EDPB-Richtlinien zu vernetzten Fahrzeugen

Was bisher geschah …

Mit fortschreitender Vernetzung und Automatisierung der Mobilität und der damit einhergehenden wachsenden Komplexität der damit verbundenen Datenverarbeitungsprozesse suchen Automobilhersteller, Zulieferer und Anbieter von Services nach Hilfestellung, wie die strikten Vorgaben der EU-Datenschutzgrundverordnung und ergänzender Gesetze im Bereich vernetzter und autonomer beziehungsweise automatisierter Fahrzeuge zukünftig umgesetzt werden sollen und können.

Europäische Aufsichtsbehörden haben in der Vergangenheit nur vereinzelt Hinweise zum Umgang mit diesem komplexen Thema veröffentlicht (vergleich hierzu unter anderem die Guidelines der CNIL zum Datenschutz im Connected Vehicle aus 2018 oder die Erklärung des VDA und der deutschen Datenschutzaufsichtsbehörden aus dem Jahr 2016). Am 9. März 2021 hat das European Data Protection Board seine Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications in der (vorerst finalen) Version 2.0 nach vorangegangener Konsultation der einschlägigen Fachkreise veröffentlicht (Konsultationsfassung aus 2020 findet sich hier).

Die Guidelines richtet sich vornehmlich an Automobilhersteller und Anbieter von Diensten im Ökosystem vernetzter Fahrzeuge, also auch Zulieferer entsprechender Technologien, Anbieter entsprechender Telemediendiensten oder KfZ-Versicherer. Die Guidelines beschreiben neben Grundprinzipien der Verarbeitung von Fahrzeugdaten auch einzelne konkrete Use Cases wie die datenschutzkonforme Umsetzung der Vorgaben zum eCall oder Fragestellungen im Zusammenhang mit Pay-as-you-drive Versicherungstarifen.

Ist das Papier nun der „große Wurf“, der die Vielzahl an offenen datenschutzrechtlichen Fragestellung im Zusammenhang mit dieser komplexen Materie endlich umfassend beleuchtet und praktikable Lösungsansätze für Automobilhersteller und Serviceanbieter liefert? Aus Sicht der Industrie, die sich bereits seit langem mit entsprechenden Fragestellung befasst, dürfte die Antwort wohl eher „nein“ lauten. So findet sich in der Guideline auf den ersten Blick „wenig wirklich Neues“. Eine Auseinandersetzung mit besonders dringlichen aktuellen Fragestellungen wie dem Verhältnis datenschutzrechtlicher Vorschriften zu aktuellen Regelungen zur Bereitstellung von bestimmten Fahrassistenzsystemen ab 2022 (vergleich zur EU-Verordnung Nr. 2019/2144 hier) oder der ab Mitte 2022 bereits teilweise in der EU geltenden Cyber-Security Vorgaben für (vernetze) Fahrzeuge der UN.ECE WP.29 (vergleich zu Verordnung Nr. 155 hier) erfolgt nicht. Zudem fußt die Bewertung des EDPB weitestgehend auf den gegenwärtig noch geltenden Vorgaben der ePrivacy-RL, obwohl diese in (naher) Zukunft ggf. durch andere und in Teilen differenzierende Regelungen abgelöst werden sollen und somit eine vereinfachte Bewertung einzelnen Use Cases erlauben würden.

Ist das Papier lesenswert? Die Antwort lautet uneingeschränkt „ja“! Für Unternehmen, die sich mit der Materie bislang nur rudimentär befasst haben, bietet das Papier wertvolle Hinweise und umfassenden Erläuterung zu den Grundlagen des Datenschutzes im Umgang mit Fahrzeugdaten. Aber auch für alle anderen „Player“ dürfte das Papier ein „Must Read“ bleiben, auch wenn es auf den ersten Blick inhaltlich der aktuellen Diskussion im Fahrzeug-Datenschutz etwas hinterher zu hinken scheint.

