© chuyu, 123RF

An den Daten vernetzter Autos sind viele Branchen und Firmen interessiert. Die Vorschläge zur Speicherung und für den Zugriff auf die Daten sind jedoch noch ziemlich nebulös – und sie könnten den Fahrzeughaltern große Probleme bereiten.

Es ist ein Datensatz, der den Fahrer eines Tesla hinter Gitter bringen könnte. Bei den Ermittlungen zu einem möglichen illegalen Autorennen hatte die Polizei bei dem Elektroautohersteller die Daten angefragt, die ein Tesla bei seiner Fahrt über die Berliner Stadtautobahn standardmäßig hochgeladen hatte. Damit habe sich ohne weitere Zeugen die Position und Höchstgeschwindigkeit des Autos von mehr als 200 Kilometern pro Stunde herausfinden lassen, berichtete der Berliner “Tagesspiegel”.

Das Beispiel macht deutlich: Die hochgeladenen Verkehrsdaten können eine Fundgrube für viele Zwecke sein und Dinge über den Fahrzeughalter verraten, die er lieber für sich behalten würde. Doch wie lässt sich die Speicherung und der Zugriff auf Autodaten regeln?

Die vielen Daten, die Sensoren und technische Systemen der Autos inzwischen generieren, sind nicht nur für die Hersteller selbst von Interesse. Sie geben Einblicke in den technischen Zustand des Fahrzeugs, den Fahrstil des Fahrers, Besonderheiten der Strecke wie Schlaglöcher und Änderungen der Beschilderung oder zeigen aktuelle Verkehrssituationen an. Nach Unfällen ermöglichen sie bisweilen eine genaue Rekonstruktion des Fahrverhaltens.

Trust Center gefordert

Allerdings gibt es in Deutschland bislang noch keine gesetzliche Regelung, wem die Daten eigentlich gehören, in welchem Umfang sie gespeichert und mit wem sie geteilt werden müssen. Bevor der Gesetzgeber aktiv wird, haben sich schon Interessengruppen positioniert. Das Problem in der Debatte: Es gibt sehr unterschiedliche Arten von Daten, an denen wiederum unterschiedliche Unternehmen und Behörden Interesse haben.

So haben in den vergangenen Monaten mehrere Prüfgesellschaften wie der TÜV und die Dekra eine so genannte Trust-Center-Initiative ins Leben gerufen. Darin fordern die Beteiligten einen “direkten und unabhängigen Zugang zu den prüfungsrelevanten Daten und Diagnosefunktionen im Fahrzeug”, wie es Dekra-Vorstand Clemens Klinke formulierte [1]. Das solle allerdings nicht bedeuten, dass einzelne Anbieter einen direkten Zugriff per Mobilfunkverbindung auf ein vernetztes Auto bekommen. Stattdessen solle “eine herstellerunabhängige Fahrzeugdatenplattform” die Daten treuhänderisch verwalten.

Unterstützung erhalten die Prüfgesellschaften mit ihren Plänen von den Verbraucherschützern. So wird in einem juristischen Gutachten für den Verbraucherzentrale Bundesverband (VZBV) ebenfalls der Aufbau eines Trust Center gefordert, “das Verkehrsdaten für das reibungslose Funktionieren der intelligenten Verkehrsinfrastruktur verarbeitet und bereitstellt und dabei die geltenden aktuellen Datensicherheits- und Datenschutzstandards einhält”.

Unabhängiger Zugriff

Die Forderung der Dekra: “Der Zugriff des Trust Center auf die Fahrzeugdaten muss aus unserer Sicht unabhängig von den Servern der Fahrzeughersteller sein.” Damit wollen die Prüfgesellschaften verhindern, dass die Hersteller Daten aussieben oder gar löschen, wenn sie sich bei der Rekonstruktion eines Unfalls nachteilig auf den Hersteller auswirken. Denkbar wäre auch, dass Hersteller die Daten nutzen, um Kunden Serviceleistungen über Vertragswerkstätten anzubieten. Dann wären unabhängige Werkstätten und Dienstleister außen vor.

Die Forderung der Dekra würde bedeuten, dass die Daten zunächst nicht im Backend des Herstellers ankommen und von dort an das Trust Center weitergeleitet werden. Wie das ohne direkten Zugriff auf die Fahrzeuge funktionieren soll, bleibt unklar. Es gab auf Nachfrage auch noch kein Papier, das die Umsetzung des Trust-Center-Modells beschreibt.

Kein schnelles Gesetz

Dennoch sind die Prüfgesellschaften bereits im Bundesverkehrsministerium vorstellig geworden, bestätigt das Ministerium auf Anfrage. Was Speicherung und Herausgabe von Fahrzeugdaten betrifft, beschäftigt sich das Ministerium derzeit vor allem mit einer Regelung für hochautomatisierte und autonome Autos.

Die Regierung bereite dazu eine Verordnung vor, die Details zu den gesetzlich vorgeschriebenen Datenspeichern regele. “Die Übertragung und Speicherung von Daten, die aufgrund der Vernetzung von Fahrzeugen (V2X) ausgetauscht werden, ist gesondert zu betrachten. Hier sind die Beratungen sowohl auf europäischer als auch nationaler Ebene noch nicht abgeschlossen”, so das Ministerium.

