Vernetzte Autos – Teil 4 des Gastbeitrages von Hans-Christian Schellhase

Foto: Odile Hain

Willkommen im Jahr 2016 und willkommen zu einer weiteren Folge des Gastbeitrages von Hans-Christian Schellhase:

Im heutigen vierten Teil unserer Serie zu „vernetzten Autos“ werden wir uns damit beschäftigen, inwieweit Daten im Zusammenhang mit Connected Cars erhoben, verarbeitet und genutzt werden dürfen. Wir werden uns heute also mit den sog. Erlaubnistatbeständen und den Problemen rund um die Einwilligung in die Verarbeitung personenbezogener Daten beschäftigen.

Erlaubnis und Einwilligung

Da es sich bei den Fahrzeugdaten um personenbezogene Daten im Sinne von § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) handelt, dürfen diese nach § 4 Abs. 1 BDSG nur erhoben, verarbeitet und genutzt werden, soweit hierfür eine gesetzliche Erlaubnis oder Anordnung besteht oder der Betroffene eingewilligt hat.

Erlaubnistatbestände

Spezielle Erlaubnistatbestände für die Erhebung und Verarbeitung von Daten rund um das vernetzte Auto existieren im BDSG nicht. Eine Legitimation für die bereits in den vorangegangenen Beiträgen zum Thema umrissenen Datenvorgänge kann sich daher nur aus den allgemeinen Erlaubnistatbeständen ergeben. Hier kommen vor allem § 28 Abs. 1 Satz 1 Nr. 1 und Nr. 2 BDSG in Betracht.

Danach ist die Erhebung und Verarbeitung von Daten als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, wenn es entweder

– für die Begründung, Durchführung oder Erfüllung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen (Nr. 1)
– oder zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Nutzung oder Verarbeitung besteht (Nr. 2).

Bei vielen Anwendungen rund um das vernetzte Auto fehlt es bereits an dem für beide Erlaubnistatbestände erforderlichen Tatbestandsmerkmal „als Mittel zur Erfüllung eigener Geschäftszwecke“. Als Mittel zur Erfüllung eigener Geschäftszwecke dient eine Datenverwendung, wenn sie lediglich akzessorischen Charakter hat und nicht selbst den Kern des geschäftlichen Interesses darstellt.

Damit scheiden von vornherein alle Anwendungen aus, bei denen die Erhebung und Verwendung der Daten selbst im Vordergrund steht. Hierzu gehören etwa die Fernüberwachung der Fahrzeugfunktionen durch den Hersteller zum Zwecke der Produktbeobachtung, aber auch Location Based Services, wie Navigationssysteme, die auch im ausgeschalteten Zustand Positionsdaten übermitteln.

Aber auch Anwendungen, die sich auf den ersten Blick über § 28 Abs. 1 Satz 1 Nr. 1 BDSG legitimieren lassen, sind nicht unproblematisch. Dies zeigt etwa ein Blick auf die Telematikversicherung.

Sofern eine wirksame vertragliche Regelung vorliegt, scheinen hier die Erhebung und Verarbeitung der erforderlichen Daten grundsätzlich gedeckt. Voraussetzung für § 28 Abs. 1 Satz 1 Nr. 1 BDSG ist jedoch, dass im Zweifel ein Nachweis möglich ist, wonach eine entsprechende Datenverarbeitung zur Wahrung berechtigter Interessen des jeweiligen Anbieters von „Smart Services“ erforderlich ist. Je deutlicher ein Anbieter also sein Angebot in Bezug auf Leistungen ausweitet, zu deren Erbringung die Verarbeitung personenbezogener Daten aus dem Fahrzeug erforderlich ist, und diese Leistungen auch im Vertrag bzw. in Merkblättern hinreichend konkret beschreibt, desto mehr an Verarbeitung ist durch § 28 Abs. 1 Satz 1 Nr. 1 BDSG gedeckt. Dies gilt aber nur, wenn Versicherungsnehmer und Fahrer personenidentisch sind.

Die Grenze der Erforderlichkeit wird aber dann überschritten, wenn mithilfe der übermittelten Daten die Erstellung von Bewegungsprofilen ermöglicht wird.

Totalüberwachung unzulässig

Eine detaillierte Überwachung jeder einzelnen Fahrt ist demnach unzulässig, kann allerdings dadurch vermieden werden, dass die personenbezogenen Daten pseudonymisiert und von einem beauftragten Unternehmen ausgewertet werden, so dass sie der Versicherungsgeber ausschließlich in Gestalt der ermittelten Score-Werte erfährt. Solange die Versicherung kein Profil des bzw. der Fahrer, sondern nur einen Score-Wert sowie ggf. Informationen über Sonderereignisse erhält, kann ein fahrverhaltensbezogener Telematiktarif unter Berücksichtigung von § 28b BDSG (Scoring) rechtskonform ausgestaltet werden.

