Am 27. Januar 2017 hat das Bundeskabinett einen Gesetzesentwurf zur Anpassung des Straßenverkehrsgesetzes (StVG) beschlossen, um Regelungen für hoch- oder vollautomatisierte Fahrsysteme in KfZ zu schaffen. Zu dem Gesetzentwurf (PDF) habe ich hier einen kurzen allgemeinen Überblick gegeben.
Nachfolgend möchte ich mich etwas spezieller mit den datenschutzrechtlichen Implikationen des Vorschlags, dem neuen § 63a StVG-E, befassen. Um es vorwegzunehmen: meines Erachtens bietet der Entwurf eine datenschutzrechtliche Angriffspunkte.
Auch auf die Gefahr hin, zu pedantisch zu erscheinen, sollte man überlegen, die neue Überschrift „Abschnitt VIa Datenverarbeitung im Kraftfahrzeug“ anzupassen. Denn im nachfolgenden § 63a StVG-E geht es gerade nicht nur um Datenverarbeitungen im Kfz, sondern auch um den Umgang mit den Daten aus dem Speicher des Fahrzeugs durch Dritte.
§ 63a Datenverarbeitung bei Kraftfahrzeugen mit hoch- oder vollautomatisierter Fahrfunktion
(1) Kraftfahrzeuge mit hoch- oder vollautomatisierter Fahrfunktion gemäß § 1a zeichnen nach dem Stand der Technik entsprechend der internationalen Vorgaben jeweils auf, ob das Kraftfahrzeug durch den Fahrzeugführer oder mittels hoch- oder vollautomatisierter Fahrfunktionen gesteuert wird. Wird der Fahrzeugführer durch das hoch- oder vollautomatisierte System gemäß § 1a aufgefordert, die Fahrzeugsteuerung zu übernehmen, oder tritt eine technische Störung des hoch- oder vollautomatisierten Systems auf, findet gleichfalls eine Aufzeichnung nach dem Stand der Technik entsprechend den internationalen Vorgaben statt. (Hervorhebungen durch mich)
Der Gesetzgeber scheint davon auszugehen, dass das Kfz Daten aufzeichnet. Dies mag technisch zutreffend sein, wenn man davon ausgeht, dass in jedem Fahrzeug ein entsprechender Speicher eingebaut wird (werden muss). Datenschutzrechtlich würde man sich aber in jedem Fall die Frage stellen, wer konkret verpflichtet ist, die (personenbezogenen) Daten in dem Speicher aufzuzeichnen. Wer also, entsprechend der Definition in § 3 Abs. 7 BDSG die „verantwortliche Stelle“ ist. Nach § 3 Abs. 7 BDSG kann dies nur eine natürliche oder juristische Person oder Stelle sein. Das Kfz als Sache scheidet also aus. Da der Fahrzeugführer keinen Einfluss auf die Mittel der Speicherung der Daten (als die technischen Gegebenheiten) haben wird, dürfte der Schluss naheliegen, dass der Fahrzeughersteller als datenschutzrechtlich verantwortliche Stelle für die Speicherung anzusehen ist. Klar wird dies im Gesetzentwurf aber nicht. Der Fahrzeugführer hat keinen Einfluss darauf, welche Daten konkret und wie diese gespeichert werden.
(2) Die gemäß Absatz 1 aufgezeichneten Daten sind den nach Landesrecht für die Überwachung des Straßenverkehrs zuständigen Behörden auf deren Verlangen zu übermitteln. (Hervorhebungen durch mich)
In § 63a Abs. 2 S. 1 StVG-E geht es dem klaren Wortlaut nach um eine Übermittlung der Daten aus dem Speicher an Behörden. Auch hier schließt sich aber die bereits oben aufgeworfene Frage an, wer für die Übermittlung der Daten aus dem Speicher datenschutzrechtlich verantwortlich ist? Auch hier ließe sich an den Fahrzeughersteller denken. Der Fahrzeugführer selbst hat keinen Einfluss auf die Übermittlung auf dem Speicher an die Behörden.
Zudem ist zu beachten, dass von einer „Übermittlung“ ausgegangen wird. Das bedeutet, dass die datenempfangende Stelle datenschutzrechtlich ein „Dritter“ sein muss (vgl. § 3 Abs. 4 S. 3 BDSG).
Die übermittelten Daten dürfen durch diese gespeichert und genutzt werden. Der Umfang der Datenübermittlung ist auf das Maß zu beschränken, das für den Zweck der Feststellung des Absatzes 1 im Zusammenhang mit der eingeleiteten Kontrolle durch diese Behörden notwendige ist. Davon unberührt bleiben die allgemeinen Regelungen zur Verarbeitung personenbezogener Daten. (Hervorhebungen durch mich)
Nach § 63a Abs. 2 S. 2 StVG-E dürfen die aus dem Speicher übermittelten Daten durch „diese“ gespeichert und genutzt werden. Mit „diese“ kann nur aus S. 1 und die Behörde Bezug genommen sein. Es stellt sich aber die Frage, für welche Zwecke die Behörde die Daten verwenden darf? Dies wird in S. 2 nicht erläutert.
