Einfluss von Selbstfahrenden Autos auf den Datenschutz
An selbstfahrenden Autos forschen Firmen aus der Automobilindustrie, der Tech-Branche, der Internetszene, Experten für künstliche Intelligenz und viele, viele mehr. Die wirklich „auto-mobilen“ Autos gelten als der Schlüssel der Zukunft des Individualverkehrs. Das autonome Fahren soll den Verkehr sicherer machen, Unfälle vermeiden, Staus verringern und Straftaten sowie Ordnungswidrigkeiten im Straßenverkehr verringern.
Neue Konzepte zur Mobilität und die bestmögliche Auslastung der vorhandenen Fahrzeuge durch Car-Sharing und der Straßen- sowie Parkflächen könnte zur Verringerung des Platzproblems in den Städten führen und die Stadtplanung der Zukunft maßgeblich beeinflussen. Die Flächen die für Straßen und Parkplätze benötigt werden, könnten anderweitig verwendet werden – die Flächenversiegelung verringern und zu Grünanlagen umgewidmet werden.
Damit selbstfahrende Autos auch selbst fahren können, müssen sie unheimlich viele Daten erfassen. Ein herkömmliches Auto muss zum Beispiel nicht jederzeit wissen, wo es sich befindet – allein wegen der Gefahr durch ein solches Bewegungsprofil, lohnt es sich diese Technik aus datenschutzrechtlicher Perspektive zu betrachten.
Welche Daten erfassen selbstfahrende Autos?
Da es bis heute noch keine marktreifen autonomen Fahrzeuge gibt, kann diese Frage selbstverständlich nicht abschließend beantwortet werden. Damit ein solches Auto aber überhaupt funktionieren kann, gibt es eine Reihe von Daten, die erfasst werden können. Drei Kategorien von Daten erscheinen daher plausibel:
Fahrzeugdaten: Hier handelt sich vor allem um technische Daten, wie der Batteriestand, der Zustand der Bremsen etc.
Daten, die die Außenwelt des Fahrzeugs betreffen: Damit sich ein selbstfahrendes Auto sicher durch den Straßenverkehr bewegen kann, muss es die komplette Umgebung erfassen. Also registriert der Computer eines autonomen Fahrzeugs die Straßenzüge, Fußgänger, Radfahrer, andere Autos, Häuser. Diese Erfassung erfolgt mittels verschiedener Sensoren, optisch mit Kameras, mit Lidar und Radar, Schallwellen und GPS. Dabei wird also nicht nur der Standort des Fahrzeuges dauerhaft erfasst, sondern es besteht auch die Gefahr, dass die Kennzeichen anderer Autos gespeichert werden.
Drittens muss ein solches selbstfahrendes Auto Daten über die Benutzer haben. Es ist anzunehmen, dass man ein selbstfahrendes Auto nur mit einem Benutzerkonto in Betrieb nehmen können wird. Hier werden Schnittstellen mit Kalendern, Adressbüchern oder einem Bewegungsprofil des Nutzers datenschutzrechtlich problematisch werden.
Vernetzung mit anderen Verkehrsteilnehmern
Damit das volle Potential selbstfahrender Autos ausgeschöpft werden kann und tatsächlich eine digitale Verkehrswende eines Tages Wirklichkeit werden kann, müssen sich die selbstfahrenden Autos vernetzen können. Nur so könnten beispielsweise Staus vermieden werden, weil die „Schwarmintelligenz“ der Autos den ganzen Platz des Straßennetz‘ voll ausnutzen könnten.
Deshalb kann man davon ausgehen, dass sich die selbstfahrendenden Autos mit anderen Fahrzeugen, der Verkehrsinfrastruktur und einer Cloud vernetzen werden. Außerdem liegt es nahe, dass sich das Auto mit dem Smartphone der Insassen vernetzen können wird.
Damit werden diese Autos zu Datenspionen, wie wir sie heute kaum oder nur von Wearables kennen. Ob und wie dabei die Anforderungen der Datenschutzgrundverordnung (DSGVO) eingehalten werden, wird zu einem wesentlichen Teil davon abhängen, ob die gesammelten Daten, die Personen identifizieren könnten. Schon heute existieren durch die enorme Datenmenge und fortgreifender Vernetzung kaum noch Daten ohne Personenbezug.
Welche Datenschutzprobleme werden sich durch die selbstfahrenden Autos ergeben?
Das zentrale Problem wird sich aus dem von der DSGVO geforderten Erlaubnisbestand ableiten. Damit personenbezogene Daten überhaupt verarbeitet werden dürfen, muss entweder die Einwilligung der Betroffenen, eine Vertragserfüllung oder wenigstens das Überwiegende Interesse des Verantwortlichen vorliegen.
Hieraus leitet sich das Problem ab, dass zwar die Insassen eines Fahrzeuges ihre Erlaubnis geben können, aber nicht die Personen außerhalb des selbstfahrenden Autos. Darüber hinaus könnte eine Mitfahrt nur möglich sein, wenn alle Fahrgäste der Datenschutzerklärung des Fahrzeuganbieters zustimmen. Ob damit noch eine freiwillige Zustimmung – die datenschutzrechtlich notwendig ist – noch vorliegt ist mehr als zweifelhaft.
Auch die Verarbeitung von personenbezogenen Daten aus beispielsweise Adressbüchern wird problematisch, weil zwar der Inhaber des Adressbuchs der Datenschutzerklärung zustimmen kann – nicht aber diejenigen, die in diesem Adressbuch hinterlegt sind.
Die Liste der Fragen, die autonome Fahrzeuge an den Datenschutz stellen ließe sich noch sehr lange fortführen. Von zentraler Bedeutung ist aber die Frage, wer für die personenbezogenen Daten im Sinne der DSGVO verantwortlich ist? Der Eigentümer des Fahrzeuges? Der Hersteller – oder doch der Fahrzeugführer?
Wer wird Interesse an den Daten eines selbstfahrenden Autos haben?
Es ist allgemein bekannt, wie wertvoll personenbezogene Daten sind. Und im Anhang des Autoverkehrs stehen viele finanzkräftige Branchen. Das beginnt mit der Versicherungsbranche – KFZ-Versicherungen könnten individuelle Tarife anbieten, zugeschnitten auf das Bewegungsprofil eines Kunden zum Beispiel.
Ein Unternehmen, das die Entwicklung von selbstfahrenden Autos forciert, ist Google. Hieraus ergeben sich weitere Fragen – beispielsweise ob das Angebot von Google Maps in die Autos des Unternehmens aus Mountain View integriert wird. Wie würden Suchanfragen verarbeitet werden, wie würde der Algorithmus die Ergebnisse auswählen?
Wie könnten Selbstfahrende Autos realisiert und die Daten der Kunden geschützt werden?
Idealerweise sollte bereits die Programmierung der Software von selbstfahrenden Autos nach dem Grundsatz der „Privacy by Design“ (Datenschutz durch Technologiegestaltung) erfolgen. Die datenschutzrechtlichen Interessen könnten durch sofortiges Blurring von Gesichtern, Autokennzeichen und anderer personenbezogener Daten geschützt werden.
Auch könnte eine Datenübertragung in Drittstaaten der EU verboten werden, da dies die Anforderungen an den Datenschutz multiplizieren würde.