Datenschutz in Zeiten automatisierter Mobilität

Automatisierte Mobilität ist einer der Megatrends des 21. Jahrhunderts und gilt als die Zukunftsform der Fortbewegung und des Transports. Doch eine solche Technologie setzt voraus, dass Fahrzeuge ihre Umgebung sehen, messen, verstehen und auf sie in Echtzeit reagieren können. Hierzu benötigen die künstlich-intelligenten Systeme in den Fahrzeugen vor allem eines: Daten. Und zwar von allem in ihrer direkten Umgebung. Dies bezieht auch Passanten und andere Fahrzeugführende mit ein. Eine solche kontinuierlich während jeder Fahrt anwachsende Datenmenge passt selbstverständlich nicht auf eine herkömmliche Festplatte mit Kapazitäten von einem bis mehreren Terabyte.

Ein Praxisbeispiel, welches die Dimensionen verdeutlicht, liefert der deutsche Automobilriese BMW. Das Unternehmen hatte im Rahmen von Testfahrten für autonom fahrende BMW-Modelle eine eigens hierfür gedachte Testumgebung geschaffen – den BMW-Campus. An diesem arbeiten zurzeit mehr als 1.500 Spezialisten daran, die notwendige Software-Algorithmik für die Zukunftstechnologie zu entwickeln.

Genauere Aussagen, welche Datenmengen zu erwarten sind, ergeben sich aus den von BMW für die Speicherung zur Verfügung gestellten Datenzentren. Hiervon hat der Konzern zwei Stück errichtet, welche eine Gesamtkapazität von 500 Petabyte an Speicherplatz beinhalten. Zum Verständnis: Ein Petabyte enthält die Speicherkapazität von mehr als tausend Terabyte.[1]

Dies wirft die Frage auf, inwieweit rechtliche Rahmenbedingungen des Datenschutzes hierfür angepasst und gegebenenfalls neu zu schaffen sind. Um diese Thematik zu verdeutlichen, sollte zunächst klar sein, wem die zu erhebenden Daten im „Internet of Things“ eigentlich gehören und ob ein Eigentum von Daten überhaupt existiert. Daten zählen zu den immateriellen Gütern und unterliegen als solche dem Immaterialgüterrecht. Sie entstehen nicht durch einen individuellen Schaffensakt, oder werden gezielt produziert. Auch durch das Datenbankenschutzrecht sind Daten als solche nicht geschützt, sondern nur die Investitionen in Datenbanken selbst. Nach ISO/IEC 2382-1 (1993) sind Daten „eine wieder interpretierbare Darstellung von Information in formalisierter Art, geeignet zur Kommunikation, Interpretation oder Verarbeitung.“ Das heißt, das Konzept der Daten bezeichnet Informationen im Speicher- und Transportzustand.[2] Daten beinhalten eine Vielzahl unterschiedlicher Informationen zu verschiedenen Zwecken, weshalb eine rechtliche Abgrenzung und Zuordnung der Eigentumsverhältnisse sehr komplex ausfällt.

Die durch selbstfahrende Autos gesammelten Daten lassen sich in drei Kategorien unterteilen: Zum einen sind es die Fahrzeugdaten, welche die fahrzeuginternen, technischen Daten wie den Batteriestatus oder den Zustand der Bremsen miteinbeziehen. Zur zweiten Kategorie gehören die Daten zur Außenwelt. Das Fahrzeug registriert seine gesamte Umgebung und alle übrigen Straßenverkehrsteilnehmer, Passanten, Radfahrer, Kennzeichen und Häuser. Die Erfassung verläuft durch technische Instrumente wie Kameras, Lidar zur Abstands- und Geschwindigkeitsmessung, Radar, mechanische Wegmesser (Hodometer), Drehratensensoren und dem GPS-System. Die dritte und letzte Kategorie, die personenbezogenen Daten, beziehen sich auf die Fahrzeuginsassen. Das System misst durch dauerhafte Überwachung des Fahrzeuginnenraums auch die Gestik und Mimik einer Person (ist der Fahrer müde, wirkt er alkoholisiert etc.). Die Bedienung der meisten autonom fahrenden Autos soll zudem nur über eine Anmeldung mit einem Benutzerkonto möglich sein. Hier muss die Person persönliche Daten angeben, um sich zu registrieren. Um abschätzen zu können, ob und wann die DSGVO in diesem Zusammenhang in Kraft tritt, muss deutlich werden, ob die Daten zur Identifikation einer Person ausreichen.[3] Ein zentrales Problem könnte der in der DSGVO geforderte Erlaubnisbestand erzeugen. Dieser sagt aus, dass die Einwilligung der Betroffenen, eine Vertragserfüllung, oder zumindest das überwiegende Interesse des Verantwortlichen vorliegen müssen. Dies bedeutet im Umkehrschluss, dass zwar alle Insassen des Fahrzeugs ihre Erlaubnis zur Datenverarbeitung geben können, jedoch keine externen Personen.[4]

Ein weiteres wichtiges Themenfeld ergibt sich durch die Frage, wo die Daten gespeichert werden, wie lange sie dort bleiben und welche Akteure einen Anspruch auf die Datenhoheit beziehen. Grundsätzlich werden die ermittelten Daten zum jetzigen Zeitpunkt noch auf speziellen Servern der Hersteller gelagert und nicht lokal im Auto gespeichert. Der Hintergrund ist, dass bordinterne Computer nicht die Kapazitäten bieten solche Mengen an Daten auszuwerten. Hierfür ist eine Serververbindung erforderlich. Auch wenn Automobilhersteller versprechen, diese Daten sicher auf Unternehmensservern zu bewahren, gibt es keine genauen Angaben über die Dauer der Speicherungen.[5]

Was ist nun für Hersteller autonom fahrender Autos bei der Planung zu berücksichtigen?
Es sollte bereits in der Produktion darauf Wert gelegt werden, nach den Richtlinien „Privacy by Design“ (Datenschutz durch Technikgestaltung) und „Privacy by Default“ (Datenschutzfreundliche Voreinstellungen) zu handeln. Somit könnte in einem konkreten Schritt dafür gesorgt werden, dass beispielsweise Gesichter Dritter (Passanten, andere Fahrzeugführer) durch automatisches „Blurring“ (Verschwommenheit) unkenntlich gemacht werden.[3]
Für alle Akteure (Hersteller, Kommunen, Fahrer*innen und Dritte) bleibt festzuhalten, dass die automatisierte Mobilität den Verkehr und die Infrastruktur – speziell von urbanen Gebieten – stark beeinflussen wird. Die Strecken müssen in bestimmten Bereichen, wenn nötig umgestaltet und vorbereitet werden. Hinzu kommt die hohe Anzahl an Sensorik, um zu gewährleisten, dass die Fahrzeuge mit ihrer Umgebung kommunizieren können. Hierzu sollten klare, rechtlich unter den einzelnen Hauptakteuren abgestimmte, Vorlagen erarbeitet werden, anhand derer ein automatisiertes Verkehrsgeschehen in Infrastrukturen integriert werden kann.