Fachanwalt Alexander Duisberg: Die Datenschutzerklärung von Tesla ist nicht auf dem neuesten Stand. (Bild: Bird & Bird)
Herr Duisberg, deutsche Datenschützer haben im Herbst 2020 heftige Kritik an Autobauer Tesla geübt. In neuen Modellen sollen Kameras das Geschehen im Fahrzeuginnenraum aufzeichnen und Umgebungsbilder aus dem öffentlichen Verkehrsraum festhalten. Unter Umständen werden diese Daten in die USA übertragen. Warum ist das auch heute noch problematisch?
Dass Umgebungsdaten eines vernetzten Fahrzeugs erfasst werden, ist im Rahmen des geltenden Rechts abbildbar. Ebenso wie ihr denkbarer Transfer in die USA. Ein Fahrzeughersteller wie Tesla, der Technologien für das teilautonome Fahren entwickelt hat und natürlich zur Anwendung bringen möchte, ist schließlich auf Sensordaten angewiesen, um das Fahrzeugverhalten so zu steuern, dass im öffentlichen Straßenverkehr Kollisionen mit umgebenden Objekten jedweder Art unter allen Umständen vermieden werden. Natürlich muss man prüfen, wie die Objekterkennung im Detail erfolgt. Sind auf den Bildern zum Beispiel Fahrzeugkennzeichen oder gar Personen klar erkennbar, ist ein datenschutzrechtlicher Bezug eröffnet.
Und das bedeutet?
Die Datenschutz-Grundverordnung greift und stellt konkrete Maßgaben, wie personenbezogene Daten verarbeitet werden. Autohersteller dürfen das nicht komplett negieren, können sich aber auf ein sogenanntes berechtigtes Interesse stützen. Sie müssen nachweisen, dass einzelne Connected Services im Fahrzeug überhaupt erst dann nutzbar sind, wenn bestimmte Daten im erforderlichen Umfang erhoben werden. Das Maß der Erforderlichkeit spielt eine wichtige Rolle, ebenso der Zeitraum, in dem die Daten verarbeitet, gespeichert und wieder gelöscht werden.
Das klingt, als sei alles in bester Ordnung…
Es kommt tatsächlich darauf ein, wie der einzelne Use Case ausgestaltet ist. Daten ohne konkreten Anlass zu sammeln, weil man sie zu einem späteren Zeitpunkt eventuell nutzen kann, ist unzulässig. Zudem müssen die Vorgänge transparent gestaltet sein. Die OEMs sind verpflichtet, darüber zu informieren, welche Art von Daten sie zu welchem Zweck erheben und wie und wo ihre Verarbeitung erfolgt. Was für Supermarktregale oder Bahnsteige gilt, die mit Kameras überwacht werden, gilt im Prinzip ebenso für geparkte Tesla-Fahrzeuge, in denen der sogenannte Wächtermodus aktiviert ist: Für die Öffentlichkeit beziehungsweise umstehende Betroffene muss an sich klar ersichtlich sein, dass Aufnahmen entstehen können.
Kommt Tesla der gebotenen Informationspflicht im erforderlichen Umfang nach?
Nein, nicht vollständig, hier gibt es berechtigte Kritikpunkte. In der Datenschutzerklärung von Tesla finden sich noch immer Hinweise auf den Privacy Shield, also jenes Abkommen, das die Übermittlung personenbezogener Daten zwischen der EU und den USA bis Sommer 2020 geregelt hat, dann aber durch ein Urteil des Europäischen Gerichtshofes zu Fall gebracht wurde. Natürlich sind Datentransfers in die USA deshalb nicht illegal, man muss sich aber anderer Instrumente bedienen, beispielsweise der EU-Standardvertragsklauseln in nachgebesserter Fassung. Es liegt in der Verantwortung des Datenexporteurs zu prüfen, ob die Rechte der betroffenen Personen im Drittland – hier also in den USA – ein gleichwertiges Schutzniveau genießen wie in der EU. Ich sehe Tesla in diesen Fragen jedenfalls nach dem Text der Datenschutzerklärung nicht gut aufgestellt.
US-Unternehmen wie Google, Facebook und Amazon agieren ebenfalls in einer anderen Rechts- und Business-Kultur und stehen in Europa datenschutzrechtlich immer wieder in der Kritik. In der öffentlichen Wahrnehmung aber passiert wenig, obwohl eigentlich das Tatortprinzip greifen müsste – abgerechnet wird nach den Gesetzen, die am Ort des Handelns gelten…
Sie haben recht. Selbst wenn Unternehmen außerhalb der EU personenbezogene Daten von Bürgern erheben, die in der EU ansässig sind, unterliegen diese Vorgänge den Anforderungen der DSGVO. Deshalb unterhalten großen Cloudanbieter europäische Dependancen in Irland oder Luxemburg, um genau diesen unbequemen Compliancefragen von vornherein aus dem Weg zu gehen. Unternehmen, die ihre zentrale Datenhaltung außerhalb Europas betreiben, kämpfen tatsächlich verstärkt mit der gegenwärtigen Rechtslage. Im Vergleich zu Tesla haben deutsche Hersteller wie etwa Audi, BMW oder Mercedes-Benz mit ihren Connected Services insoweit einen Vorteil, weil sie mit ihren Backend-Operations in der EU ohnehin die strengeren europäischen Datenschutzbestimmungen erfüllen müssen.