• Erstens, legt das EDPB in der Guideline seine Sichtweise zu verschiedenen Fragestellungen mit grundsätzlicher Bedeutung auch für andere Industrien, die es heutzutage mit vernetzten Infrastrukturen zu tun haben (also fast alle), dar. Die Grundsätze lassen sich somit auf andere Fallgestaltungen im Bereich IoT übertragen und bieten insoweit wertvolle Hinweise.
• Zweitens, scheint das EDPB einzelne Kernaussagen der Entwurfsfassung aus dem letzten Jahr zum Einen deutlich zu entschärfen, was nicht zuletzt auf die breite und konstruktive Beteiligung der Industrie im Entstehungsprozess der Guideline zurückzuführen ist. In einzelnen Punkten behält das EDPB seine strikte Sichtweise dagegen bei und scheint diese zum Teil sogar auszuweiten.
• Drittens, ist die Guideline für nationale Aufsichtsbehörden in der Auslegung und Anwendung der GDPR grundsätzlich verbindlich und sollte schon aus diesem Grund Pflichtlektüre für alle Datenschutzorganisationen von Automobilherstellern, Zulieferern und Anbietern von Service sein, die sich mit den Sichtweisen EDPB vertraut machen möchten.

Nachfolgend haben wir die fünf (5) Major Take Aways der Guidelines zusammengefasst, die es sicherlich in weiterführender Lektüre des Papiers und ergänzender Quellen zu vertiefen gilt, Unternehmen aber einen ersten Überblick über die wesentlichen Aussagen des Papiers liefern.  

Fünf Major Take Aways für OEMs, Zulieferer und Service Provider im Connected Car Umfeld

1. Datenschutzrechtliche Voraussetzungen für die Verarbeitung von Fahrzeugdaten anhand der aktuellen Guideline des European Data Protection Boards (EDPB)

Aus Sicht des EDPB dürfte auch weiterhin die Einwilligung die wesentliche Rechtsgrundlage für die Verarbeitung von Fahrzeugdaten im Ökosystem von Connected Vehicles bleiben. Das EDPB folgt wie in der Entwurfsfassung der Guidelines aus dem Jahr 2020 einer weiten Interpretation des Anwendungsbereichs von Art. 5 (3) der ePrivacy-Richtlinie. Es sieht diesen in vielen Fällen der Verarbeitung von Fahrzeugdaten im Connected Car Umfeld eröffnet. Dies hat zur Folge, dass viele Verarbeitungsvorgänge grundsätzlich der Einwilligung der Betroffenen bedürfen und nur in Ausnahmefällen eine solche verzichtbar sein soll. Raum für die Verarbeitung von Fahrzeugdaten zu weiteren „legitimen Interessen“ scheint das EDPB daneben nicht oder nur eingeschränkt zu sehen und lehnt zugleich die Möglichkeit einer zweckändernden Verarbeitung nach den Grundsätzen des Art. 6 (4) GDPR neben den Vorgaben des Art. 5 (3) ePrivacy-Richtlinie gänzlich ab. Hat diese strikte Sichtweise bereits im Konsultationsverfahren erhebliche Kritik der Industrie hervorgerufen, dürfte die Herangehensweise des EDPB einen sinnvollen Ausgleich zwischen den verschiedenen Pflichten im Bereich der IT-Security, Produktbeobachtung oder Qualitätsmanagement und den von EDPB postulierten strikten Anforderungen zwar nicht unmöglich machen, so aber doch erheblich erschweren.  

2. Vorgaben für den Umgang mit speziellen Fahrzeugdaten wie Positionsdaten, biometrischen Daten und solchen, die Aufschlüsse über mögliche Gesetzesverfehlungen liefern

Die Verarbeitung spezieller Kategorien personenbezogener Daten, namentlich Positionsdaten, biometrischen Daten und Daten, die Aufschluss über mögliche Gesetzesverfehlungen liefern, soll nur unter Einhaltung sehr restriktiver Vorgaben möglich sein. Beispielhaft soll der Einsatz biometrischer Verfahren zum Zugriffsmanagement auf Dienste und Daten im Fahrzeug nur auf Basis einer Einwilligung erfolgen. Das überrascht auf den ersten Blick wenig, dürfte jedoch weiterhin Hersteller vor vielfältige Herausforderungen bei der Umsetzung der strikten formalen Vorgaben der GDPR an eine wirksame Einwilligung im Fahrzeugumfeld stellen. Revidiert zu haben scheint das EDPB seine zuletzt sehr weite Interpretation des Art. 10 GDPR, die es nach der Vorversion der Guidelines auch auf die Verarbeitung bloßer Angaben zur Geschwindigkeit oder anderer, eine mögliche Verletzung von Straßenverkehrsvorschriften indizierender Daten, ausweiten wollte.  

