Rechtliche Herausforderungen für die Hersteller vernetzter Fahrzeuge in Bezug auf Daten in Europa
Häufig hört man:
(i) „Daten sind das neue Öl“ – Ironischerweise generieren elektrische vernetzte Fahrzeuge („vernetzte Fahrzeuge“) eine Menge Daten – also das neue Öl!
(ii) „Ein Fahrzeug verrät viel über dessen Besitzer“ – Ironischerweise ist diese Aussage doppeldeutig! Einerseits ist sie so zu verstehen, dass man beispielsweise die gesellschaftliche Stellung einer Person aufgrund ihres Fahrzeugs erraten könnte. Andererseits könnte sie auch bedeuten, dass es möglich ist eine Menge Daten über eine Person mittels ihres Fahrzeugs zu erheben, wenn man bedenkt, dass vernetzte Fahrzeuge teilweise Computern auf Rädern[1] gleichkommen.
Somit bestehen in Europa viele rechtliche Herausforderungen für die Hersteller vernetzter Fahrzeuge in Bezug auf Daten:
[1] „Tatsächlich haben wir das Tesla Model S als hochentwickelten Computer auf Rädern konzipiert.” – Elon Musk, Los Angeles Times, 19. März 2015
Personenbezogene Daten
Personenbezogene Daten – Die Datenschutz-Grundverordnung („DSGVO“) regelt die Verarbeitung „personenbezogener Daten“, d.h. jegliche Informationen, die sich auf eine identifizierte bzw. identifizierbare Person beziehen. Es könnte sein, dass verschiedene Informationen, wie beispielsweise Fahrzeugserviceinformationen, die oberflächlich betrachtet keine personenbezogenen Daten darzustellen scheinen, einer Person zugeordnet werden können oder mit ihr verknüpft werden können, wie zum Beispiel eine FIN (eine Fahrzeugidentifikationsnummer). Das hat zur Folge, dass Hersteller vernetzter Fahrzeuge als Datenverantwortliche dazu verpflichtet sein könnten, diese Daten auf Antrag auf Auskunftserteilung hin preiszugeben, was zeitaufwändig sein kann. Dafür gibt es eine Lösung namens „Tokenisierung“, bei der Daten unwiderruflich anonymisiert werden. Der Europäische Datenschutzausschuss hat nützliche Leitlinien für die Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen veröffentlicht.
Datenschutzerklärung
Datenschutzerklärung – Die Hersteller vernetzter Fahrzeuge sollten zukünftig sicherstellen, dass die Datenschutzerkl4ärung umfassend und eindeutig genug formuliert ist, so dass die betroffene Person nachvollziehen kann, dass seine oder ihre Daten Gegenstand einer Big-Data-Analyse sein könnten.
Datenminimierung
Datenminimierung – Für die Hersteller vernetzter Fahrzeuge ist es wichtig, dieses Prinzip zu berücksichtigen, nämlich dass die Verarbeitung personenbezogener Daten auf ein Minimum beschränkt werden sollte und dass personenbezogene Daten nicht länger als nötig gespeichert werden sollten.
Datentransfer
Datentransfer – Es gibt Beschränkungen für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraums. Die Hersteller vernetzter Fahrzeuge müssen ein Compliance-Programm einrichten, das sicherstellt, dass die Übermittlung personenbezogener Daten zwischen juristischen Personen rechtmäßig ist. Es ist ebenfalls notwendig, dass strategische Entscheidungen bezüglich der Speicherung und Verarbeitung von aus Fahrzeugen erhobenen Daten getroffen werden.
Privacy-by-Design-Lösungen
Privacy-by-Design-Lösungen – Die Hersteller vernetzter Fahrzeuge können diese Lösungen, die Datenschutzanforderungen bei der Entwicklung neuer Systeme berücksichtigen, nutzen. So können sie die aus Fahrzeugen erhobenen Daten für neue Zwecke verwenden.
Polizeianfragen
Polizeianfragen – Die Polizei weiß, dass die Hersteller vernetzter Fahrzeuge eine Menge Protokolldateidaten speichern. Für die Polizei wäre die Nutzung dieser Protokolldateidaten praktisch, etwa um beweisen zu können, dass ein Fahrzeughalter zu einem bestimmten Zeitpunkt zu schnell gefahren ist. Die Hersteller vernetzter Fahrzeuge sind angehalten, einen Mechanismus einzurichten, der sicherstellt, dass solche Daten nicht an die Polizei übergeben werden, es sei denn, es gibt Gerichtsbeschlüsse oder schriftliche Anordnungen des Staatsanwalts, die dies erlauben. Ansonsten könnten der Hersteller vernetzter Fahrzeuge für die Verletzung von Datenschutzrechten der betroffenen Person verantwortlich gemacht werden.
