Datenschutz im Kraftfahrzeug

Moderne Fahrzeuge verfügen über eine Vielzahl von Assistenzfunktionen, bei denen umfassend Daten im Fahrzeug erfasst und ausgewertet werden. Daneben erhebt der Hersteller Zustandsdaten, die entweder online ohne Mitwirkung des Halters übertragen werden oder aber offline für eine spätere Auslesung durch den Hersteller über die Werkstatt vorbereitet werden. Auch die Werkstatt kann über die OBD-Schnittstelle einen Großteil der erhobenen Daten auslesen. Gesetzlich vorgegeben ist zwischenzeitlich die Übertragung eines Notrufsatzes im Rahmen der eCall-Verordnung. Letztlich bietet die Versicherungswirtschaft Telematik-Tarife an, bei dem die Zustandsdaten von Haftpflichtversicherern ausgewertet werden können.

„Eigentümer“ dieser Daten ist nach verbreiteter Auffassung der Fahrer (oder doch vielleicht der Eigentümer des Fahrzeuges?). Insbesondere die Hersteller verweisen aber darauf, dass die Erhebung von Fahrzeugdaten schon zur Qualitätskontrolle erforderlich sei und insbesondere auch die Möglichkeit beinhalten müsste, Updates und Patches aufzuspielen. Daneben besteht natürlich das erhebliche Interesse kostenpflichtige Zusatzdienste wie Pannenhilfe oder standortbezogene Werbung für Dienstleistungen anzubieten.

Da es die Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) ausreicht, wenn die Daten einen Personenbezug aufweisen, ist dies im Fahrzeug abgesehen von den reinen Betriebsdaten, angefangen von der Fahrzeugidentnummer (FIN), die eine Verknüpfung zum Eigentümer darstellt, bei allen anderen Daten der Fall, bei denen das Fahrverhalten, die Routen und die als Inanspruchnahme von Zusatzdiensten gespeichert werden.

Zulässig ist diese Verarbeitung im Rahmen einer gesetzlichen Ermächtigung für den Notruf-Service nach der eCall-Verordnung und für die reinen Betriebsdaten. Im Übrigen ist eine datenschutzrechtliche Einwilligung des Fahrers (oder doch des Eigentümers?) einzuholen. Werkstätten, Leasinggeber, Mietwagenfirmen, Versicherer bei Telematik-Tarifen und Hersteller sind im Rahmen ihrer Verantwortlichkeit verpflichtet, eine ausreichende Belehrung des Verbrauchers zu veranlassen und über technische und organisatorische Maßnahmen (TOM) sicherzustellen, dass die Verarbeitung der personenbezogenen Daten auf das Notwendigste beschränkt wird und in regelmäßigen Daten gelöscht werden. Diesen Anforderungen wird die Praxis zurzeit nicht gerecht.