3. Privacy-by-Design in der Entwicklung von Technologien im Connected Vehicle Umfeld

Bislang ist umstritten, in welchem Umfang die Vorgaben zu Privacy-by-Design für Hersteller von datenverarbeitenden Technologien gelten, ungeachtet dessen, ob und wenn ja in welchem Umfang diese zu einem späteren Zeitpunkt tatsächlich personenbezogene Daten Betroffene verarbeiten. Das EDPB folgt unter Bezugnahme auf die Erwägungsgründe 18 und 78 der GDPR in den Guidelines einer weiten Interpretation und sieht Hersteller ungeachtet eines tatsächlichen Datenzugriff in der Pflicht, die Vorgaben gemäß Art. 25 GDPR bereits im Stadium der Entwicklung entsprechenden Technologien zu berücksichtigen. Vermag die Argumentation des EDPB nicht zu überzeugen, so deckt sich diese jedoch u.a. mit gewissen Standards, die schon heute in der Industrie umgesetzt werden (so u.a. die Verpflichtung deutscher Automobilhersteller zur Umsetzung der Grundsätze von Privacy-by-Design im Entwicklungsprozess in der gemeinsamen Erklärung mit den deutschen Datenschutzaufsichtsbehörden aus dem Jahr 2016). Die Stellungnahme des EDPB verdeutlicht einmal mehr, dass Hersteller von Technologien für das Connected Vehicle die Vorgaben der GDPR als Kernanforderungen in der Gestaltung Ihrer Produkte und Services berücksichtigen müssen, wollen sie nicht Gefahr laufen, für Versäumnisse in diesem Bereich zukünftig auch durch die Datenschutzaufsichtsbehörden belangt zu werden.  

4. Umsetzung von Datenminimierungsmaßnahmen und Betroffenrechten undden erforderlichen Einwirkungsmöglichkeiten Betroffener auf die Datenverarbeitung im Fahrzeug

Das EDPB betont in der finalen Version der Guidelines erneut, dass die umfassende Kontrolle des Betroffenen über die im und außerhalb des Fahrzeug stattfindenden Datenverarbeitungshandlungen Grundvoraussetzung für die Umsetzung der Vorgaben der GDPR sein sollen. Besonderes Augenmerk gelegt das EPDB auf datenminimierende Technologien, die frühzeitige Löschung und Anonymisierung bzw. Pseudonymisierung von Fahrzeugdaten (u.a. unter dem Schlag des sog. „hybrid processing“) sowie die Implementierung eines Profile Management Systems, mit dem der Nutzer die Datenerhebung, -speicherung und -verarbeitung im Fahrzeug gezielt und mit einfachen Mitteln steuern kann. Zudem wird an verschiedenen Stellen erneut die Umsetzung bzw. Ermöglichung der Ausübung des Rechts auf Datenportabilität betont. Klingt die Herangehensweise des EDPB auf den ersten Blick schlüssig, um auch im Connected Car Umfeld den Betroffenenrechten der Art. 12 ff GDPR volle Geltung zu verleihen, bleiben viele Fragen offenen, die die Branche aktuell umtreiben. So stellt sich u.a. die Frage, wie weit Konfigurationsmöglichkeiten für den Nutzer bei komplexen Services und Funktionen tatsächlich reichen müssen, um den Vorgaben der GDPR zu entsprechen, ohne dabei den Sinn und Zweck einzelner Funktionen (beispielsweise die Erhöhung der Verkehrssicherheit) zu konterkarieren. Unklar bleibt u.a. auch, welche Daten der Nutzer einsehen bzw. löschen können muss, insbesondere, wenn es sich bei diesen um system-relevante Daten handelt, die für die Sicherheit des Fahrzeugs oder einzelner Funktionen erforderlich sind. Mit diesen und weiteren Fragen wird sich die Praxis in den kommenden Wochen und Monaten auch weiterhin beschäftigen (müssen).  