Zwar wird zumindest grob in S. 3 ein Zweck beschrieben („Zweck der Feststellung des Absatzes 1“). Jedoch bezieht sich diese Zweckbestimmung allein auf die in S. 3 angesprochene Datenübermittlung und deren Umfang. Es fehlt an einem verbindenden Element zu S. 2 und der Speicherung und Nutzung.
Nun mag man sich fragen, ob sich der Zweck der Datenverwendung denn nicht aus dem Zusammenhang ergebe. Dies kann man evtl. so sehen. Jedoch könnte diese Ungenauigkeit im Gesetz spätestes ab Mai 2018, wenn die Datenschutz-Grundverordnung anwendbar ist, dazu führen, dass die nationalen Regelungen gegen die Vorgaben von Art. 6 Abs. 2 und 3 DSGVO verstoßen. Art. 6 Abs. 3 DSGVO dürfte wohl den Maßstab für die hier in Rede stehenden gesetzlichen Erlaubnistatbestände der Datenverarbeitung durch Behörden darstellen. Nach Art. 6 Abs. 3 DSGVO wird die Rechtsgrundlage für die Verarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DSGVO), durch das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt. In dieser Rechtsgrundlage muss aber entweder der Zweck der Verarbeitung angegeben sein (der hier für die Speicherung und Nutzung fehlt) oder die Verarbeitung muss für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Man mag nun argumentieren, dass die Speicherung und Nutzung (§ 63a Abs. 2 S. 2 StVG-E) der Daten für die Erfüllung einer Aufgabe erforderlich sind, die in Ausübung öffentlicher Gewalt erfolgt. Hier kann man aber schon fragen, was konkret diese Aufgabe (mit Blick auf die Speicherung und Nutzung der Daten) ist. Wie gesagt, der „Zweck der Feststellung“ bezieht sich nur auf die Datenübermittlung. Dann ist jedoch immer noch die Vorgabe des Art. 6 Abs. 2 DSGVO zu beachten, nach dem national spezifischere Bestimmungen zur Anpassung der Anwendung u.a. von Art. 6 Abs. 1 lit. e) DSGVO eingeführt werden dürfen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung gewährleisten. Zu den Grundsätzen „Treu und Glauben“ und „Rechtmäßigkeit“ zählt auch die Transparenz der Datenverarbeitung gegenüber betroffenen Personen. Diese müssen wissen, für welche Zwecke Daten verarbeitet werden (vgl. auch ErwG 39 DSGVO). Ob diese Anforderungen hier erfüllt sind, darüber mag man diskutieren.
Begründung zum Gesetzentwurf, S. 22:
Absatz 2 des § 63a StVG (neu) regelt die Übermittlung und Verarbeitung der aufgezeichneten Daten für Kontrollen. Daneben bleibt das Zugangsregime nach anderen Vorschriften, wie zum Beispiel der Strafprozeßordnung (StPO) unberührt. Die Verpflichtung zur Übermittlung der Daten trifft den Datenverantwortlichen. (Hervorhebungen durch mich)
Hieraus könnte man zwar die Zwecke der Verarbeitung durch Behörden ableiten. Jedoch muss kritisch angemerkt werden, dass die Zwecke nicht im Gesetz selbst erwähnt sind.
Völlig unklar ist, wen der Gesetzgeber mit dem „Datenverantwortlichen“ meint. Dieser soll zur Übermittlung verpflichtet sein. Handelt es sich hierbei um die „verantwortliche Stelle“ des BDSG? Ist der Datenverantwortliche also z. B. der Fahrzeughersteller? Leider bleiben diese Fragen unbeantwortet.
(3) Dritten sind die gemäß Absatz 1 gespeicherten Daten zu übermitteln, wenn sie glaubhaft machen, dass
1. die Daten zur Geltendmachung, Befriedigung oder Abwehr von Rechtsansprüchen im Zusammenhang mit einem in § 7 Absatz 1 geregelten Ereignis erforderlich sind und
2. das entsprechende Kraftfahrzeug mit automatisierter Fahrfunktion an diesem Ereignis beteiligt war. Absatz 2 Satz 2 findet entsprechend Anwendung. (Hervorhebungen durch mich)
Nach § 63a Abs. 3 S. 1 StVG-E sollen die Daten auch noch an andere „Dritte“ übermittelt werden. Auch die in Abs. 2 referenzierten Behörden sind Dritte (siehe oben). Es stellt sich dann aber die Frage, welcher qualitative Unterschied zwischen den Dritten in Abs. 2 und Abs. 3 besteht. Oder ob ein solcher überhaupt existiert? Gilt Abs. 3 also evtl. auch für Behörden?
Dies mag man mit dem Argument ablehnen, dass doch klar sei, dass es hier in Abs. 3 um den am Unfall Beteiligten gehe. So klar ist dies meines Erachtens jedoch nicht. Denn aus dem Wortlaut ergibt sich nicht, dass der Dritte selbst einen Anspruch geltend machen muss. Die Daten müssen allgemein einfach zur Geltendmachung erforderlich sein, jedoch nicht notwendigerweise durch den die Daten empfangenden Dritten.
