manchmal schwer, vor allem mit den damit oft einhergehenden Expertenhinweisen von Datenschützern, weshalb etwa auch die Bürgeridentifikations- und die Fahrzeugidentifikationsnummer (FIN) zum beliebten Repertoire des deutschen Gesetzgebers gehören. Gewisse datenschutzrechtliche Problematiken, insbesondere im Hinblick auf die mit der FIN verknüpfte Fahrzeugdatenübermittlung, sollen hier aufgezeigt werden.

Bürgeridentifikations- und Fahrzeugidentifikationsnummer

Daten über den einzelnen Bürger gibt es zuhauf, die Wünsche einiger gehen allerdings soweit, das mit einem Blick und Klick alle Daten eines Bürgers vorliegen müssen. So soll für das geplante E-Government, trotz der von Experten detailliert vorgetragenen Bedenken und möglicher alternativer Lösungsansätze, die Steueridentifikationsnummer zur Bürgernummer werden und so der Datenaustausch zwischen Behörden möglich sein. Der Bürger bezahlt für diesen Komfort einen sehr hohen Preis, obwohl dies datenschutzkonform und mit weniger personenbezogenen Daten möglich wäre.

Ähnlich verhält es sich mit der Fahrzeugidentifikationsnummer, auch diese lässt sich für zahlreiche Datenkombinationen in einer Super-Datenbank hervorragend nutzen.

Was ist die Fahrzeugidentifikationsnummer (FIN)?

Die Fahrzeugidentifikationsnummer - früher Fahrgestellnummer - ist eine international genormte Seriennummer mit 17 Ziffern, bestehend aus der Herstellerkennung (World Manufacturer Identifier), dem herstellerspezifischen Schlüssel und einer vom Baujahr abhängigen fortlaufenden Nummer, die das Fahrzeug von der Herstellung bis zur Verschrottung beibehält. Sie ist – ohne Zweifel – ein personenbezogenes Datum, das sich auf eine identifizierte und identifizierbare Person bezieht. Alle Daten, die in einem Auto sowohl offline als auch online erfasst werden, können über die FIN einer identifizierbaren Person zugeordnet werden.

Mit dieser Verknüpfung, und unter Hinzuziehung der Bürgeridentifikationsnummer, können im Ergebnis in einer Super-Datenbank umfassende Persönlichkeitsprofile erstellt werden, eine so geschaffene Datenlage sollte bei Neugierigen keine Wünsche offen lassen.

Welche personenbezogenen Daten werden im Fahrzeug verarbeitet?

Angesichts der umfassenden Datenverarbeitung in modernen Fahrzeugen werden große Mengen an personenbezogenen Daten und enorme Datenströme produziert, die über die FIN Personen eindeutig zugeordnet werden können. Hierbei handelt es sich insbesondere um folgende Daten:

  • Diagnosedaten für Wartungs- , Reparatur-, Verbesserungs- oder Notfallzwecke des Fahrzeuges und ggf. von einzelnen Komponenten;
  • Daten für vernetzte Verkehrssysteme und weitere vernetzte Dienste, bezogen auf das Fahrzeug, den Straßenverkehr oder andere Dienste, etwa Wetter- oder Kartendienste.
Welche Interessenten an den Daten gibt es?
  • Hersteller, Händler oder OEM-Aftersales, samt Teilezulieferern, Versicherungen, App-Anbietern, etc.
  • Telematic-Servicebetreiber oder Straßenbetreiber (Maut)
  • Mobilitätsdienstleister (Carsharing oder Werbung)
  • andere Akteure, etwa andere Verkehrsteilnehmer, Privatpersonen, Anwohner, Mitinsassen oder sonstige Dritte
  • Staat und Wissenschaft, etwa Steuer-, Infrastruktur- oder andere Behörden, sowie, im Falle der Durchführungsverordnung für Strom- und Sprit-Verbrauchsdaten, auch das EU-Umweltamt
Welche Vorhaben hinsichtlich der FIN gibt es momentan?

Zum einen gibt es den Gesetzentwurf der Bundesregierung zum autonomen Fahren, zum anderen gibt es die Durchführungsverordnung für die Verbrauchsdaten, die Hersteller verpflichtet, den Strom- und Spritverbrauch ab dem 01.04.2022 gebündelt an das EU-Umweltamt (EUA) zu senden. In beiden Fällen sind die Daten mit der FIN verknüpft. Hierbei ist es wohl nicht verwunderlich, dass in beiden Fällen von Experten die bisherige Umsetzung des Datenschutzes erheblich kritisiert wurde.

Was wäre dringend gesetzlich zu regeln?

Betrachtet man die Fülle der personenbezogenen Daten, die rund um den Betrieb des Fahrzeuges vom Fahrzeugnutzer, der in den meisten Fällen mit dem Halter identisch sein dürfte, erhoben und verarbeitet werden, kann man verstehen, dass es auf der Seite der Interessenten hohe Begehrlichkeiten in Bezug auf diese Daten gibt. Zu beachten ist jedoch, dass hier nicht nur seriöse Interessen an diesen Daten bestehen, sondern auch unseriöse, insbesondere von Kriminellen.

