Auf der IAA haben gestern die Europäischen Automobilhersteller (ACEA – European Automobile Manufactures‘ Association) eine Art Selbstverpflichtung zum Schutz von personenbezogenen Daten bei Connected Cars präsentiert.

We Are Transparent

Eingangs wird hervorgehoben, dass Kunden über die personenbezogene Daten und deren Verarbeitung informiert werden, einschließlich der Zwecke und etwaiger beteiligter Dritter. Das kennt man bereits aus dem BDSG. Gleiches gilt für die Information bei Änderungen und die Bereitstellung von Ansprechpartnern.

Konkreter wird es bei der Frage, wie die Informationen bereitgestellt werden:

• in einem Vertrag
• in einer Bedienungsanleitung
• über ein besonderes Menü im Infotainment System des Fahrzeuges
• mittels Icons und Bildern im Fahrzeug
• über mobile Apps
• über Webseiten und Webportale der Hersteller
• oder in jeder anderen angemessenen Weise

Interessant wird die Verwendung der beschriebenen Möglichkeit, für einzelne Informationen, wenn diese gerade relevant sind. Gegenüber einer 2–Seitigen Datenschutzerklärung kann ich mir eine Bevorzugung vorstellen.

We Give Customers Choice

Dies bezieht sich zum einen allgemein darauf, dass der Kunden entscheiden soll, mit wem er persönliche Daten teilt. Eine entsprechende Weitergabe an Dritte erfolgt nur mit Einwilligung des Betroffenen oder aufgrund einer gesetzlichen Verpflichtung.

Zum anderen wird besonders die Möglichkeit zur Deaktivierung von Geolokalisierungen betont, sofern diese nicht zur Erfüllung vertraglicher Pflichten erforderlich ist.

We Always Take Data Protection Into Account

Bereits beim Design, der Entwicklung und Herstellung von Fahrzeugen werden die datenschutzrechtlichen Anforderungen beachtet und Folgeabschätzungen durchgeführt.

We Maintain Data Security

Es werden technische und organisatorische Schutzmaßnahmen ergriffen, um die Sicherheit von Kundendaten zu gewährleisten. Sofern sich der Leistungen Dritter bedient wird, werden entsprechende Verpflichtungen zur Sicherheit auferlegt.

We Process Personal Data in a Proportionate Manner

Schließlich wird sich letztlich zu den Grundsätzen von Zweckbindung, Datenvermeidung und Datensparsamkeit, einschließlich Anonymisierung und Pseudonymisierung bekannt.

Types of Data

Ergänzend wird auf unterschiedliche Arten von Daten eingegangen, die gegebenenfalls differenziert zu betrachten sind. Neben den personenbezogenen Daten gebe es auch rein technische Daten. Letztere können aber auch das datenschutzrechtlich relevant sein, wenn diese in Kombination mit anderen Informationen die Identifikation einer Person zulassen.

Kein großer Wurf

Der große Wurf ist das Papier sicher nicht. Vielfach wird nur verpackt, was Gesetze ohnehin verlangen. Sicher wären mehr konkrete Bekenntnisse wünschenswert. Wer jedoch erwartet das auf der IAA von der Automobilindustrie die Schwierigkeiten zwischen Schutz der Persönlichkeit und vernetzten Fahrzeugen gelöst werden, hat sich von den gegebenen Realitäten entfernt. Ein Bekenntnis zum Datenschutz durch die europäischen Automobilhersteller kann man nur positive bewerten, zumal auch die europäischen Ableger der asiatischen Hersteller Hyundai und Toyota betroffen sind und zudem auch Drittanbieter entsprechend ermutigt werden.

Es darf nicht vergessen werden, dass die Automobilindustrie sich am Anfang einer neuen Entwicklung sieht. Auf viele der damit zusammenhängenden Schwierigkeiten bestehen derzeit keine akzeptablen Anworten. Auch die Bundesregierung tut sich in ihrem Papier „Strategie automatisiertes und vernetztes Fahren“ schwer.

» ACEA PRINCIPLES OF DATA PROTECTION IN RELATION TO CONNECTED VEHICLES AND SERVICES