Begründung zum Gesetzentwurf, S. 22:
Absatz 3 gibt Beteiligten an einem Unfall (Dritte), in dem potenziell Fahrzeuge mit automatisierten Systemen verwickelt sind, die Möglichkeit, die aufgezeichneten Daten zu erhalten. (Hervorhebungen durch mich)
Mit dieser Begründung wird klarer, dass es sich bei dem Dritten um am Unfall Beteiligte handelt. Wie gesagt, lässt sich dies dem Wortlaut des Gesetzes aber nicht entnehmen.
Auch in Abs. 3 stellt sich erneut die Frage, wer denn datenschutzrechtlich für die Übermittlung verantwortlich ist? Die Gesetzesbegründung (siehe oben) bezieht sich nur auf Abs. 2.
Nach § 63a Abs. 3 S. 2 StVG-E soll „Absatz 2 Satz 2“ entsprechend Anwendung finden. Dort heißt es: „Die übermittelten Daten dürfen durch diese gespeichert und genutzt werden“. Auch hier fehlt also erneut eine Zweckbestimmung für die Speicherung und Nutzung der Daten bei den Dritten. Die Vorschrift endet schlicht mit der Anordnung der Übermittlung.
Zuletzt: dass es sich bei den Informationen in dem internen Speicher im Kfz um personenbezogene Daten handelt, dürfte wohl kaum bestreitbar sein. Hierfür sprechen auch mehrere Hinweise im Gesetzentwurf selbst, wenn etwa von dem eindeutigen „Identifikationsdatum des Speichermediums (Speicher-ID)“ gesprochen wird, das beim Kraftfahrt-Bundesamt ergänzt werden muss. Die Zulassungsbehörden müssen etwa auch zusätzlich das eindeutige Identifikationsdatum des Speichermediums (Speicher-ID) erfassen (S. 15).
Hallo Herr Dr. Piltz,
ich schätze Ihre rechtliche Einschätzung zu Datenschutzthemen sehr. Sie sind gut ausgearbeitet und fachlich mit guten Argumenten untermauert.
Leider musste ich feststellen, dass Sie in ihre Gesetzesanalyse zur Neuregelung des StVG einen wesentlichen Punkt nicht beachtet haben. Die Datenschutzaufsichtsbehören haben zusammen mit dem VDA in 2016 beschlossen, dass im Fahrzeug eine Datenerhebung mit dem Auslesen der Daten aus dem Fahrzeug beginnt. Das wäre beim offline Fahrzeug das auslesen über die OBD2 Schnittstelle und beim online Fahrzeug zum Zeitpunkt der Datenübertragung über die Luftschnittstelle an die Backends der Hersteller. Daraus ergeben sich ebenfalls auch die verantwortliche Stellen, jeweils beim offline Auslesen die Polizei, Werkstatt oder der Sachverständige, beim online Auslesen der Hersteller.
Ebenfalls wurde im oben genannten Papier festgestellt, dass es sich sofern die Daten mit der FIN ausgelesen werden immer um personenbezogene Daten handelt.
Bitte berücksichtigen Sie das obengenannte Papier in ihrer Analyse um die richtigen Fragen zu stellen.
Vielen Dank und beste Grüße!
Justus
Hallo Justus, vielen Dank für Ihren Kommentar und Ihre netten Worte. Sehr gerne gehe ich auf Ihren Kommentar ein. Zunächst: die gemeinsame Erklärung des VDA und der Datenschutzbehörden ist mir bekannt. Hierzu wird man, gerade mit Blick auf die Praxis, feststellen müssen, dass es sich dabei „nur“ um eine Erklärung handelt. Bindend sind die Inhalte der Erklärung nicht. Am Ende kommt es meiner Erfahrung nach auf die Vorgaben des Gesetzes an. Gerade in diesem Bereich, in dem wir über mögliche Bußgeldtatbestände sprechen. Würde man davon ausgehen, dass eine datenschutzrechtlich relevante Erhebung erst mit dem Auslesen beginnt, würde man gleichzeitig von einem datenschutzrechtlich nicht regulierten Bereich, der Speicherung der Daten im Fahrzeug, ausgehen. Das wäre mE mit dem geltenden Datenschutzrecht nicht machbar. Hierfür wäre dann niemand verantwortlich? Obwohl zuvor der Speicher eine eindeutige ID erhält und diese etwa vom Kraftfahrt-Bundesamt festgehalten wird; zusammen mit weiteren Daten. Selbst der Gesetzgeber scheint in der Begründung nicht davon auszugehen, wenn er den „Datenverantwortlichen“ (welche Stelle dies auch sein mag) anspricht. Um noch einmal
Evtl. kommen wir bei dieser Thematik inhaltlich nicht zusammen. Das ist aber denke ich nicht schlimm und für das Datenschutzrecht ja schon fast normal. Beste Grüße.