So wird der Datenschutz zum Beifahrer
Fahrzeuge mit Bordcomputer und Internetzugang sind keine Seltenheit mehr. Datenschützer warnen vor möglichen Bewegungsprofilen per Ortung und bezeichnen vernetzte Autos schon als „rollende Smartphones“. Datenschutzbeauftragte müssen sich auf neue Datenrisiken im betrieblichen Fuhrpark einstellen.
Die Ortung von Fahrzeugen und indirekt von Beschäftigten in den Fahrzeugen wird bereits seit längerer Zeit im Datenschutz diskutiert:
- Um Lieferfahrzeuge oder auch Servicemitarbeiter disponieren zu können, braucht der Arbeitgeber aktuelle Standortdaten, er hat ein berechtigtes Interesse daran.
- Die Ortung von Beschäftigten erfordert in der Regel keine Einwilligung, aber eine Information der Mitarbeiter.
- Eine heimliche Ortung von Beschäftigten ist ebenso verboten wie die Ermittlung der Standortdaten außerhalb der Arbeitszeit.
Fahrzeugortung durch Disposition ist nicht alles
Berücksichtigen Sie dabei, dass die Ortung von Beschäftigten nicht nur über Fahrzeugortung und Dispositionssystem möglich ist. Die meisten Smartphones verfügen über eine Ortungsfunktion mittels GPS-Sensor; die Zahl der mobilen Endgeräte, die sich durch die Nutzung von WLAN orten lassen, ist noch höher. Die sogenannte Funkzellenortung ist sogar bei jedem Endgerät möglich, das mobile Telekommunikationsnetze nutzt.
Diese Möglichkeiten zur Ortung werden leider auch missbraucht: Regelmäßig werden mobile Anwendungen (Apps) entdeckt, die heimlich Standortdaten sammeln und Dritten zur Verfügung stellen. Meist steckt ungewollte standortbezogene Werbung dahinter, manchmal auch Schlimmeres.
Fahrzeuge und Smartphones verschmelzen zunehmend
Waren früher die Bereiche Fahrzeugortung und Ortung mobiler Endgeräte getrennte Bereiche, um die sich der Datenschutz kümmern musste, findet aktuell eine Entwicklung statt, durch die das Auto selbst zum mobilen Endgerät im wahrsten Sinne des Wortes wird: Der Internetanschluss im Fahrzeug wird mehr und mehr zur Selbstverständlichkeit. Die Bordcomputer der Fahrzeuge laufen immer häufiger unter den mobilen Betriebssystemen, die auch auf Smartphones und Tablets zu finden sind – Android OS, Apple iOS oder Windows.
Laut dem Marktforschungsinstitut Gartner werden bis 2020 weltweit 250 Millionen vernetzte Fahrzeuge unterwegs sein. Laut der PwC-Studie „Connected Car 2014“ beläuft sich das Marktpotenzial für vernetzte Autos im Jahr 2015 auf knapp 32 Milliarden Euro und wird sich mit 115 Milliarden Euro bis 2020 fast vervierfachen.
„Rollende Smartphones“
Auf Datenschutz-Konferenzen wird bereits über Autos als „rollende Smartphones“ gesprochen. Dieses eindrückliche Bild sollte man als Datenschützer auf sich wirken lassen. Dann wird schnell klar, dass die Datenrisiken, die bei Smartphones und Tablets noch lange nicht abgewendet sind, nun auch bei Fahrzeugen aller Art und damit im betrieblichen Fuhrpark Einzug halten.
Die Konsequenzen der mobilen Datenrisiken können allerdings bei Fahrzeugen noch deutlich weiter reichen als bei Smartphones: So sind Funktionsausfälle bei einem Smartphone oder Tablet die eine Sache, bei einem rollenden Fahrzeug aber eine ganz andere, wenn man z.B. an die Bremsfunktion denkt.
Daten- und Verbraucherschützer sind alarmiert
Anlässlich des Safer Internet Day 2015 erklärte Bundesverbraucherschutzminister Heiko Maas: „Aus Autos werden rollende Computer, die untereinander und mit anderen Einrichtungen vernetzt sind und zum Teil in Echtzeit Daten übertragen. […] Es darf keinen ‚gläsernen Autofahrer‘ geben. Wir brauchen technische Neuerungen. Wir brauchen dabei aber ein Angebot mit hohen Datenschutz- und Datensicherheitsstandards.“
Wie eine BITKOM-Umfrage zum Thema „Wohin geht die Fahrt? – Datenschutz und Datensicherheit im vernetzten Auto“ zeigte, können sich 35 Prozent der Autofahrer in Deutschland grundsätzlich vorstellen, Fahrzeugdaten an Dritte zu übermitteln. Voraussetzung ist für die meisten aber, dass sie dafür einen Gegenwert erhalten, z.B. Rabatte bei ihrer Kfz-Versicherung (25 Prozent) oder nützliche Informationen wie Routenvorschläge oder Stauinfos (21 Prozent). Nur neun Prozent würden Daten ohne Gegenleistung zur Verfügung stellen.
