Datenzugriff und Datenschutz bei digitalisierten und vernetzten Fahrzeugen
der Abgeordneten Renate Künast, Dr. Konstantin von Notz, Stephan Kühn (Dresden), Luise Amtsberg, Matthias Gastel, Katja Keul, Monika Lazar, Nicole Maisch, Irene Mihalic, Özcan Mutlu, Hans-Christian Ströbele und der Fraktion BÜNDNIS 90/DIE GRÜNEN
Vorbemerkung
Moderne Fahrzeuge verfügen über bis zu 80 digitale Steuergeräte, die auch personenbezogene Daten und Informationen erheben, verarbeiten und nutzen, sowie einer Anzahl von bis zu 100 verschiedenen Sensoren (z. B. Positions-, Regen-, Videosensoren). Die digitalen Steuergeräte und Sensoren generieren – oftmals intransparent für den Fahrzeughalter – selbsttätig große Menge von Daten und Informationen zur Umgebung, zur Fahrweise, aber auch direkt zum Zustand der Fahrenden. So wird beispielsweise die Atemluft kontrolliert, der Herz- oder Pupillenschlag überwacht oder der psychische Zustand per Sprachanalyse verfolgt (vgl. insgesamt mit weiteren Nachweisen: Hornung/Goeble, CR 4/2015, S. 265 ff., ferner Bundestagsdrucksache 18/6343).
Ebenfalls massiv ausgebaut wird die interne Konnektivität der Fahrzeuge, für einige Systeme wie die On-Board-Diagnose gibt es bereits herstellerübergreifende Standards. Doch auch die externe Vernetzung von Fahrzeugen schreitet weiter voran, bei der es um die Kommunikation des Fahrzeugs mit seiner Umgebung geht. Bereits heute etabliert sind Positionsgeräte, die Standortdaten an andere Fahrzeuge, Hersteller, Werkstätten usw. weitergeben, oftmals ohne Offenlegung gegenüber den Fahrzeugbesitzern.
Auch wenn das sogenannte vollautonome oder hochautomatisiertes Fahren bislang nur vereinzelnd auf Teststrecken erprobt wird, hat das Bundesministerium für Verkehr und digitale Infrastruktur gleichwohl angekündigt, in Kürze gesetzliche Regelungen vorzulegen. Ziel ist es offenbar, die deutschen Hersteller, die im internationalen Wettbewerb mit anderen Automobilanbietern stehen, aber auch datensammelnde Unternehmen, rechtlich abzusichern.
Die Diskussion über den Umgang mit den Daten und Informationen derjenigen bzw. über diejenigen, die das Fahrzeug nutzen, ist in vollem Gange, wobei die Verwertung der anfallenden Daten und Informationen, wie etwa bei dem Versicherungsmodell „Pay as you drive“ im Mittelpunkt der Diskussionen und sich rasant entwickelnder Geschäftsmodelle zu stehen scheint.
Kommerzielle Verwertungsinteressen an den anfallenden Daten und Informationen haben nicht allein Fahrzeughersteller, Zulieferer, Werkstätten. Die dabei entstehenden Bewegungsprofile sind sowohl für Versicherungen, Sicherheitsbehörden als auch diverse Aufsichtsbehörden von größtem Interesse. Besitzt das Fahrzeug eine Verbindung zum Internet, was schon heute oftmals der Fall ist, kommen auch die Interessen großer Internetanbieter und deren Konzepte personalisierter Werbung zusätzlich ins Spiel.
Begehrlichkeiten, auf die im Zuge der weiteren Digitalisierung des Verkehrssektors zunehmend anfallenden Daten und Informationen zuzugreifen, sind mannigfaltig. Insgesamt entstehen vielfache neue Risiken der Erfassung und der missbräuchlichen Nutzung von Daten und Informationen, auf die der Gesetzgeber angemessen reagieren muss. Die Einsetzung einer unabhängig besetzten Ethik-Kommission, die sich auch mit diesen zentralen Fragen der informationellen Selbstbestimmung im digitalisierten Verkehrssektor zwingend beschäftigen muss, ist daher grundsätzlich zu begrüßen. Sinnvoll erscheint es, die Ergebnisse ihrer Arbeit abzuwarten, um sie in gesetzliche Regulierungsvorschläge einfließen zu lassen.
