26. Februar 2013
Big Brother
Smart Mobility

Big Brother on the road – wenn Dich Dein Auto überwacht

John M. Broder wollte eigentlich nur seinen Job machen. Der Journalist der New York Times unterzog das Flaggschiff-Modell des Elektroautobauers Tesla und einige neue Ladestationen an der US-Ostküste einem Praxistest. Das veröffentlichte Ergebnis seines Tests sparte nicht mit kritischen Anmerkungen. Hersteller Tesla konterte – nicht etwa mit Allgemeinplätzen, sondern mit der Veröffentlichung detaillierter Daten der journalistischen Testfahrt. Ob Broder oder Tesla in der Sache recht haben, scheint derzeit offen. Fest steht aber bereits jetzt: Der Tesla-Fall dokumentiert anschaulich das technische Potential der Datenerhebung im (oder besser durch das) Auto – und wirft auch diesseits des Atlantiks nicht unerhebliche datenschutzrechtliche Fragen auf.

Bereits vor zwei Jahren sprach sich der Bundesbeauftragte für den Datenschutz „Für Elektromobilität, aber gegen gläserne Autofahrer″ aus. Anlass war die Veröffentlichung des zweiten Berichtes der Nationalen Plattform Elektromobilität, der lediglich an einer eher versteckten Stelle im Anhang auf datenschutzrechtliche Selbstverständlichkeiten hinwies („Angesichts der potenziell steigenden Datenmengen ist eine zügige Regelung des gesetzlichen Rahmens (z.B. im Rahmen der anstehenden Regelungen zu Schutzprofilen) dringend geboten. Sämtliche Betreibermodelle sollten auf den Grundsätzen des Datenschutzes beruhen und vor allem den Aspekt der Datensparsamkeit berücksichtigen.″).

Der gläserne Autofahrer – Schreckgespenst oder Realität?

Dass der Warnruf des Bundesdatenschützers kein bloßer Alarmismus war, wird durch den Tesla-Fall belegt. Denn der führende Hersteller von Elektroautos griff als Reaktion auf die nach seiner Auffassung unfaire Berichterstattung der NYT tief ins eigene Datenarchiv: Die Graphiken im Unternehmensblog geben für die gesamte Testfahrt Aufschluss über die Geschwindigkeit, den Ladezustand der Batterie und sogar die Temperatur im Fahrzeug-Innenraum. Die Daten lassen sich offensichtlich auch auf einzelne Teilfahrstrecken herunterbrechen.

Das Wirtschaftsmagazin Forbes hält – nicht ganz zu Unrecht – die Datenerhebung durch Tesla für die eigentliche Story hinter der Broder’schen Testfahrt und stellt die grundlegende Frage, ob Unternehmen die Nutzung ihrer Produkte überhaupt, jedenfalls aber derart intensiv überwachen dürfen. Immerhin: Tesla selbst beruft sich darauf, dass Käufer ihrer Autos auf die Möglichkeit der Datenübermittlung an den Tesla-Service hingewiesen werden, diese Funktionalität im Auto selbst deaktivieren können und auf erhobene Daten nur zugegriffen wird, wenn der Käufer eingewilligt hat. Anders halte man dies bei Journalisten, die man aufgrund generellen Misstrauens heimlich überwache. Letzteres ist starker Tobak - ersteres ist aber auch nach hiesigen datenschutzrechtlichen Maßstäben öfter zulässig als es zunächst scheinen mag.

Die heimliche Überwachung ist jedenfalls für nicht-öffentliche Stellen datenschutzrechtlich allenfalls als ultima ratio zulässig. Dies gilt z.B. für die Erhebung von Beschäftigtendaten durch Arbeitgeber (wie wir zuletzt hier im Zusammenhang mit der aufgeregten Diskussion über das Beschäftigtendatenschutzgesetz anmerkten). Auch zum Schutz hochwertiger Mietwagen vor „verlustträchtigen″ Auslandsfahrten ist die Ortung per GPS nicht per se erlaubt, wie einer der großen Autovermieter unlängst durch Verhängung eines mittleren fünfstelligen Bußgeldes erfuhr.

