Skip to main content
Du Erfährst in diesem Beitrag

Wie werden Daten im Fahrzeug generiert

Einwilligung & Geltendmachung von Ansprüchen nach DSGVO

KI, MyAutoData & Auskunftsrecht

Lesezeit: 30 Minuten

Einleitung

Der Spion, den ich leaste – Selbst James Bond hätte es nicht geschafft so unauffällig viel Technik in einem Fahrzeug unterzubringen, wie es bei Heutigen der Standard ist. Moderne Sensoren erfassen die kleinsten Details im Innen- und Außenbereich des Fahrzeugs, verarbeiten diese direkt im Fahrzeug oder schicken sie weiter in die Cloud. Abnehmer hierfür gibt es genug. Institutionen wie Ermittlungsbehörden, Hersteller, die Werbewirtschaft und viele mehr haben ein Interesse diese Daten auszuwerten und daraus individuelle Profile zu erstellen. (vgl. Hansen, 2022)

Generierung von Daten im Fahrzeug

Zunächst stellt sich die Frage wie und welche Daten werden in einem Fahrzeug überhaupt erzeugt? Algorithmen in der Software der Steuergeräte generieren und verarbeiten Daten von Sensoren. Diese erarbeiten daraus für uns erlebbare Funktionen z. B. automatisches Bremsen, falls mit einer zu hohen Geschwindigkeit an ein anderes Fahrzeug herangefahren wird. Die Kommunikation der Steuergeräte untereinander und das Speichern von Daten übernimmt die Betriebssoftware des Fahrzeugs. (vgl. Raith, 2019, S. 10-11)

Die Daten, welche hier erzeugt werden, sind vielfältig. Diese können das Umfeld, als auch den Innenraum des Fahrzeugs betreffen. Beispielsweise setzt der Hersteller Tesla Außenkameras nicht nur zur Sicherheit während der Fahrt ein, sondern überwacht bei geparkten Fahrzeugen dauerhaft das komplette Umfeld und somit auch Personen, welche sich um das Fahrzeug herumbewegen. Continental hat ein System entwickelt, welches die Atmung und den Herzschlag der Insassen mittelseines niederfrequentem Radar überwacht. Folgende Auflistung stellt weitere Datenerhebungsmöglichkeiten da:

  • Klimaeinstellungen,
  • Anruflisten,
  • Müdigkeitswarner,
  • Sitzposition und Gurtsensor,
  • Sprachbefehle,
  • Live-Verkehrsdaten,
  • Fahrbahnzustand (vgl. Hansen, 2022, S. 20-21)

Auf den ersten Blick stellt sich die Frage, ob die gesammelten Daten überhaupt einer Person zugeordnet werden können. Mit Hilfe der Fahrzeugidentifikationsnummer oder einer anderen Personenkennung, die dem Fahrzeug zugeordnet ist, können Hersteller ohne Probleme eine Verknüpfung herstellen. Hier findet die DSGVO ihren Ansatzpunkt, diese setzt sich in diesem Kontext dafür ein, dass Hersteller keinen riesigen Big-Data-Eintopf mit massenhaft persönlichen Daten erzeugen. (vgl. Hansen, 2022, S.20-21)

svg+xml;charset=utf

Einwilligung und berechtigtes Interesse

Im Grunde ist die DSGVO sehr einfach gestrickt. Jede Art von Verarbeitung von personenbezogenen Daten ist verboten, es sei denn es gibt eine Ausnahme deren Rechtsgrundlage in der DSGVO enthalten ist. Zum Beispiel nach §6 Abs. 1 S. 1a DSGVO kann die Person, Ihre Einwilligung, zur Verarbeitung, der Sie betreffenden personenbezogenen Daten, für einen oder mehrere bestimmte Zwecke, zustimmen. Dies findet häufig Anwendung, sobald der Fahrer spezielle Dienste des Fahrzeugs nutzen möchte. (vgl. Hansen, 2022, S. 29-30)

Bei einer Einwilligung kommt es häufig zu sehr vielen Seiten an Rechtsext, welcher so gestaltet sein muss, dass auch Laien ihn verstehen können, da diese sonst keine Entscheidung daraus ableiten können (vgl. Hansen, 2022, S. 29 – 30). Eine Studie hat gezeigt, dass ein Großteil der Nutzer von Onlinediensten Datenschutzbestimmungen überhaupt nicht lesen (DIVSI, 2015). Ähnlich dürfte sich das auch bei Einwilligungen im Fahrzeug verhalten. Interessant ist auch, dass Personen, welche die Datenschutzerklärung gelesen haben, öfter auf diese Dienste verzichten.