Mit der voranschreitenden Digitalisierung und Vernetzung des Verkehrssektors entstehen zugleich gravierende IT-Sicherheitsrisiken, die sich damit nicht allein auf das einzelne Fahrzeuge und Insassen, sondern auf die Sicherheit des Verkehrs insgesamt auswirken können. Beispiele hierfür sind verschiedene Hacks und die Möglichkeit der Fremdsteuerung verschiedener Fahrzeuge. Die auch mit der Digitalisierung einhergehende Möglichkeit der Manipulierbarkeit der Software von Fahrzeugen gegenüber aufsichtsbehördlichen Kontrollverfahren sowie die Versiegelung bis hin zu einer „black box“, an Stelle von Transparenz und Prüfbarkeit, stellt die überkommenen Prüfungsverfahren als auch den Regelungsrahmen zum Schutz von Allgemeininteressen und Persönlichkeitsrechten zusätzlich infrage.
Aus Sicht der Fragesteller können intelligente Verkehrsnetze wachsende Verkehrsströme bewältigen helfen und damit wichtige öffentliche Interessen befördern, so dass Förderung und Forschung durchaus gerechtfertigt erscheinen. Auf die zahlreichen Potentiale der Digitalisierung des Verkehrsbereichs macht die Bundesregierung in ihrer „Strategie Intelligente Vernetzung“ (vgl. Bundestagsdrucksache 18/6022) aufmerksam, ohne jedoch angemessen zu berücksichtigen, dass Schutzmechanismen für die Verbraucherinnen und Verbraucher und die Beachtung des Grundrechts auf informationelle Selbstbestimmung zwingende Voraussetzungen sind, um die vielfältigen Potentiale tatsächlich nutzbar zu machen.
Trotz der bereits seit Jahren beforschten und diskutierten Dynamik dieser Entwicklung fehlt es bis heute an der Übernahme der Schutzverantwortung für IT-Sicherheit und Datenschutz durch die Bundesregierung. Die Formulierungen der „Strategie Intelligente Vernetzung“ bleiben vielmehr allgemein und unspezifisch, zahlreiche Vorschläge und Anregungen aus dem eigens eingerichteten Runden Tisch Automatisiertes Fahren werden bislang ebenfalls nicht aufgegriffen.
Wir fragen die Bundesregierung:
Fragen27
Teilt die Bundesregierung die Auffassung, dass die Gemeinsame Erklärung der Datenschutzbehörden des Bundes und der Länder und des Verbandes der Automobilindustrie e. V. (VDA) einen ersten, hinsichtlich der Kooperation der Industrie überfälligen, aber längst nicht hinreichenden Schritt zur Schaffung der notwendigen Rechtssicherheit für den Datenschutz darstellt?
Teilt die Bundesregierung die Auffassung, wonach mit der Anbindung von KFZ an das Internet dem Grunde nach das gesamte Spektrum datenschutzrechtlicher Fragen aufgeworfen werden, die im Internet ohnehin bereits bestehen, und wenn nein, warum nicht?
Welche gesetzgeberischen Maßnahmen sind von der Bundesregierung und dem Bundesministerium für Verkehr und digitale Infrastruktur in diesem Bereich geplant, und in welcher Form sind hier die Zuständigkeiten zwischen dem Bundesministerium des Inneren und dem Bundesministerium für Verkehr und digitale Infrastruktur aufgeteilt?
Bezieht sich der geplante Entwurf von Bestimmungen im Straßenverkehrsgesetz zum verpflichtenden Einbau von „Black boxes oder Chips“ (www.handelsblatt.com/politik/deutschland/autonomes-fahren-wir-koennen-unskein-weiteres-zoegern-leisten/13891736.html) auf unterschiedliche Stufen der möglichen Automatisierung, und werden dementsprechend weiter differenzierende Regelungen vorgelegt?
Welchen konkreten Regelungsrahmen sieht die „Dobrindtsche“ black box (siehe Frage 4) hinsichtlich der Speicherdauer, des Speicherumfanges sowie der Zugänglichkeit unter welchen Bedingungen für welche öffentlichen und/oder nichtöffentlichen Stellen vor?
Wurde in das konkrete Verfahren der Gesetzeserstellung bereits die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit mit einbezogen und um Stellungnahme gebeten, und wenn nein, warum nicht?