Frei bewegliche Autos – frei bewegliche Daten

In anderen Fällen kann die Überwachung eines Autos aber bereits ohne Einwilligung des Betroffenen zulässig sein. Ein Beispiel sind die neueren Angebote des „free floating car sharing″, bei dem ein Mietwagen an beliebiger Stelle innerhalb eines Stadtgebiets übernommen und abgestellt werden kann; abgerechnet wird nach Nutzungsdauer in Minuten. Die Erhebung von Lokalisierungsdaten ist in diesen Fällen erforderlich, um den Nutzern des Angebots über Website oder App mitteilen zu können, wo sich der nächstgelegene Wagen befindet. Zum einzelnen Mietvorgang müssen Start- und Zielzeitpunkt und die Dauer der Nutzung zu Abrechnungszwecken erfasst werden. Das ist nach § 28 Abs. 1 Nr. 1 BDSG zulässig; in den AGB der Anbieter wird auf die Datenerhebung hingewiesen.

Weitergehende Datenerhebungen sehen aber auch die Carsharing-Anbieter vor: DriveNow setzt ihre Mietwagen als „mobile Verkehrsmelder″ ein, die Positions- und Sensordaten übermitteln; die Daten sind anonymisiert und die Funktionalität kann deaktiviert werden. Auf dünneres Eis begibt sich der Konkurrenzanbieter Car2Go: Dort werden Daten erhoben, um u.a. „mittels Auswertung des Nutzungsverhaltens auf eine sichere und kraftstoffsparende Fahrweise hinzuwirken″. Das steht zwar in den AGB, bedarf aber - da für den Mietvertrag nicht erforderlich – einer Einwilligung (die nach § 4a Abs. 1 Satz 4 BDSG allerdings gerade nicht in AGB versteckt werden darf).

Kontrovers diskutiert werden datensammelnde Anwendungen, die nicht auf E- oder Carsharing-Fahrzeuge beschränkt sind, sondern als Beitrag zur Verkehrssicherheit für jedes, auch privat genutzte Fahrzeuge zur Pflicht werden könnten. Hierzu zählen namentlich das Notrufsystem eCall, das angeblich ab 2015 verbindlich werden soll, um bei schweren Unfällen auch ohne Zutun eines Autofahrers einen Notruf abzusetzen. Die datenschutzrechtliche Kritik entzündete sich an kolportieren Begehrlichkeiten der Versicherungswirtschaft, die in den erfassten Daten angeblich eine Grundlage für individuelle Versicherungstarife sieht. In eine ähnliche Richtung zielen Pläne, Autos ähnlich wie Flugzeuge standardmäßig mit einer Black Box auszustatten, deren Daten bei Unfällen als Beweisquelle dienen können – datenschutzrechtliche Bedenken gibt auch hier.

Vielleicht hilft ein PIA

Die Rechtsfragen rund um datensammelnde Produkte sind indes nicht einfach zu beurteilen – das wurde zuletzt am Beispiel von RFID deutlich. Nicht jeder Einsatz dieser z.B. in Kleidungsetiketten, Ausweisen und Autoschlüsseln verwendeten unsichtbaren Technologie führt zur Erhebung personenbezogener Daten – der rechtskonforme RFID-Einsatz bleibt deshalb kein einfaches Geschäft: Satte 280 Seiten umfassen etwa die vom Bundesamt für Sicherheit in der Informationstechnologe (BSI) herausgegebenen „Privacy Impact Assessment (PIA) Guidelines for RFID Applications″.

Möglicherweise hätte ein solcher Leitfaden zur Vorab-Evaluierung der datenschutzrechtlichen Aspekte auch dem Autohersteller Tesla geholfen. Dessen E-Mobile gelten zwar per se nicht als Sprit-, jetzt aber wohl als „Datenfresser″.

Tags: Black Box Blackbox Carsharing Einwilligung Elektromobilität heimliche Datenerhebung New York Times Privacy Impact Assessment Tesla Tracking