5. Aktuelle Entwicklung und Fragen zur IT-Security im vernetzen Fahrzeug

Zuletzt fordert das EDPB von Herstellern, Service Providern und anderen Anbietern die Umsetzung hoher IT-Sicherheitsstandards im Connected Car Umfeld, um unberechtigte Datenzugriffe wirksam verhindern zu können. Der Katalog an vorgeschlagenen Maßnahmen enthält auf den ersten Blick viele Standard-Maßnahmen, die Hersteller und Anbieter schon heute umsetzen dürften. Einzelne Punkte springen jedoch ins Auge: U.a. soll das Schlüsselmanagement individuell pro Fahrzeug und nicht pro Fahrzeuglinie gestaltet werden. Das Fahrzeug soll mit einem Alarmsystem für Cyberangriffe versehen werden und die Speicherung einer Log-Historie von (maximal) sechs (6) Monaten ermöglichen, um Angriffe auf das Fahrzeugsystem nachvollziehen zu können. Zudem soll das Fahrzeug eine Patchmanagement erhalten, dass das umgehende Patchen von Schwachstellen während der gesamten Nutzungsdauer des Fahrzeugs ermöglichen soll. Scheinen sich die Vorgaben auf den ersten Blick stark an die Vorgaben zur Cyber-Security für (vernetze) Fahrzeuge der UN.ECE WP.29 anzulehnen, stellt auf den ersten Blick die Frage, ab wann Hersteller bzw. Anbieter entsprechender Dienste die jeweiligen Vorgaben umsetzen sollen. Entfalten die Vorgaben der Verordnung Nr. 155 der UN.ECE WP.29 erst ab dem kommenden Jahr und dann auch nur schrittweise ihre Wirksamkeit, dürften die Vorgaben des EDPB ab sofort zu berücksichtigen sein. Das hier gewisse Einschränkungen des Geltungsbereichs der Vorgaben (zum Beispiel für bestimmte neue Fahrzeug bzw. Fahrzeugtypen ab einem konkreten Zeitpunkt) geboten scheinen, liegt auf der Hand, dürfte die in Anbetracht der anstehenden Umsetzung der Vorgaben der UN.ECE und EU Regelungen ohnehin lange Liste an offenen Fragen erweitern.

Fazit

Das Papier bietet einen guten Überblick über die datenschutzrechtlichen Grundsätze im Umgang mit Fahrzeugdaten und dürfte der Industrie ein gutes Gespür dafür vermitteln, in welche Richtung sich das EDPB zukünftig bei der Bewertung entsprechender datenschutzrechtlicher Fragestellungen bewegen wird – in Richtung einer weiterhin strikten Interpretation der gesetzlichen Vorgaben, die es Herstellern und Anbietern von Diensten im Connected Car Umfeld auch weiterhin erschweren wird, klare Antworten auf drängende Fragen der Vereinbarkeit datenschutzrechtlicher Vorgaben und der steigenden Anforderungen u.a. an die IT Sicherheit im vernetzten Fahrzeug zu finden und bestehende Konflikte sachgerecht aufzulösen. Dabei dürften die gesetzlichen Vorgaben durchaus einen gewissen Spielraum zur Umsetzung praktikabler Lösungen bieten, die jedoch weiterhin eine umfassende Auseinandersetzung mit den verschiedenen Rechtsregimen und – wie so oft im Datenschutz - ein gewisses Maß an Kreativität erfordern werden, um sicher ans Ziel zu gelangen!

Sollten wir auch Sie auf diesem Weg tatkräftig unterstützen können oder sollten Sie weitere Fragen zu den in diesem Beitrag aufgegriffenen Themen haben, sprechen Sie uns gerne an!