Ist der Fahrer nicht der Versicherungsnehmer, entfaltet § 28 Abs. 1 Satz 1 Nr. 1 BDSG jedoch keine Legitimationswirkung. Der Betroffene ist in diesem Fall nicht Vertragspartei, es fehlt an dem erforderlichen rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Verhältnis. Unter bestimmten Voraussetzungen können zwar auch Daten Dritter vom Erlaubnistatbestand gedeckt sein, das rechtsgeschäftliche Schuldverhältnis müsste dies aber zwingend erfordern. Bei der Telematikversicherung ist dies jedoch nicht der Fall, das Versicherungsverhältnis erfordert keine Weitergabe der Daten Dritter. Im Gegenteil, es kann problemlos durchgeführt werden, wenn ausschließlich der Versicherungsnehmer das Fahrzeug führt.

Die Vertragsparteien können auch nicht die Einbeziehung Außenstehender vereinbaren. Dies wäre ein unzulässiger Vertrag zu Lasten Dritter.

Ein solches Ergebnis kann auch nicht über eine weite Auslegung des Erlaubnistatbestands erreicht werden. Dies ist mit Sinn und Zweck der gesetzlichen Regelung absolut unvereinbar. Andernfalls könnte der Versicherungsnehmer den Fahrer überwachen und von diesem Bewegungs- und Fahrprofile erstellen.

Da es in der Praxis eher die Regel als die Ausnahme ist, dass Fahrzeuge von verschiedenen Personen gefahren werden, vermittelt der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 1 BDSG im Ergebnis auch in diesen auf den ersten Blick unproblematischen Fällen keine ausreichende Rechtssicherheit.

In Konstellationen mit mehreren Betroffenen, scheidet in der Regel auch eine Rechtfertigung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG aus. Es fehlt insoweit am Tatbestandsmerkmal, dass „kein Grund zur Annahme bestehen darf, dass mit Weitergabe gegen schutzwürdige Interessen des Betroffenen verstoßen wird“.

Das schutzwürdige Interesse kann gerade dann erheblich sein, wenn Daten erhoben werden, die deutliche Schlüsse auf das Fahrverhalten zulassen bzw. dieses Fahrverhalten unmittelbar protokollieren. Je mehr die Daten auf eine individuelle Verhaltensweise des jeweiligen Fahrers schließen lassen, die der Betroffene Dritten nur zurückhaltend mitteilen würde, desto größer ist die Gefahr, dass die Datenverarbeitung wegen entgegenstehender schutzwürdiger Interessen des Betroffenen nicht zulässig ist.

Wenn dem Betroffenen selbst keine konkreten und spürbaren Vorteile aus dem Datenumgang entstehen, kann nicht unterstellt werden, dass er kein schutzwürdiges Interesse am selbstbestimmten Umgang mit seinen Daten hat.

Es bleibt nur die Einwilligung

Das schutzwürdige Interesse fehlt auch nicht deshalb, weil an manchen Diensten, etwa Staumeldungen, möglicherweise ein gesamtgesellschaftliches Interesse besteht. Da es sich bei dem Recht auf informationelle Selbstbestimmung um eine individuelle Grundrechtsposition handelt, kann hierin nur auf Grund einer hinreichend konkreten und verfassungskonformen Grundlage eingegriffen werden. Fehlt es daran, verbleibt einzig der Weg einer wirksamen Einwilligung nach § 4 Abs. 1 BDSG.

Eine solche kommt auch im Falle eines autonom fahrenden Fahrzeuges in Betracht. Denn datenschutzrechtlich wird man über § 28 Abs. 1 S. 1 Nr. 1 BDSG mangels Erforderlichkeit eine Datenerhebung und Speicherung aus autonom fahrenden Fahrzeugen ebenso wenig rechtfertigen können, wie über § 28 Abs. 1 S. 1 Nr. 2 BDSG. Schließlich würde dies zu einem völligen Entzug der Handlungsfreiheit des Betroffenen führen.

