folienfeuer - Fotolia
Das Datenschutz-Problem bei vernetzten Fahrzeugen
Während die Entwicklung hin zum vernetzten und autonomen Fahrzeug weitergeht, bleibt der Datenschutz scheinbar auf der Strecke. Wie steht es um den Datenschutz bei Connected Cars?
Nicht nur auf Automobilmessen werden neue Lösungen und Funktionen vorgestellt, die zu einer weiteren Vernetzung von Fahrzeugen führen. Auch Technikmessen wie die CES in Las Vegas bieten Raum für zahlreiche Produktpräsentationen rund um Connected Cars. So dringen zum Beispiel die digitalen Assistenten wie Alexa immer weiter vor in das Cockpit der Fahrzeuge.
Für den Datenschutz stellen die vernetzten Fahrzeuge eine große Herausforderung dar. Die Gründe dafür sind vielfältig. Auch wenn man Connected Cars noch für Zukunftsmusik halten mag, lohnt es sich, die Datenschutzprobleme bei vernetzten Fahrzeugen zu betrachten, denn sie sind beispielhaft für viele andere Bereiche der Anwendung des IoT (Internet of Things, Internet der Dinge).
Der Europäische Datenschutzbeauftragte hat sich kürzlich mit dem Thema der vernetzten Fahrzeuge genauer auseinander gesetzt. Dabei sind folgende Überlegungen besonders spannend, die auch für andere Datenschutzfelder zu betrachten sind.
Umfang der Datenmengen
Vernetzte Fahrzeuge erzeugen enorme Mengen an Daten, die zum großen Teil entweder Personenbezug haben oder zumindest personenbeziehbar sind. Alleine diese Menge stellt bereits ein Problem dar, denn die notwendigen Datenschutzmaßnahmen wie Verschlüsselung, sichere Speicherung und Übertragung führen bei hohem Datenvolumen zu einem großen Aufwand. Trotzdem dürfen diese Maßnahmen nicht fehlen.
Mangelnde Transparenz
Connected Cars und andere IoT-Anwendungen führen zu so vielfältigen Datenverbindungen und Datenbeziehungen, dass die betroffenen Nutzer kaum einen Überblick haben können, geschweige denn sich so informieren können, dass es zu einer richtigen, informierten Einwilligung kommen kann.
Eine Datenschutzerklärung fehlt in vielen IoT-Bereichen, und wenn es sie wie gefordert bei vernetzten Fahrzeugen gibt, ist diese so lang und komplex, dass die meisten betroffenen Nutzer keinen Gebrauch davon machen werden. Hier sind andere Wege gefragt, um für Transparenz in der Datenverarbeitung zu sorgen.
Zahlreiche Datensammler
Die Vernetzung von Fahrzeugen kann zu vielen Zwecken und in vielen Szenarien erfolgen. Datenempfänger könnten zum Beispiel andere Fahrzeuge, Teile der Verkehrsinfrastruktur, die Autowerkstatt, die Versicherung, der Autohändler oder der Fahrzeugvermieter sein, um einige Beispiele zu nennen.
Dadurch werden die Daten an vielen Stellen ausgewertet und gespeichert und zu unterschiedlichen Zwecken genutzt. Die Einhaltung des Datenschutzes muss damit ebenfalls an vielen Stellen gewährleistet werden.
Umsetzung der Löschpflichten
Es ist zum einen die Menge der Daten, die das Löschen bei vernetzten Fahrzeugen und in anderen IoT-Bereichen so schwierig macht, es sind aber auch die verschiedenen Löschfristen, die von den Datenkategorien und Zwecken abhängen, und die vielen Speicherorte und verteilten Datenkopien.
Kontrollverlust über die Daten
Die bereits erwähnten zahlreichen Datenempfänger und Datenverarbeiter erschweren die Einhaltung der Vorgabe, dass die Betroffenen, also insbesondere die Nutzer der vernetzten Fahrzeugen, die Hoheit über ihre Daten behalten müssen. Die Einforderung der Betroffenenrechte wie zum Beispiel das Auskunftsrecht ist sehr anspruchsvoll bei der Vielzahl an datenverarbeitenden Stellen. Dabei ist es nicht immer so, dass eine Stelle die Daten an eine andere weitergibt, sondern das Fahrzeug selbst sendet verschiedene Daten an unterschiedliche Stellen.
Risiko der Zweckentfremdung
Wenn die Daten bei unterschiedlichen Datenempfängern ankommen, stellt sich die Frage, ob diese die Daten auch nur zum Zweck verwenden, für den sie erhoben wurden und für den es eine rechtliche Grundlage gibt, wie zum Beispiel die Einwilligung des betroffenen Nutzers.
Eine Zusammenführung der verschiedenen Daten und eine zweckfremde Auswertung sind nicht unwahrscheinlich, sondern sind nahezu zu erwarten, wie dies bei vielen Big-Data-Analysen anzunehmen ist.
Erfassung sensibler Daten
Es liegt auf der Hand, dass bei vernetzten Fahrzeugen Standortdaten eine Rolle spielen, so wie es zum Beispiel bei IoT-Geräten wie den Fitness-Trackern bestimmte, gesundheitsrelevante Daten sein können. Die Datenschutz-Grundverordnung (DSGVO/GDPR) nennt Standortdaten unter den personenbezogenen Daten, zu den besonderen Kategorien personenbezogener Daten gehören sie zwar nicht im Gegensatz zu den Gesundheitsdaten. Doch es versteht sich, dass Bewegungsprofile des Nutzers durchaus als sensibel einzustufen sind. Entsprechend muss auch der Schutzbedarf der Daten gesehen werden.
Sicherheit der personenbezogenen Daten
Datenausspähung, Datenverlust und Datenmanipulation müssen verhindert werden. Bei so komplexen Anwendungen wie einem vernetzten Fahrzeug ist es aber nicht einfach, alle notwendigen Sicherheitsmaßnahmen umzusetzen. So können zum Beispiel in zahlreichen Komponenten Schwachstellen sein, die es zu schließen und abzusichern gilt.
Ein abschließender Hinweis: Nicht nur bei IoT-Projekten sollten Unternehmen prüfen, wie die genannten Problemfelder für den Datenschutz jeweils gelöst werden. Nicht nur vernetzte Fahrzeuge brauchen mehr Aufmerksamkeit, wenn es um den Datenschutz geht. In vielen Bereichen der IT werden neue Lösungen und Funktionen eingeführt, die mehr Auswirkungen auf die Privatsphäre der Nutzer haben können, als viele zuerst glauben.