E-Mail-Marketing
E-Mail-Marketing – Hersteller vernetzter Fahrzeuge können verstärkt auf E-Mail-Marketing setzen. Gemäß der DSGVO müssen E‑Mail‑Marketer die ausdrückliche Zustimmung ihrer Abonnenten einholen, die freiwillig, informiert und eindeutig sein muss. Da die Zustimmung ein positives Opt-in erfordert, sollten sich E‑Mail‑Marketer nicht auf bereits mit Häkchen versehene Kästchen verlassen, die eine Zustimmung suggerieren. Jede Werbemail muss die Möglichkeit zur einfachen Abmeldung beinhalten. E-Mail-Marketer sollten darauf achten, dass Zustimmungsanfragen und AGBs klar voneinander getrennt sind. Zustimmungsnachweise – also wann, von wem und wie die Zustimmung erfolgt ist – sollten aufbewahrt werden.
Datensicherheit
Datensicherheit – Im Gegensatz zu Cyberangriffen werden Verstöße gegen die Datensicherheit meist von Mitarbeitern und Auftragnehmern von Herstellern vernetzter Fahrzeuge begangen, d.h. meist sind Leute aus den eigenen Reihen dafür verantwortlich. Daher sollten Hersteller vernetzter Fahrzeuge über gute Schulungs- und Überwachungsprogramme für Mitarbeiter und Auftragnehmer verfügen. Darüber hinaus verpflichtet die europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit („NIS-Richtlinie“) die Betreiber intelligenter Verkehrssysteme (zu denen auch die Hersteller vernetzter Fahrzeuge gehören), Sicherheitsmaßnahmen zu ergreifen und Verstöße gegen die Datensicherheit der jeweiligen nationalen Regulierungsbehörde zu melden. Sie sind auch dafür verantwortlich, Software-Schwachstellen durch Software-Updates zu beheben, nachdem das Fahrzeug verkauft wurde.
Recht auf Reparatur
Recht auf Reparatur – Gemäß der EU-Verordnung für das Recht auf Reparatur müssen Hersteller vernetzter Fahrzeuge unabhängigen Marktteilnehmern uneingeschränkten und standardisierten Zugang zu Fahrzeugreparatur- und -wartungsinformationen gewähren. Diese Informationen müssen zum Beispiel Servicehandbücher, technische Handbücher und Schaltpläne enthalten. Die Hersteller können angemessene Gebühren für den Zugang zu solchen Informationen erheben, wobei der Umfang der Nutzung durch den unabhängigen Marktteilnehmer zu berücksichtigen ist. Die EU-Verordnung für das Recht auf Reparatur verlangt nicht, dass Hersteller vernetzter Fahrzeuge die Werkzeuge herstellen, die zur Durchführung einiger der Aufgaben im Zusammenhang mit den oben genannten Informationen erforderlich sind. Wenn jedoch bestimmte Werkzeuge oder eine bestimmte Software für die Reparatur eines Fahrzeugs benötigt werden und nicht über andere Quellen als den Hersteller vernetzter Fahrzeuge bezogen werden können, dann könnte dessen Verweigerung, eine Werkstatt mit diesen Werkzeugen oder dieser Software zu beliefern, unter bestimmten Umständen als Verstoß gegen das Wettbewerbsrecht angesehen werden.
Technische Zugangsbedingungen zu Fahrzeugdaten
Technische Zugangsbedingungen zu Fahrzeugdaten – Während Hersteller vernetzter Fahrzeuge beim Fahrzeugverkauf und bei Kundendienstleistungen dem Wettbewerb ausgesetzt sind, könnten sie ein Datenmonopol für Fahrzeuge ihrer Marke haben, bei denen die Daten ausschließlich auf von ihnen betriebenen Datenservern gesammelt werden (durch das „erweiterte Fahrzeugkonzept“). Unter diesen Umständen bliebe den Kundendienstanbietern nichts anderes übrig, als Daten von den Herstellern vernetzter Fahrzeuge zu kaufen und die Bedingungen für die Bereitstellung dieser Daten, einschließlich der Preisgestaltung, zu akzeptieren, um datengesteuerte Kundendienstleistungen zu erbringen. Um diese wettbewerbsrechtlichen Bedenken auszuräumen, gibt es regulatorische Diskussionen, die Hersteller zu verpflichten, solche Daten über einen gemeinsamen neutralen Server auszutauschen. In Bezug auf Fahrzeugdaten sollten sich die Hersteller vernetzter Fahrzeuge in Anbetracht des Risikos für die Sicherheit des Fahrzeugs, das von angeschlossenen Steckern ausgeht, die von Drittanbietern entwickelt wurden, in jedem Fall das Recht vorbehalten, die über die On-Board-Diagnoseschnittstelle zugänglichen Daten auf Daten zu beschränken, die für Reparatur und Wartung erforderlich sind.
Autor:
Lawrence Freeman, Senior Counsel,
Bird & Bird, Brüssel
Dr. Ximeng Wang, Legal Consultant,
China Desk, Bird & Bird, München