Aus Sicht des Beschäftigtendatenschutzes ist wichtig, dass die Daten erst recht nicht ohne Wissen der betroffenen Mitarbeiter übermittelt werden, wenn sie ein vernetztes Firmenfahrzeug nutzen.
Aufsichtsbehörden haben Position bezogen
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich bereits in einer Entschließung (Datenschutz im Kraftfahrzeug – Automobilindustrie ist gefordert) mit den vernetzten Fahrzeugen befasst und klare Forderungen aufgestellt, die nicht nur die Automobilindustrie betreffen, sondern auch die Unternehmen, die einen Fuhrpark betreiben und Beschäftigten Fahrzeuge zur Nutzung übergeben:
- Datenverarbeitungsvorgängen im und um das Fahrzeug muss das Prinzip der Datenvermeidung und Datensparsamkeit zugrunde liegen.
- Die Datenverarbeitungen müssen entweder vertraglich vereinbart sein oder sich auf eine ausdrückliche Einwilligung stützen.
- Für Fahrer, Halter und Nutzer von Fahrzeugen muss vollständige Transparenz gewährleistet sein. Die Betroffenen müssen in die Lage versetzt werden, weitere Nutzer ebenfalls zu informieren.
- Auch bei einer vertraglich vereinbarten oder von einer Einwilligung getragenen Datenübermittlung an den Hersteller oder an sonstige Diensteanbieter sind Fahrer, Halter und Nutzer technisch und rechtlich in die Lage zu versetzen, Datenübermittlungen zu erkennen, zu kontrollieren und zu unterbinden. Zudem müssen Wahlfreiheit für datenschutzfreundliche Systemeinstellungen und die umfangreiche Möglichkeit zum Löschen eingeräumt werden.
- Schließlich müssen geeignete technische und organisatorische Maßnahmen Datensicherheit und Datenintegrität gewährleisten. Das gilt insbesondere für die Datenkommunikation aus Fahrzeugen heraus.
Datensicherheit im Auto erfordert weitere Anstrengungen
Die Sicherheit der Daten bei vernetzten Fahrzeugen ist konkreten Gefahren ausgesetzt. So warnt etwa der Sicherheitsanbieter Kaspersky: „Vernetzte Fahrzeuge können die Türen zu jenen Cybergefahren öffnen, die schon lange von PCs und Smartphones bekannt sind. Wird etwa einem Besitzer das Zugangspasswort zum Assistenzsystem gestohlen, kann damit der Standort des Fahrzeugs ermittelt werden, und auch die Türen lassen sich ferngesteuert öffnen.“
Werden die Straßen unsicherer?
Neben unsicheren Passwörtern für vernetzte Autos sehen Sicherheitsexperten Risiken
- bei den Apps für die Bordcomputer,
- bei fehlenden oder unsicheren Updates für die Fahrzeugsoftware und
- bei der oftmals unverschlüsselten Datenkommunikation.
Laut einer eco-Studie sind 31 Prozent der befragten IT-Experten davon überzeugt, dass das vernetzte Auto in Zukunft für weniger Sicherheit auf deutschen Straßen sorgen wird. Nur 14 Prozent gehen von einem Mehr an Sicherheit aus.
Datenschutzkontrolle auch für Firmenfahrzeuge
Für Sie als Datenschutzbeauftragten bedeutet die aufgezeigte Entwicklung, dass Sie in Zukunft auch erweiterte Datenschutzkontrollen im Fuhrpark vorsehen müssen. Die Forderungen nach
- Datensparsamkeit,
- Transparenz und Datenhoheit für die Nutzer,
- datenschutzrechtlicher Grundlage und
- Datensicherheit im vernetzten Fahrzeug
müssen ihren Niederschlag finden, wenn die Vernetzung der Fahrzeuge keine neuen Risiken, sondern vielmehr Vorteile bringen soll, wie z.B. das automatische Auto-Notrufsystem eCall, das ab 2018 in allen neuen Pkw-Modellen in der EU zur Pflicht wird (siehe dazu auch den Beitrag zu „Deutsch? Juristisch Deutsch“ auf S. 20).