Wurde in das konkrete Verfahren der Gesetzeserstellung bereits das Bundesamt für die Sicherheit in der Informationstechnik mit einbezogen und zur Stellungnahme aufgefordert, und wenn nein, warum nicht?
Ist die Bundesregierung auch hinsichtlich vernetzter Autos in die Arbeit des Düsseldorfer Kreises eingebunden, und wenn ja, in welcher Form (bitte auf entsprechenden Beschluss o. Ä. verweisen)?
Wird die Bundesregierung im Rahmen der Vorlage einer Neuregelung des Straßenverkehrsgesetzes, wie am Runden Tisch entsprechend vorgetragen, eine gesetzliche Regelung mit aufnehmen, welche Vorkehrungen zur Datensicherheit und den Schutz sowohl der Fahrzeuginsassen als auch der weiteren Verkehrsteilnehmer vor dem Missbrauch von Daten zur Bedingung der Zulassung von Kraftfahrzeugen und deren Anhänger macht, und wenn nein, warum nicht?
Wird die Bundesregierung im Rahmen der geplanten Erweiterung des Straßenverkehrsgesetzes die regelmäßigen Untersuchungen und Prüfungen von Fahrzeugen zur Gewährleistung der Verkehrssicherheit um den Prüfungspunkt Datensicherheit gesetzlich erweitern und dabei zugleich auch die Anforderungen an die Untersuchungsstellen als auch der Zentralen Stelle mit einbeziehen, und wenn nein, warum nicht?
Wird die Bundesregierung bei der geplanten Regelung zur Ermöglichung assistierten Fahrens gemäß den Vorgaben der Europäischen Datenschutzgrundverordnung und der bestehenden gesetzlichen Bestimmungen zur Gewährleistung von Privacy by Design und Sparsamkeit bei der Verarbeitung personenbezogener Informationen und Daten (§ 3a des Bundesdatenschutzgesetzes – BDSG) Bestimmungen in die Straßenverkehrszulassungsordnung (StVZO) mit aufnehmen, wonach speziell Fahrzeuge mit automatisierten Fahrfunktionen und/oder Assistenzfunktionen so gebaut und ausgerüstet sein müssen, dass ihr verkehrsüblicher Betrieb niemanden schädigt oder mehr als vermeidbar gefährdet, belästigt oder behindert, und wenn nein, warum nicht?
Wie bewertet die Bundesregierung Vorschläge bzw. wird sie diese in ihr Gesetzesvorhaben aufnehmen, wonach in der Straßenverkehrszulassungsordnung die Verpflichtung zum Bau datensicherer und die Einhaltung datenschützender Bestimmungen taugender Fahrzeuge aufzunehmen ist, und wenn nein, weshalb nicht?
Teilt die Bundesregierung die Auffassung, wonach die Entwicklung Anlass gibt, bereits in der Straßenverkehrszulassungsordnung explizite Verpflichtungen aufzunehmen, dass alle für die Sicherheit wichtigen elektronischen Bauteile, Komponenten und Funktionen bei Störungen nicht nur die betroffenen Fahrerinnen und Fahrer informieren, sondern auch zur Überprüfung über die elektronische Fahrzeugschnittstelle verfügbar sein müssen, und wenn nein, warum nicht?
Teilt die Bundesregierung die Auffassung u. a. des Deutschen Verkehrssicherheitsrates e. V., wonach fehlerhafte Aktionen/Reaktionen hochautomatisierter Fahrfunktionen nicht der Fahrerin oder dem Fahrer angelastet werden dürfen, und wenn nein, warum nicht?
Besteht nach Auffassung der Bundesregierung Regelungsbedarf hinsichtlich der Frage, inwiefern Hersteller, ihre Zulieferer, Entwickler oder Fahrer selbst für durch fehlerhafte Software herbeigeführte Unfälle und Schäden haften müssen, und wenn nein, warum nicht?
Welche Rolle sollen nach Auffassung der Bundesregierung Versicherungen bei Schadensfällen (siehe Frage 13) spielen und auf Basis welcher Daten und welcher Datenquellen sollten Versicherungen Unfallhergänge rekonstruieren und auswerten dürfen?
