Header graphic for print
Datenschutz News & Trends
Rubrik: Datenschutz Allgemein, Datensicherheit, Kundendatenschutz

Deutsche Aufsichtsbehörden veröffentlichen Entschließung zu „Connected Cars“

Die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder verabschiedete in ihrer letzten Sitzung am 8. und 9. Oktober in Hamburg eine erste Entschließung zu dem Thema „Datenschutz im Kraftfahrzeug„.

Die Entschließung stellt die datenschutzrechtlichen Risiken im Rahmen der     zunehmenden Datenerhebung und -verarbeitung beim Nutzen von Fahrzeugen heraus und betont, dass die datenschutzrechtliche Gefährdungslage nicht erst mit dem Auslesen oder Übermitteln von Daten entsteht, sondern bereits mit dem Erfassen der Daten. Angesichts der zahlreichen Interessenten an den Daten, wie etwa Arbeitgebern oder Versicherungen, komme dem Schutz dieser Daten eine besondere Sensibilität zu.

Die Datenschutzkonferenz bestimmt daher in ihrer Entschließung eine Reihe von Verpflichtungen, die Automobilhersteller, Händler, Werkstätten und Anbieter von Kommunikations- und Telediensten zu beachten haben:

Aufmerksamkeit erregt dabei insbesondere die Feststellung der Datenschutzkonferenz, dass die Datenverarbeitung entweder vertraglich vereinbart oder von einer ausdrücklichen Einwilligung gedeckt sein müsse. Es kann kein Versehen sein, dass die Wahrung der berechtigten Interessen der verantwortlichen Stelle als der häufig wichtigste Rechtfertigungsgrund für die Erhebung und Verarbeitung von personenbezogenen Daten noch nicht einmal erwähnt wird. Dieser Rechtfertigungsgrund ist in § 28 Absatz 1 Satz 1 Nr. 2 BDSG und in Artikel 7 (f) der Richtlinie 95/46/EG niedergelegt und gilt auch für die Verarbeitung personenbezogener Daten im Auto. Dass die Wahrung berechtigter Interessen eine Datenverarbeitung auch im Kontext der zunehmenden Vernetzung von Alltagsgeräten rechtfertigen kann, wurde jüngst auch nochmals von der Artikel 29 Gruppe in ihrem Working Paper 223 bestätigt („Opinion 8/2014 on the Recent Development on the Internet of Things“).

Die weiteren benannten Verpflichtungen greifen Prinzipien auf, die regelmäßig, nun aber erstmals von den deutschen Datenschutzbehörden in der Diskussion um datenschutzrechtliche Fragen zum Thema „Connected Cars“ herangezogen werden:

  • Automobilhersteller und Anbieter von Kommunikations- und Telediensten müssen bei der Entwicklung ihrer Produkte    und   Dienstleistungen die Grundsätze des „privacy by design“ und „privacy by default“ beachten.
  • Die Grundsätze der Datensparsamkeit und Datenvermeidung müssen beachtet werden und Daten sind umgehend zu   löschen, sobald sie nicht mehr benötigt werden.
  • Gegenüber den Fahrer, Haltern und Nutzern von Fahrzeugen muss eine vollständige Transparenz gewährleistet sein. Dazu gehört eine umfassende und verständliche Information, welche Daten beim Betrieb des Fahrzeugs erhoben werden und welche Daten über welche Schnittstellen an wen und zu welchen Zwecken übermittelt werden. Änderungen in der Datenverarbeitung sind den Betroffenen rechtzeitig anzuzeigen. Darüber hinaus fordert die Datenschutzkonferenz, dass die Betroffenen in die Lage versetzt werden müssen, weitere Nutzer des Fahrzeugs entsprechend zu informieren.
  • Auch wenn die Datenverarbeitung und –übermittlung vertraglich vereinbart oder von einer wirksamen Einwilligung umfasst ist, sind Halter und Nutzer von Kraftfahrzeugen technisch wie rechtlich in die Lage zu versetzen, Datenübermittlungen zu erkennen, zu kontrollieren und gegebenenfalls zu unterbinden. Außerdem ist den Betroffenen die Wahl datenschutzfreundlicher Systemeinstellungen sowie umfangreiche Möglichkeiten zum Löschen von Daten anzubieten.
  • Es sind geeignete technische und organisatorische Sicherheitsmaßnahmen einzurichten, die eine angemessene Datensicherheit und –integrität gewährleisten. Diese Verpflichtung gilt laut Hinweis der Datenschutzkonferenz insbesondere für die Datenkommunikation aus Fahrzeugen heraus.

Wenngleich die Datenschutzkonferenz abschließend betont, dass die benannten Prinzipien bereits jetzt für die relevanten Akteure verpflichtend sind, will sie gleichwohl darauf hinwirken, dass Automobilhersteller, Zulieferer und ihre Verbände bundesweit einheitliche Datenschutzstandards auf hohem Niveau schaffen.

Die aktuelle Entschließung der Datenschutzkonferenz ist nicht die erste Aktivität der Datenschutzaufsichtsbehörden im Bereich der Datenverarbeitung in Fahrzeugen.

Bereits im Jahr 2012 haben die Datenschutzaufsichtsbehörden in Zusammenarbeit mit dem Verband der deutschen Automobilindustrie eine Muster-Information über Datenspeicher im Fahrzeug veröffentlicht. Ziel dieser Muster-Information war es, im Rahmen der Betriebsanleitung von neuen Fahrzeugen eine umfassende und transparente Information über die Datenerhebung und –verarbeitung zu technischen sowie zu Zwecken der Sicherheit zu bieten.

Im Jahre 2006 hatte die europäische Artikel 29 Arbeitsgruppe bereits eine Empfehlung zu den Datenschutzthemen von eCall, dem automatischen Notrufsystem in Kraftfahrzeugen, abgegeben.

Angesichts der weltweiten Bedeutung der deutschen Automobilindustrie ist zu erwarten, dass die jetzige Entschließung der Datenschutzkonferenz noch weiter diskutiert und einen nachhaltigen Effekt auf die Industrie haben wird.

Die Diskussion zu Datenschutz im Kraftfahrzeug wird das Münchener Büro von Hogan Lovells am 5. November 2014 auch bei den Münchner Datenschutzgesprächen unter dem Thema „Datenschutz und Mobilität“ fortsetzen.

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu