Auto fährt, Kamera läuft: Wer in einem Tesla unterwegs ist, muss damit rechnen, dass personenbezogene Daten aufgezeichnet werden.
Produkte ohne digitalen Zusatznutzen lassen sich heute nur noch schwer verkaufen. Auch bei Autos setzen Verbraucher voraus, dass sie multitaskingfähig sind und mehr leisten, als ihre originäre Zweckbestimmung vorsieht. In neuen Baureihen werden innovative Produktmerkmale als gegeben vorausgesetzt, selbst wenn überwiegend mechanische Komponenten im Spiel sind: Antrieb und Fahrwerk gelten als hochgradig ausgereift, im Wettbewerb von heute können sie eine Marke nicht mehr differenzieren. Die Musik spielt bei den digitalen Ausstattungsfeatures: Konnektivität, aktuelle und präzise Umgebungsinformationen, Unterhaltung und Produktivität im Innenraum, das Abrufen von Pay-as-you-drive-Dienstleistungen ziehen die nachwachsenden Käufergenerationen X und Y in ihren Bann.
Die Kehrseite dieser Medaille: Jeder Autohersteller ist gezwungen, über Strategien und sichere Lösungen nachzudenken, um Fahrzeug- und Umgebungsdaten verlässlich auszulesen, zusammenzuführen und nutzbar zu machen. Fehlt es an Transparenz oder tun sich an der einen oder anderen Stelle gar Security-Lecks auf, kocht die Stimmung schnell hoch. So geschehen im Herbst letzten Jahres, als deutsche Datenschützer heftige Kritik an Autobauer Tesla übten. In neuen Modellen sollen Kameras das Geschehen im Fahrzeuginnenraum aufzeichnen und Umgebungsbilder aus dem öffentlichen Verkehrsraum festhalten. Unter Umständen würden die Daten in die USA übertragen, lautete die Kritik.
Videoclips aus dem Innenraum
Der amerikanische OEM, vielen Journalisten als wenig kommunikationsfreudiges Unternehmen bekannt, reagierte auf die erhobenen Vorwürfe vergleichsweise zügig, aber ausweichend. Gegenüber dem ARD-Magazin Kontraste hieß es kurz und knapp, die Innenraumkameras seien nicht aktiv, es würden generell keine „durchgängigen Filme“ aufgenommen, sondern „bestenfalls kurze Sequenzen“. Prompt förderte ein Test von Kontraste Aufzeichnungen mit bis zu 60 Minuten Länge ans Licht, geteilt in fortlaufende Minutenclips. Auch eine Übertragung in die USA konnte nachgewiesen werden.
Die öffentlichen Reaktionen hierzulande fielen interessanterweise höchst unterschiedlich aus. Von „Die Fax- und Diesel-Deutschen greifen nach jedem Strohhalm, um gegen neue Technologien anzugehen“ bis „Eine schallende Ohrfeige für die Zulassungsbehörden“ war alles dabei. Fachanwalt Alexander Duisberg von der Münchner Kanzlei Bird & Bird stellt nüchtern fest: Dass Umgebungsdaten eines vernetzten Fahrzeugs erfasst werden, ist im Rahmen des geltenden Rechts abbildbar, ebenso ihr denkbarer Transfer in die USA. „Ein Fahrzeughersteller wie Tesla, der Technologien für das teilautonome Fahren entwickelt hat und natürlich zur Anwendung bringen möchte, ist auf Sensordaten angewiesen, um das Fahrzeugverhalten so zu steuern, dass im öffentlichen Straßenverkehr Kollisionen mit umgebenden Objekten jedweder Art unter allen Umständen vermieden werden.“ Wichtig sei allerdings, wie die Objekterkennung im Detail erfolge. „Wenn auf den Bildern zum Beispiel Fahrzeugkennzeichen oder gar Personen klar erkennbar sind, ist ein datenschutzrechtlicher Bezug eröffnet.“
Jeden Anwendungsfall separat betrachten
Konkret bedeutet das: Die Datenschutz-Grundverordnung DSGVO greift und stellt konkrete Anforderungen daran, wie personenbezogene Daten zu verarbeiten sind. Autohersteller wie Tesla dürfen das nicht komplett negieren, können sich aber auf ein sogenanntes berechtigtes Interesse stützen. Sie müssen nachweisen, dass einzelne Connected Services im Fahrzeug überhaupt erst dann nutzbar sind, wenn bestimmte Daten im erforderlichen Umfang erhoben werden. Das Maß der Erforderlichkeit spielt eine wichtige Rolle, ebenso der Zeitraum, in dem die Daten verarbeitet, gespeichert und wieder gelöscht werden. Alexander Duisberg betont, dass es darauf ankäme, wie der einzelne Use Case ausgestaltet sei. Aber: „Daten ohne konkreten Anlass zu sammeln, weil man sie zu einem späteren Zeitpunkt eventuell nutzen kann, ist unzulässig.“
Alle Hersteller vernetzter Autos müssen offen darüber informieren, welche Art von Daten sie zu welchem Zweck erheben und wie und wo ihre Verarbeitung erfolgt. Platt gesagt: Was für Supermarktregale oder Bahnsteige gilt, die mit Kameras überwacht werden, gilt im Prinzip ebenso für geparkte Tesla-Fahrzeuge, in denen der sogenannte „Wächtermodus“ aktiviert ist: Für die Öffentlichkeit oder umstehende Betroffene muss klar ersichtlich sein, dass Aufnahmen entstehen können. Speziell die Kalifornier aber kommen dieser Informationspflicht derzeit nicht vollumfänglich nach, es gibt mehrere berechtigte Kritikpunkte. Zum Beispiel finden sich in der Datenschutzerklärung von Tesla noch immer Hinweise auf den Privacy Shield, also jenes Abkommen, das die Übermittlung personenbezogener Daten zwischen der EU und den USA bis Sommer 2020 geregelt hat, dann aber durch ein Urteil des Europäischen Gerichtshofes zu Fall gebracht wurde.
Gleichwertiges Schutzniveau wie in der EU
Natürlich sind Datentransfers in die USA nicht illegal, Unternehmen aber müssen sich heute anderer Instrumente bedienen, beispielsweise der EU-Standardvertragsklauseln in nachgebesserter Fassung. „Es liegt in der Verantwortung des Datenexporteurs zu prüfen, ob die Rechte der betroffenen Personen im Drittland – hier also in den USA – ein gleichwertiges Schutzniveau genießen wie in der EU. Ich sehe Tesla in diesen Fragen jedenfalls nach dem Text der Datenschutzerklärung nicht gut aufgestellt“, urteilt Alexander Duisberg.
Bei einem Vergleich zwischen einzelnen Herstellern fällt auf, dass vor allem deutsche OEMs wie etwa Audi und BMW einen enorm großen Compliance-Aufwand betreiben und nach außen dokumentieren. Ihre Datenschutzhinweise sind extrem ausdifferenziert und gut beschrieben. In Sachen Connected Services genießen sie einen Vorteil, weil sie mit ihren Backend-Operations in der EU ohnehin die strengeren europäischen Datenschutzbestimmungen erfüllen müssen. Trotz der Vehemenz, mit der die Branche aktuell die alte Streitfrage diskutiert, wem die Daten aus einem vernetzten Fahrzeug gehören, sehen Rechtsexperten die große digitale Verkehrswende nicht in Gefahr. Dazu gibt es auch in Deutschland seit Einführung der DSGVO einfach zu wenige Betroffenenanfragen zu Auskunft, Löschung oder Einschränkung der Datenverarbeitung.