Meiner Meinung nach könnte es mehr Motivation geben eine kurze Zusammenfassung der Rechtstexte zu lesen. Hier könnten die wichtigsten Punkte der Einwilligung in Form von Fragen beantwortet werden wie z. B. wer hat Zugriff auf meine Daten? Werden Daten weiterverkauft? Allerdings dürfte das für die Hersteller kaum von Interesse sein, da sie diejenigen sind, welche am meisten davon profitieren. Eine Möglichkeit wäre es diese Art von Zusammenfassung gesetzlich vorzuschreiben.

Hersteller können jedoch auch ein berechtigtes Interesse angeben und die Daten ohne Einwilligung des Betroffenen verarbeiten. Hierzu müssen Sie die Datenverarbeitung begründen und diese gegen die Interessen der betroffenen Personen Abwegen. (vgl. Hansen, 2022, S. 29)

Ein doppeltes Spiel wie ich finde. Die Hersteller können angeben, dass die Daten zur Verbesserung der Sicherheit dienen oder den Komfort erhöhen sollen. Hersteller lassen sich bekanntlich nicht gerne in die Karten schauen, somit lässt sich nur erahnen was hier mit den gewonnenen Daten wirklich passiert. Andererseits sind wir auch dankbar, sollte es zu einem Unfall kommen, dass das Fahrzeug selbständig einen Notruf absetzen kann.

Geltendmachung von Ansprüchen

Eine interessante Sichtweise ergibt sich, wenn diese Daten herangezogen werden, um anspruchsbegründende Tatsachen schlüssig darzulegen oder um sich gegen geltend gemachte Ansprüche zu verteidigen. Hier stößt häufig das Recht auf informationelle Selbstbestimmung auf das Recht auf Beweis. So wäre prinzipiell zunächst einmal zu prüfen, ob die beweiserheblichen Daten rechtmäßig oder rechtswidrig gesammelt wurden. Hier hängt es davon ab, ob die Daten zum Zweck der Beweisführung aufgezeichnet wurden oder nicht. Wenn dies nicht der Fall ist, kann §6 Abs. 4 DSGVO herangezogen werden. Dieser besagt vereinfacht, dass die Daten auch für einen anderen Zweck verwendet werden dürfen als für den Zweck, für den sie eigentlich erhoben wurden. Die Interessensabwägung ist aber immer im Einzelfall zu prüfen. (vgl. Raith, 2019, S. 261-268)

svg+xml;charset=utf

KI & DSGVO

Die Verwendung von Künstlicher Intelligenz, wirft ebenfalls Spannungsfelder hinsichtlich des Datenschutzes auf. Künstliche Intelligenz benötigt in der Regel Millionen von Trainingsdaten, um angemessen auf Verkehrssituationen reagieren zu können z. B. für ein autonom fahrendes Fahrzeug. Um an solch eine Masse an Informationen zu gelangen, scheint es attraktiv, Daten aus Kundenfahrzeugen zu verwenden und dies mit einem berechtigten Interesse für die Weiterentwicklung eines KI-Systems zu begründen. Schließlich dient es augenscheinlich dem Schutz des Fahrers. Ob es nötig ist solche Trainingsdaten direkt einer Person zuordnen zu können ist fraglich. Eine Anonymisierung der Daten wäre hier durchaus denkbar, so können unverzichtbare Realdaten generiert und zum Trainieren der KI genutzt werden, aber die informationelle Selbstbestimmung gewahrt werden. (vgl. Kroschwald, 2021, S. 1-3)