Wird die Bundesregierung auf europäischer Ebene darauf hinwirken, dass im Rahmen des laufenden Verfahrens zur Änderung der Richtlinie 2007/46/EG über die Genehmigung von Kfz, Systemen und selbständigen technischen Einheiten grundlegende Anforderungen an Datensicherheit und Datenschutz wie der Schutz vor Hacking/unbefugten Zugriffen, die Sicherheit bereits erfasster Daten, die Feststellung, Meldung und der Umgang mit Hackingangriffen und unbefugten Zugriffen sowie die Ermöglichung der Kontrolle über Datenerfassungen, Datenübermittlungen, Datenspeicherungen und Datennutzungen mit aufgenommen werden, und wenn nein, warum nicht?
Unterstützt die Bundesregierung Forderungen, wonach in der EU-Verordnung 2007/46 (COM 2016/31 final) auch entsprechende Strafbestimmungen für Verstöße gegen Vorgaben der Datensicherheit und des Datenschutzes im Fahrzeug mit aufgenommen werden, und wenn nein, warum nicht?
Wirkt die Bundesregierung im Verfahren um die Verordnung 2007/46 darauf hin, dass bezüglich unterschiedlicher Fahrzeugtypen Transparenz für Verbraucher geschaffen wird, etwa in Gestalt standardisierter Graphiken, in welchem Umfang diese Datensicherheits- und Datenschutzmaßnahmen erfüllt werden, und wenn nein, warum nicht?
Wirkt die Bundesregierung darauf hin, dass Typgenehmigungen von Fahrzeugen und technische Überprüfungen in der Verordnung 661/2009 derart miteinander verknüpft werden, dass die allgemeinen Konstruktionsanforderungen nicht nur die Einhaltung von Datensicherheit und Datenschutz gewährleisten, sondern zugleich auch die Überprüfung dieser Anforderungen in den vorgeschriebenen technischen Prüfungen ermöglicht wird, und wenn nein, warum nicht?
Wird die Bundesregierung oder wirkt die Bundesregierung bereits darauf hin, dass im Rahmen der EU-PTI-Richtlinie 2014/45/EU Änderungen dahingehend aufgenommen werden, dass zukünftig bei den vorgesehenen technischen Prüfungen auch Anforderungen an den Schutz der Verkehrsteilnehmer vor dem Missbrauch von im Verkehr anfallenden Daten sowie Anforderungen an die Datensicherheit insgesamt mit überprüft werden können, und wenn nein, warum nicht?
Teilt die Bundesregierung die Auffassung des Bundesministers für Verkehr und digitale Infrastruktur, Alexander Dobrindt, wonach zukünftig „Datenreichtum statt Datensparsamkeit“ als Devise gelten müsse (www.heise.de/newsticker/meldung/Zwei-Jahre-digitale-Agenda-Cloud-hoert-sich-an-wie-Stehlen-3314846.html), und teilt sie die Auffassung, dass diese Devise zumindest im Hinblick auf den Umgang mit personenbezogenen Daten und Informationen nicht der geltenden Rechtslage entspricht (§ 3a BDSG)?
Wird die Bundesregierung im Rahmen der Umsetzung der Vorgaben der Datenschutzgrundverordnung den geltenden Grundsatz datenschutzrechtlicher Datensparsamkeit streichen?
Wurde im Rahmen der Ressortabstimmung zum ersten Entwurf eines Umsetzungsgesetzes zur EU-Datenschutz-Grundverordnung (ABDSG) bereits die Planungen des Bundesverkehrsministeriums mit einbezogen, und wenn ja, in welcher Hinsicht?
Handelt es sich bei den geplanten Regelungen des Straßenverkehrsgesetzes aus Sicht der Bundesregierung um bereichsspezifische Datenschutzbestimmungen, und wenn ja, in welchem Umfang finden darauf nach Auffassung der Bundesregierung die Bestimmungen der Datenschutzgrundverordnung Anwendung?
In welcher Form sollen die in verbauten Softwares eingesetzten Algorithmen auf ihre Sicherheit und Rechtmäßigkeit überprüft werden, und teilt die Bundesregierung die Auffassung, dass die Verkehrssicherheit betreffende Algorithmen durch die Hersteller gegenüber den zuständigen Aufsichtsbehörden offengelegt werden müssen und nicht unter das Geschäftsgeheimnis fallen?
Welche Daten werden nach Kenntnis der Bundesregierung von Telematikboxen im Zusammenhang mit Telefonica Digital Instance Services Servers erhoben, und was geschieht mit diesen Daten?