Das Trust Center könnte als “neutrale Instanz” darüber hinaus Daten für “Auskunftsersuchen” bereitstellen, wie sie bei Unfällen mit hochautomatisierten Autos erforderlich sein könnten. Das bedeutet jedoch, dass Daten nicht anonymisiert vorliegen, sondern sich einem Fahrzeug zuordnen lassen müssten.

Für solche personenbezogenen Daten gibt es weitere Interessenten: die Sicherheitsbehörden. So berichteten die Zeitungen der Madsack-Gruppe [2], dass das Thema Fahrzeugdaten auf der anstehenden Innenministerkonferenz auf der Tagesordnung stehe. Einen Schwerpunkt der Tagung bilde der Umgang mit Daten, “die Computer in privat genutzten Fahrzeugen sammeln”. Es sei “völlig ungeklärt, wie mit diesen Daten künftig in sicherheitspolitischer Hinsicht umgegangen werden soll”, schrieben die Zeitungen.

Offene Schnittstellen

Was genau mit “sicherheitspolitischer Hinsicht” gemeint ist, erscheint unklar. Es könnte darum gehen, auf Basis von Standortdaten ein Bewegungsprofil eines Verdächtigen zu erstellen oder dessen Aufenthaltsort zu bestimmen.

Eher unkritisch aus Datenschutzsicht erscheint die anonymisierte Weitergabe von Fahrzeugdaten, wie sie der Autohersteller BMW angekündigt hat. Hierbei werden die Daten zum einen dem Kartendienst Here über eine CC-Lizenz zur Verfügung gestellt, zum anderen auf einen “neutralen Server” übertragen.

Bei der Initiative geht es laut BMW darum, die Fahrzeugdaten über eine standardisierte Schnittstelle bereitzustellen. Das Prinzip dahinter sei Reziprozität: “Wer sicherheitsrelevante Daten teilt, erhält im Gegenzug die Services zur Verbesserung der Verkehrssicherheit.”

Die genannten Beispiele machen deutlich: Künftig könnten die Daten vernetzter Fahrzeuge auf einer ganzen Reihe von Servern landen, über die der Halter kaum noch eine Kontrolle haben dürfte. Schon 2014 fragte die Verkehrsrechtlerin Daniela Mielchen auf dem Deutschen Verkehrsgerichtstag in Goslar, wie man sich vor “Verrat durch den eigenen Pkw” schützen kann [3].

Andererseits beschrieb sie in ihrem Vortrag auch einen Fall, bei dem ein Hersteller die Herausgabe der verschlüsselten Daten, die den Halter hätten entlasten können, “aufgrund der technischen Überlegenheit” nicht ermöglicht habe.

Ethikkommission erwünscht

Das SPD-geführte Bundesjustizministerium wollte sich auf Anfrage ebenfalls noch nicht festlegen, ob ein unabhängiges Trust Center künftig die Fahrzeugdaten speichern soll. “Die Bundesregierung wird sich, wie im Koalitionsvertrag vorgesehen, allgemein mit Fragen eines Dateneigentums und der Datenverwertung auseinandersetzen und dabei unter genauer Beachtung der Rechtsprechung des Bundesverfassungsgerichts prüfen, ob Regelungen über den Datenzugang und Ausschließlichkeitsrechte an Daten möglich, erforderlich und sinnvoll sind”, teilte das Ministerium mit. Dazu seien die Ergebnisse der Daten-Ethikkommission, die Ende des Jahres vorliegen sollen, abzuwarten.

Die Kommission wird vermutlich jedoch nicht die schwierige Aufgabe lösen, die Interessen von Fahrzeughaltern, Herstellern, Drittanbietern und Behörden unter einen Hut zu bringen. Nach Angaben der schleswig-holsteinischen Datenschutzbeauftragten Marit Hansen, die der Kommission angehört, werde zwar das Thema Ausschließlichkeits- und Zugriffsrechte “intensiv” behandelt und im Bericht eine Rolle spielen. Doch gehe es dabei nicht speziell um den Nutzungsfall Auto, der höchstens als Beispiel erwähnt werde, sagte sie auf Anfrage.

Fest stehen dürfte hingegen, dass die Einrichtung eines Trust Center kaum ohne rechtliche Verpflichtung möglich sein wird. Denn die Hersteller unterstützen auch deshalb das Konzept der offenen Schnittstellen und neutralen Server (Neutral Extended Vehicle for Advanced Data Access/Nevada), um aus Sicherheitsgründen keinen Drittanbietern den Zugriff auf die Fahrzeugsoftware erlauben zu müssen.

Eine gesetzliche Verpflichtung für die Weitergabe lehnt das Bundesverkehrsministerium derzeit ab. Der Fahrer solle selbst über die Weitergabe und Verwendung seiner Fahrzeugdaten entscheiden, hieß es auf Anfrage. Autofahrer sollten daher künftig genauer hinschauen, welche Daten Hersteller erheben und für welchen Zeitraum speichern. Problematisch wäre es vor allem, die Speicherung von Daten an die Nutzung von Diensten zu koppeln, wenn die Speicherung dafür gar nicht erforderlich ist.

Eine radikale Alternative zum Herstellerzugriff könnte darin bestehen, die eingebaute Sim-Karte herauszunehmen und etwa die Navigationsdienste des eigenen Smartphones zu nutzen. Selbst Google dürfte nicht so viele Nutzerdaten speichern wie Tesla. (uba)