Moderne Autos können eine Vielzahl an Daten erfassen, darunter fallen GPS-Daten, der Kilometerstand, die Durchschnittsgeschwindigkeit, das Beschleunigungsverhalten und sogar die Zahl der Gurtstraffungen, wenn der Fahrer zum Beispiel stark bremst. Allerdings sind es nicht nur die Daten, die das Auto bei Fahrten erfasst. Vielmehr sammeln Autohändler, Autohersteller und Kfz-Werkstätten bei der Anbahnung des Kaufs, beim Kauf selbst, aber auch z. B. bei der Wartung und Reparatur eines Fahrzeugs. Je länger ein Fahrzeug in Gebrauch ist und umso moderner es ist, desto mehr Daten werden über den Halter verarbeitet, wie zum Beispiel die Adresse, Kontaktkoordinaten (Telefonnummer, E-Mail …) , GPS-Daten, Zahlungsabwicklungsdaten oder die Bonität. Haben Sie sich nicht auch schon mal gefragt, welche Daten genau verarbeitet werden und wer Zugriff auf diese Daten hat bzw. wer für den Schutz der Daten verantwortlich ist.
Datenschutz bei Autos – Technische oder personenbezogene Daten
Bevor wir mit den Verantwortlichkeiten beginnen, wollen wir gerne zunächst erläutern, warum das Datenschutzrecht auch bei technischen Daten eines Fahrzeugs greift. Sobald personenbezogene Daten erhoben, verarbeitet oder genutzt werden, sollte das Datenschutzrecht berücksichtigt werden.
Nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) handelt es sich bei personenbezogenen Daten um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Bei Daten, die über ein Fahrzeug erhoben werden, dürfte in dem meisten Fällen eine Verknüpfung zum KFZ-Kennzeichen oder zur Fahrzeugidentifikationsnummer möglich sein, wodurch sich auch der Halter eines Fahrzeugs bestimmen lässt. Mit Hilfe der „technischen“ Daten kann somit festgestellt werden, wer der Fahrer ist und wie sich dieser verhält. Auf Fragen wie, ist der Halter ein Raser, fährt er vorausschauend, tankt er eher morgens oder abends oder hält er sich schon wieder bei McDonalds auf, ließen sich mittels dieser Daten problemlos Antworten finden.
Autos als Datenkrake – Aber wer ist für die Daten verantwortlich?
Grundsätzlich sollten sowohl Hersteller als auch Händler und Werkstätte den Datenschutz nicht außer Acht lassen.
Geht es zunächst um die Daten, die das Auto erfasst, so sollte eine Unterscheidung zwischen Fahrzeugen stattfinden, die eine direkte Übermittlung an den Hersteller ermöglichen oder denen, die ausschließlich in Werkstätten ausgelesen werden können.
Schutz personenbezogener Daten durch den Hersteller
Übermittelt das Fahrzeug laufend Daten an den Hersteller, so dürfte dieser auch die Verantwortung für den Schutz der Daten tragen, wobei neben dem Schutz der Daten die Zulässigkeit der Datenerhebung, -verarbeitung und –nutzung häufig in Frage gestellt wird. Der Hintergrund ist, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten einer Rechtsgrundlage oder informierter Einwilligungen der Betroffenen bedarf.
Eine Erhebung, Verarbeitung und Nutzung personenbezogene Daten für die Erfüllung eigener Geschäftszwecke ist nach § 28 Abs. 1 Satz 1 Nr. 1 und 2 BDSG erlaubt, wenn dies für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist oder soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.
Zwar ließe sich die Erhebung einiger Daten damit begründen, dass der Betrieb des Fahrzeugs ohne diese Daten nicht möglich ist, allerdings dürfte dies nicht für eine dauerhafte Speicherung dieser Daten und die Übermittelung der Daten zur Weiterentwicklung der Fahrzeuge gelten. Auch dürfte die Tatsache, dass der Halter des Fahrzeugs – trotz Kenntnis darüber, dass Daten erhoben, verarbeitet und genutzt werden – dieses fährt, nicht als informierte Einwilligung gewertet werden, da stark zu bezweifeln ist, dass der Halter sich über das Ausmaß der Datenerhebung, -verarbeitung und –nutzung bewusst ist.
