Autonomes Fahren wird mitunter durch die Verarbeitung einer Vielzahl von personenbezogenen Daten ermöglicht. Nach der Datenschutzgrundverordnung (DSGVO) ist eine Verarbeitung dieser Daten jedoch nur zulässig, wenn sie auf einen Erlaubnistatbestand gestützt werden kann. Welche Erlaubnistatbestände beim autonomen Fahren in Betracht kommen, wurde bereits im Gesetzgebungsverfahren zum Gesetz zum autonomen Fahren diskutiert. Mit der Verordnung zur Regelung des Betriebs von Kraftfahrzeugen mit automatisierter und autonomer Fahrfunktion und zur Änderung straßenverkehrsrechtlicher Vorschriften (“AFGBV”) (PDF) hat das Bundesministerium für Digitales und Verkehr nunmehr einige zentrale datenschutzrechtliche Aspekte konkretisiert. Dies ist sowohl für Hersteller als auch für Zulieferer von Bedeutung, die eine zentrale Rolle bei der Umsetzung der datenschutzrechtlichen Anforderungen einnehmen.
Die Halterpflicht zur Datenverarbeitung
Nach der DSGVO ist eine Datenverarbeitung unter anderem dann zulässig, wenn die Daten aufgrund einer gesetzlichen Verpflichtung verarbeitet werden. Eine solche Verpflichtung, die nunmehr durch die AFGBV präzisiert wird, ist in § 1g Abs. 1, 2 StVG enthalten. Halter autonomer Fahrzeuge sind danach verpflichtet, bestimmte personenbezogene Daten, wie etwa Positionsdaten oder Geschwindigkeiten, anlassbezogen zu speichern und diese auf Verlangen u.a. an das Kraftfahrt-Bundesamt zu übermitteln. Solche Anlässe sind beispielsweise Unfälle, nicht planmäßige Spurwechsel oder Ausweichvorgänge. Die Verpflichtung zur Datenspeicherung beginnt mit dem Eintritt eines Ereignisses (z.B. eines Unfalles) und endet, sobald das Fahrzeug in den risikominimierten Zustand zurückversetzt wird.
Pflichten für Hersteller und Zulieferer
Nach § 1g Abs. 3 StVG sind Hersteller autonomer Fahrzeuge verpflichtet, die technischen Voraussetzungen für eine Datenspeicherung durch den Halter zu schaffen. Hierbei müssen sie insbesondere die Grundsätze einer datenschutzfreundlichen Technikgestaltung beachten sowie angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vorsehen. Darüber hinaus ist im Sicherheitskonzept, das § 12 AFGBV vorsieht, eine Datenschutzfolgenabschätzung vorzunehmen. Zulieferer werden durch die neuen Vorgaben nicht unmittelbar verpflichtet. Allerdings besteht eine starke mittelbare Verpflichtung, da die Hersteller über die gesamte Lieferkette sicherstellen müssen, dass zugelieferte Komponenten den datenschutzrechtlichen Anforderungen entsprechen. In der Regel werden Hersteller hierzu die ihnen gegenüber bestehenden Pflichten vertraglich an ihre Zulieferer weiterreichen, denn die technische Ausstattung der Fahrzeuge wird – mindestens zum Teil – von Modul- und System-Zulieferern zur Verfügung gestellt. Solche, meistens Tier-1-Lieferanten, bringen aufgrund der Nähe zu ihrem Produkt die erforderliche technische Expertise mit und dürften daher vertraglich in den Pflichtenkreis miteinbezogen werden.
Fazit
Die AFGBV konkretisiert die datenschutzrechtlichen Anforderungen an autonome Fahrzeuge und schafft mehr Rechtssicherheit für Hersteller und Zulieferer. Dies ist grundsätzlich begrüßenswert. Gleichzeitig bestehen zahlreiche neue Datenschutzpflichten für Hersteller und mittelbar auch für Zulieferer. Zur strategischen und nachhaltigen Umsetzung dieser neuen Pflichten sind eine ausgewogene Vertragsgestaltung und ein ausgereiftes Compliance Management, wie so oft, unerlässlich.
zurück