Die etwas andere Datenverwendung

Eine komplett andere Sichtweise auf den Umgang mit Fahrzeugdaten bietet das Unternehmen MyAutoData. Sie haben eine Lösung gefunden, wie nicht nur große Konzerne von den gewonnenen Daten profitieren können, sondern auch die Fahrzeugbesitzer selbst. Die Idee ist folgende: Daten werden vom Fahrzeug mittels einer einfachen technischen Lösung abgegriffen und in die Cloud des Unternehmens gesendet. Dort werden diese in einem sogenannten Datentresor gespeichert. Der User kann selbst entscheiden welche Daten er freigeben möchte und wie weit diese anonymisiert sein sollen. Geprüfte Unternehmen können anschließend gegen eine Gebühr auf diese Daten zugreifen. Außerdem lassen sich die Daten nutzen, um vergünstigte Versicherungen zu erhalten oder diese direkt an die Werkstatt des Vertrauens zu senden. (vgl. MyAutoData GmbH, 2022)

Eine geniale Idee wie ich finde. Die Unternehmen kommen an die benötigten Daten, der User kann sich etwas dazu verdienen und weiß zu jeder Zeit welche Daten er freigegeben hat. Besonders die monetäre Zulage dürfte einige Fahrzeugbesitzer dazu ermutigen Ihre Daten preiszugeben. Ob ein solcher Ansatz langfristig Erfolg hat, bleibt jedoch zweifelhaft. DSGVO-Verstöße werden meines Wissens momentan noch nicht ausreichend verfolgt und die Bußgelder sind zu gering, als dass sich der Aufwand für den Hersteller lohnen wird.

Auskunftsrecht nach DSGVO

Wie kann eine betroffene Person an seine eigenen, beim Hersteller oder im Fahrzeug selbst, verarbeiteten Daten gelangen? Nach §15 DSGVO hat der Betroffene ein Recht darauf eine Bestätigung zu erhalten, ob personenbezogenen Daten von ihm bei einem angefragten Unternehmen verarbeitet werden. Bei einer positiven Antwort hat dieser außerdem das Recht Auskunft über diese Daten zu erhalten. Prinzipiell erhält man aber keinen Zugang auf entwicklungsspezifische Daten, da diese nicht freizugänglich gespeichert werden. Diese fallen in der Regel unter das Geschäftsgeheimnis. Außerdem bleibt zu erwähnen, dass in §15 DSGVO nur von einem Auskunftsrecht und nicht von einem Herausgaberecht die Rede ist. (vgl. Raith, 2019, S. 222-224)

Die Zeitschrift Heise hat hierzu ein interessantes Experiment durchgeführt. Der Autor Günter Stromheim fährt ein E-Auto des Herstellers Skoda. Ein paar Wochen nach dem Kauf, meldete das Fahrzeug einen nicht fahrkritischen Fehler. Herr Stromheim rief bei Skoda an, um sich über den Fehler zu informieren. Der Support Mitarbeiter konnte ihm nur mit den Namen das Auto direkt zuordnen. Skoda gab zu verstehen, dass der Fehler harmlos sei. Allerdings stellte sich Herr Stromheim nun die Frage welche Daten Skoda wohl noch über ihn habe.

Im Januar 2021 adressierte dieser anschließend einen Brief an Skoda Deutschland in welchem er mitteilte, dass er zu allen über ihn gesammelten Daten eine Auskunft erhalten möchte. Wenige Tage vor Ablauf der Frist, diese beträgt bei Auskunftsanfragen einen Monat, bekam er eine Antwort. Skoda teilte ihm mit zu welchem Zweck und für welche Dienste seine Daten auf Skoda Connect verwendet werden. Herr Stromheim wusste aber nicht einmal, dass er diese Plattform überhaupt benutze. Er schrieb daraufhin den Datenschutzbeauftragen von Skoda Deutschland direkt an und formulierte seine Auskunftsbitte noch genauer. Die Antwort erfolgte von einer Anwaltssozietät aus Hamburg. Das Schreiben informierte ihn über seine Rechte laut DSGVO inkl. Kontaktdaten der Datenschutzaufsichtsbehörde sowie den Datenschutzbeauftragen von Skoda Deutschland und Tschechien. Er erhielt außerdem Auskunft über die Kaufvertragsdaten und über Datenbankfelder, welche für Werkstätten abrufbar sind. Als Empfänger der Daten wurden unteranderem Banken, IT-Dienstleister, Skoda-Marketing, Behörden, Ämter, Sicherheitsbehörde, Skodas Finanzberater und andere Dritte, denen Skoda aufgrund gesetzlicher Anforderungen personenbezogenen Daten zugänglich machen muss, genannt. Als Zweck wurde angegeben, dass eine Interaktion mit ihm durchgeführt werden darf, vertragliche Pflichten erfüllt werden müssen und die Daten für Werbung genutzt werden dürfen.