Um zumindest Transparenz zu schaffen sollten Händler somit ausführliche Produkthinweise erstellen, wobei auch Fahrzeughändler beim Verkauf über die Datenerhebung, -verarbeitung und –nutzung informieren sollten.
Des Weiteren sollten Herstellern sowie ggf. sonstige Diensteanbieter spätestens mit Wirkung der DS-GVO klar sein, dass weitere Maßnahmen zu ergreifen sind. Die DS-GVO fordert „Privacy by Design“, wodurch Hersteller aber auch Diensteanbieter darauf achten sollten, die integrierten Systeme, wie das Navigationssystem, von Haus aus datenschutzfreundlich zu gestalten. Beim Navigationssystem sollte dem Fahrer zum Beispiel das Löschen der vorherigen Routen erleichtert werden. Das Unterbinden der Datenübermittlung an den Hersteller per Knopfdruck könnte ebenfalls zu einer Verbesserung im Datenschutz führen. Welche Maßnahmen letztens umgesetzt werden, bleibt allerdings abzuwarten.
Schutz personenbezogener Daten durch KFZ-Werkstätten
Neben dem Hersteller können die Mitarbeiter in Kfz-Werkstätten ebenfalls zahlreiche Informationen über das Fahrzeug, aber auch über das Verhalten des Fahrzeughalters in Erfahrung bringen.
Zudem dürften Werkstätten neben Informationen, die sie auslesen können, zahlreiche weitere Informationen von ihren Kunden erhalten. Auch diese Daten müssen geschützt werden!
Aus diesem Grund sollte auch in Werkstätten der Datenschutz nicht zu kurz kommen. Unter anderem sollten Mitarbeiter, die in die Datenerhebung, -Verarbeitung und –Nutzung eingebunden sind, auf das Datengeheimnis verpflichtet und ausreichend geschult werden. Mit Hilfe von technischen und organisatorischen Maßnahmen, wie ausreichenden Zutritts- und Zugangskontrollen, sollten Daten zudem vor Zugriffen durch Unbefugte geschützt werden. Nicht selten ist bei Werkstattketten festzustellen, dass Räume mit Kundendaten über einige Minuten unbeaufsichtigt zugänglich sind. Nicht mehr benötigte Ordner sollten insofern frühzeitig weggeschlossen und Computer gesperrt werden, daneben sind weitere Maßnahmen regelmäßig leicht umzusetzen.
Schutz personenbezogener Daten durch KFZ-Händler
Die oben aufgeführten Maßnahmen sollten auch von KFZ-Händlern berücksichtigt werden. Wurden früher häufig noch Vertragshändler von den Herstellern bei der Einhaltung des Datenschutzrechts unterstützt, so sind diese heute in den meisten Fällen ebenfalls auf sich allein gestellt. Umso wichtiger ist es also Maßnahmen zum Schutz personenbezogener Daten zu ergreifen, da auch KFZ-Händler bei Verletzung des Datenschutzrechts mit hohen Sanktionen rechnen müssen. Zumal diese mit Blick auf die DS-GVO zukünftig noch höher ausfallen könnten.
Auch sollten KFZ-Händler berücksichtigen, dass die Einhaltung des Datenschutzrechts zu einem klaren Wettbewerbsvorteil verhelfen kann, da auch von Interessenten und Kunden ein sensibles Umgehen mit ihren Daten als positiv empfunden werden dürfte. Die Bonitätsabfrage im Verkaufsraum, die Werbeansprache ohne vorheriger Einwilligung oder die nicht-geschütze Ablage ihrer Daten dürfte den KFZ-Händler wiederrum in ein negatives Licht rücken. Nach dem Dieselskandal sollte ein Datenschutzskandal unbedingt vermieden werden.