eCall

Hinsichtlich des Notrufsystems „eCall“ ist ein Umgang mit den übermittelten Daten im Rahmen des sog. Basissystems nach § 28 Abs. 1 S. 1 Nr. 2 BDSG legitimiert. Bei Aktivierung des Systems werden nach dem sog. Mindestdatenschutz nur die zur Notfallrettung erforderlichen Daten übermittelt, die von der Notrufstelle ausschließlich für die Dauer der Rettungsmaßnahmen gespeichert und genutzt werden dürfen. Diese Legitimation besteht auch über das Nicht-Abschalten-Können der Notruffunktion hinaus fort, dürfte doch die Verkürzung der Reaktionszeit der Notrufdienste, die Senkung von Todesfällen und Verhinderung von Folgeunfällen im eigenen Interesse des Halters bzw. Fahrers liegen. Zugleich ist der Schutzzweck des eCall nicht auf den Fahrer allein beschränkt, sondern erstreckt sich auch auf seine Mitfahrer sowie auf die übrigen Verkehrsteilnehmer. Probleme mit dem Datenschutz können sich allerdings mit Blick auf die zusätzlichen Dienste ergeben, die auf dem Basisnotrufsystem aufsetzen. Diese sind datenschutzrechtlich jeweils nur über eine Einwilligung gemäß § 4 Abs. 1 BDSG legitimiert.

Einwilligung überhaupt möglich?

Für die Zulässigkeit der Datenverarbeitung ist somit in vielen Fällen auf die Einwilligung abzustellen. In der Praxis ist beim vernetzten Auto eine wirksame Einwilligung jedoch kaum möglich. Dies gilt bereits mit Blick auf den Kreis der Betroffenen.
Die Einwilligung ist höchstpersönlicher Natur. Sie rechtfertigt einen Grundrechtseingriff und kann daher nur durch den Grundrechtsinhaber selbst erklärt werden. Die Abgabe durch einen Bevollmächtigten scheidet somit aus. Wenn das Fahrzeug somit von mehreren Personen geführt wird oder sich neben dem Fahrer weitere Personen im Fahrzeug befinden, müsste im Grunde jede dieser Personen einwilligen. Die Einwilligung entfaltet damit etwa bei der Telematikversicherung nur im Verhältnis zwischen Versicherungsnehmer und Versicherungsgeber Wirkung. Gleiches gilt für alle anderen Anwendungen, bei denen das Auto von wechselnden Personen gesteuert wird bzw. mehrere Personen im Auto sitzen.
Auch die gesetzlichen Formanforderungen sind in der Praxis kaum zu erfüllen. So bedarf die Einwilligung nach § 4a BDSG grundsätzlich der Schriftform. Da dies für jede Datenverwendung gilt, lässt sich diese Anforderung schon wegen des weiten Kreises potenziell Betroffener kaum realisieren. Auch die die Schriftform ersetzende qualifizierte elektronische Signatur scheidet vor diesem Hintergrund aus.

Freiwilligkeit fraglich …

In vielen Fällen dürfte zudem die geforderte Freiwilligkeit der Einwilligung fraglich sein.
Das ist dann der Fall, wenn bestimmte Dienstleistungen oder Produkte für die Betroffenen, die derartige Datenverarbeitungen ablehnen, nicht mehr zur Verfügung stehen oder wenn die Nutzung eines Diensts an die Zustimmung zur weiteren Datenanalyse geknüpft wird, wie dies bei Anwendungen von US-Anbietern oftmals der Fall ist.

… und die informierte Einwilligung

Problematisch ist das Instrument der Einwilligung schließlich unter dem Gesichtspunkt der „informierten Einwilligung”. Der Betroffene muss hier wissen, worin er einwilligt, um die Tragweite seiner Entscheidung abzusehen. Dies setzt voraus, dass er ausreichende Informationen darüber hat, welche Daten Gegenstand der Einwilligung sind, wie diese verwendet werden und durch wen die Verwendung erfolgt. Das ist im Kontext des vernetzten Fahrens praktisch nicht mehr möglich. Bei hoher Komplexität der Datenverarbeitungsvorgänge, wie sie für moderne Technikentwicklungen typisch sind, ist der Einwilligende kaum in der Lage, die Konsequenzen seiner Entscheidung abschätzen zu können. Auch unter diesem Gesichtspunkt sind in der Praxis viele Einwilligungserklärungen angreifbar.

Ausblick auf Teil 5 – Beschäftigtendatenschutz

Weitere datenschutzrechtliche Probleme können sich ergeben, wenn es sich beim jeweiligen Fahrzeug um einen Dienstwagen handelt, der dem Arbeitgeber gehört, aber vom Arbeitnehmer genutzt wird. Welche rechtlichen Gesichtspunkte hier zu beachten sind, lesen Sie im fünften und letzten Teil unserer Serie.