Die öffentlichen Reaktionen fallen höchst unterschiedlich aus. Von „Die Fax- und Diesel-Deutschen greifen nach jedem Strohhalm, um gegen neue Technologien anzugehen“ bis „Eine schallende Ohrfeige für die Zulassungsbehörden“ ist alles dabei. Wie gravierend stufen Sie die Praktiken von Tesla ein?
Man muss hier genau unterscheiden zwischen dem Datenschutzrecht auf der einen und dem Fahrzeugzulassungsrecht auf der anderen Seite. Für die Typengenehmigung von Tesla-Fahrzeugen in der EU ist die niederländische Behörde RDW zuständig, weil die Europazentrale von Tesla ihren Sitz in Amsterdam hat. Das Kraftfahrtbundesamt in Deutschland als nationale Zulassungsbehörde schaut meinem Eindruck nach stark auf die Mechanik und Mechatronik, auf elektronisch gesteuerte Fahrzeugfunktionen und die funktionale Sicherheit im Ganzen. In der Welt der Daten sind die Prüfingenieure oft noch nicht angekommen. Dementsprechend groß erscheint die Latenz, die sich aktuell sowohl in den materiellen Zulassungsvoraussetzungen als auch im Bewusstsein der handelnden Personen zeigt. Soweit es sich aber um fahrzeugessenzielle Funktionen handelt, bei denen Datenverarbeitung ein ganz wesentliches Merkmal ist, also zum Beispiel autonomes Fahren, wird sich das KBA künftig dieser neuen Aufgabenstellung nicht mehr entziehen können.
Es ist bereits angeklungen: Andere Autohersteller in Deutschland und Europa sammeln ebenfalls Daten aus ihrer vernetzten Fahrzeugflotte, um neue digitale Geschäftsmodelle anbieten zu können. Sehen Sie branchenweit Handlungsbedarf?
Ich kann mir rund um das Thema Datenerhebung und -verarbeitung kein komplexeres Verbrauchsgut vorstellen als ein vernetztes Auto. Bei einem Vergleich zwischen den einzelnen Herstellern fällt auf, dass vor allem deutsche OEMs wie etwa Audi und BMW einen enorm großen Compliance-Aufwand betreiben und nach außen dokumentieren. Ihre Datenschutzhinweise sind extrem ausdifferenziert und gut beschrieben. Genau an dieser Stelle kann man den kulturellen Unterschied zu Tesla wunderbar festmachen: Der US-Hersteller formuliert seine Erklärungen eher allgemein und legt sich weniger spezifisch fest.
Sehen Sie am Ende die große digitale Verkehrswende in Gefahr, sollten viele Fahrer und Halter vernetzter Fahrzeuge ihre Ansprüche auf Auskunft, Löschung und Einschränkung der Datenverarbeitung durchsetzen?
Guter Punkt, wobei ich in der Praxis nicht wirklich von einem dramatischen Anstieg der Betroffenenanfragen seit der DSGVO gehört habe. Aber: Wir sollten darauf achten, dass wir uns am Ende nicht selbst ein Bein stellen. Mit dem vernetzten Fahren bewegen wir uns weg vom traditionellen Geschäftsmodell einer maximalen Produktindividualisierung, die die letzten Dekaden stark geprägt hat.
Digitale Dienste, teilautonomes Fahren und Shared Mobility stellen datenschutztechnisch neue Anforderungen an die Anbieter öffentlicher Mobilität, an Plattformbetreiber oder Flottenmanager. Auch diejenigen, die am eigengenutzten Fahrzeug festhalten, werden sich damit vertraut machen müssen, dass der Schutz ihrer persönlichen Daten nicht als absolutes Rechtsgut losgelöst vom übrigen Umfeld existieren kann. Er wird in jedem Fall wichtiger Bestandteil künftiger Ökosysteme sein, keine Frage. Aber es muss im funktionalen Betrieb stets eine vernünftige Abwägung stattfinden zwischen dem Geschäftsinteresse eines Serviceanbieters und dem berechtigten Datenschutzinteresse des Nutzers –einschließlich seiner Betroffenenrechte. Damit sich das Einpendeln kann, braucht es Transparenz auf der einen und Kompromissbereitschaft auf der anderen Seite.