Zufrieden war er mit dieser Aussage nicht, da der Zweck viel zu allgemeingültig war und die Aussage über die Empfänger nur erahnen lässt, wer alles Zugriff auf seine Daten bekommt. Er entschied sich Skoda Tschechien anzuschreiben. Den Hauptfirmensitz von Skoda. Diesmal erkundigte er sich explizit nach Analysen im Kontext der Motornutzung, nach Zugriffen durch den VW-Konzern sowie Abfragen durch Werkstätten und Dritter. Außerdem bat er darum alle Verarbeitungen mit der Rechtsgrundlage zu belegen.

Es folgte eine Antwort mit einem Link, über welchen er auf einen Datensatz zugreifen konnte, welcher deutlich weniger Informationen enthielt, wie die vorherige Auskunft über die Anwaltssozität. Daraufhin schickte dieser erneut einen Brief, in welchem er deutlich daraufhin wies, dass diese Informationen absolut nicht ausreichend seien. Skoda Tschechien antwortete daraufhin mit einer E-Mail welche zwei Links enthielt, die auf eine Datenschutzerklärung verwies und erklärte, dass keine Profilierung des Fahrverhaltens generiert wird. Die Steuergeräte zeichnen Daten auf, diese werden aber während der Fahrt nicht versendet. Die Daten werden laut Skoda für die Diagnostik in Werkstätten verwendet. Erwähnt wurde außerdem die praktizierte DFSA. Der Autor stoppte hier das Experiment und kam zu dem Fazit, dass es mit Hartnäckigkeit möglich ist an Antworten zu kommen. Allerdings helfen diese Antworten nicht alle Zweifel an der DSGVO-Konformen Nutzung der Daten durch den Hersteller zu beseitigen.(vgl. Hansen, 2022, S. 34-35)

Fazit

Viele der technischen Raffinessen die Q in den alten Filmen für James Bond entwickelt hatte sind mittlerweile Wirklichkeit geworden und finden sich als Standardausstattung in den heutigen Fahrzeugen wieder. In der verzerrten Wirklichkeit erleben wir diese aber vermeintlich nicht als Spionage Ausstattung, sondern als Komfort und Sicherheit. Jeder sollte dennoch nicht aus dem Auge verlieren, dass all diese Innovationen auch Gefahren der ständigen Überwachung bieten. Hersteller sammeln kontinuierlich die daraus gewonnen Daten und werten diese aus. Die DSGVO soll dafür sorgen, dass wir mehr Herrschaft über diese Daten erhalten, sie bleibt aber für den Moment ein stumpfes Schwert. Ich hoffe, dass es zukünftig noch mehr Unternehmen wie MyAutoData geben wird, welche eine sinnvolle Kooperation aus beiden anbieten.

Literatur

DIVSI, 2015. Allgemeine Geschäftsbedingungen (AGB) von Kommunikationsdienstleistern.

Hansen, S., 2022. Überwacht im eigenen Auto . c’t magazin für computer technik 18–35.

Kroschwald, S., 2021. Künstliche Intelligenz im autonomen Auto. Datenschutz und Datensicherheit – DuD 45, 522–528. https://doi.org/10.1007/S11623-021-1483-5

MyAutoData GmbH, 2022. MyAutoData [WWW Document]. URL https://myautodata.com (accessed 1.31.22).

Raith, N., 2019. Das vernetzte Automobil: Im Konflikt zwischen Datenschutz und Beweisführung, Das vernetzte Automobil: Im Konflikt zwischen Datenschutz und Beweisführung. Springer Fachmedien Wiesbaden. https://doi.org/10.1007/978-3-658-26013-2_3

Ähnliche Artikel
Allgemein

A Better Title

Your post content
Code

Electron & React Template für Mac

Schnell eine Template für React + Electron erstellen
IT-Security

IT-Security Microsoft 365 Exchange

Best-Practice-Modell für IT-Security Microsoft 365 Exchange

Leave a Reply