Ein dringender Handlungsbedarf besteht so etwa im Hinblick auf folgende Punkte:

  • die Datensouveränität durch den dauerhaften Fahrzeugnutzer gegenüber allen potentiellen Interessenten;
  • den Zugriff auf die im Fahrzeug und den Komponenten erfassten Daten, der nur bei Erlaubnis oder Vorliegen einer konkreten Rechtsgrundlage für die Datenverarbeitung erfolgen darf;
  • den Einsatz nutzerfreundlicher Software;
  • die Regelung welche Daten wie für Gemeinwohlzwecke zur Verfügung gestellt werden müssen, dann aber so, dass kein Personenbezug möglich ist, d.h. ohne Bezugnahme auf die FIN;
  • die Speicherbegrenzung.
Handlungsbedarf hinsichtlich des Gesetzentwurfes zum autonomen Fahren

Im Gesetzentwurf zum autonomen Fahren fehlt es in § 1g Abs. 2 des Entwurfes an einer abschließenden Nennung der Speichergründe und der -fristen. Ähnlich verhält es sich in § 1g Abs. 4 des Entwurfes, welcher zwar das Kraftfahrt-Bundesamt (KBA) ermächtigt die Daten des Fahrzeughalters zu verarbeiten, soweit dies für den sicheren Betrieb erforderlich ist, aber die konkreten Voraussetzungen, also was für den sicheren Betrieb erforderlich ist, nicht aufzählt. Auch die Weitergabe von Daten durch das KBA zu Forschungszwecken ist im Gesetzentwurf vorgesehen, allerdings wird in diesem Zusammenhang nicht die mögliche Verknüpfung mit anderen Daten, etwa von Telefonanbietern, einschränkend geregelt, was problematisch ist, denn allein mit Positions- und Zeitangaben lassen sich Fahrzeugnutzer ohne größere Probleme identifizieren.

Die Weitergabe zu Forschungszwecken sollte daher detailliert geregelt werden, d.h.

  • die Weitergabe zu Forschungszwecken sollte nur auf Antrag erfolgen,
  • der Nutzen der Forschung für das Gemeinwesen muss detailliert dargelegt werden,
  • alle Daten dürfen nur in anonymisierter Form verarbeitet werden,
  • Art. 12 ff. DS-GVO muss von den Verantwortlichen gewahrt bleiben und
  • eine Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO ist durchzuführen.
Handlungsbedarf hinsichtlich der Durchführungsverordnung für Strom- und Sprit-Verbrauchsdaten in Fahrzeugen

Aufgrund der Durchführungsverordnung für Strom- und Sprit-Verbrauchsdaten müssen Fahrzeug-Hersteller ab dem 01.04.2022 Daten zum Strom- und Spritverbrauch über den gesamten Fahrbetrieb (Lebenszyklus) des Fahrzeuges hinweg, zusammen mit der FIN, an das EU-Umweltamt übermitteln. Hiermit soll die tatsächliche Entwicklung der Fahrzeugleistung im Betrieb ermittelt werden. Angesichts eines Fahrzeug-Lebenszyklus von 15 Jahren und eines anvisierten Aufbewahrungszeitraumes von 20 Jahren ist ersichtlich, um welchen immensen Datenbestand es sich hier handelt und wie hoch der Sicherungsbedarf sein wird, um einen Datenabfluss oder Datenmissbrauch und somit einen Angriff auf diese Daten der europäischen Fahrzeugnutzer zu verhindern. Wozu diese konkreten Verbrauchswerte zusammen mit der FIN gespeichert werden müssen, erschließt sich nicht. In Anbetracht des Datenminimierungsgrundsatzes des Art. 5 DS-GVO sollte hiervon Abstand genommen werden, denn die Überprüfung der Verbrauchsangaben durch die Hersteller kann auch ohne Personenbezug vorgenommen werden.

Bereits seit 2020 müssen neu zugelassene Fahrzeugtypen mit einem Verbrauchsmessgerät (ON-Board-Fuel-Consumption-Meter - OBFCM) ausgestattet sein, das den Kraftstoffverbrauch pro zurückgelegter Strecke, den Kraftstoffdurchsatz und die Fahrgeschwindigkeit speichert. Ab 2021 gilt dies auch für alle Neuwagen, so dass Fahrzeug-, Motor-, Kraftstoff- oder Stromangaben über eine standardisierte Schnittstelle an die Hersteller übermittelt und von diesen gebündelt - samt FIN - an die EU-Kommission gesendet werden. Zugleich sollen die Messwerte – samt FIN – auch von technischen Prüfstellen - etwa dem TÜV - erfasst werden.

Diese beiden Datenströme werden dann an das EU-Umweltamt übermittelt und von diesem unter weiter bestehendem Personenbezug ausgewertet. Wozu der Personenbezug über die FIN benötigt wird, erschließt sich nicht.

Der Weg zum gläsernen Bürger

Das beschriebene Fuel-Consumption-Monitoring sowie der Gesetzentwurf zum autonomen Fahren führen - in der momentanen Form - zweifelsohne zum gläsernen Autofahrer. Übermittelt man die so gewonnenen Daten zusätzlich an die mit der E-Governments anvisierte Datenbank, schafft man vollends den gläsernen Bürger. Solange die Verbrauchsdaten samt FIN an das EU-Umweltamt übertragen werden, ist der Datenschutz nicht im Ansatz gewährleistet. Auch die vorgesehene Möglichkeit des Fahrzeugnutzers der Erfassung von Daten im Wege eines Opt-Out zu widersprechen, ist nur ein Feigenblatt, denn in der Durchführungsverordnung für die Verbrauchsdaten sind keine Ausgestaltungsdetails hierzu zu finden, ferner wird es hier sicherlich keine Freiwilligkeit seitens der Industrie für eine datenschutzfreundliche Gestaltung geben.

Der Gesetzgeber ist im Ergebnis aufgerufen sich nicht nur verbal dem Datenschutz zu verpflichten, sondern im Zuge einer stringenten Gesetzgebung zukunftsweisende Maßstäbe zu setzen.