Die Ampelkoalition will bei der Nutzung von Autodaten ein Treuhändermodell umsetzen, doch ein Expertenkreis schlägt ein anderes Konzept vor.
“Moderne Autos sind ein Datenschutzalbtraum.” Um diese Einschätzung [1] der Mozilla-Stiftung zu ändern, könnte eine gesetzliche Regelung zur Nutzung von Autodaten hilfreich sein. Nun scheint Bewegung in die Pläne der Ampel zu kommen, eine laut Koalitionsvertrag “wettbewerbsneutrale Nutzung” dieser Autodaten zu ermöglichen. Doch die Einschätzung eines Expertengremiums widerspricht dem von SPD, Grünen und FDP bislang präferierten Treuhändermodell.
Vor Kurzem startete das Bundesministerium für Wirtschaft und Klimaschutz einen Abstimmungsprozess innerhalb der Bundesregierung. Dabei geht es um die Vorbereitung einer sektoralen Regelung zu Fahrzeugdaten. Der Grund für das Vorgehen: Auf EU-Ebene soll nach langer Verzögerung in Kürze eine sektorspezifische Ergänzung der Datenverordnung (Data Act) vorgelegt werden.
Auf Anfrage teilte das Bundesverkehrsministerium mit, der vom Wirtschaftsministerium eröffnete Prozess diene einer Vorabpositionierung angesichts einer möglichen kommenden EU-Regulierung zu Fahrzeugdaten, -funktionen und -ressourcen und finde derzeit auf Arbeitsebene statt. Das Verfahren “wurde daher gemeinsam initiiert und wird gemeinsam begleitet”.
Gesetzesentwurf in Arbeit
Das Thema Autodaten gehört zu den Projekten der Ampel, die zwar im Koalitionsvertrag stehen, jedoch noch nicht umgesetzt wurden. Den Angaben zufolge erarbeitet das Verkehrsministerium einen Gesetzesentwurf, der “eine Ermächtigungsgrundlage für die Aufgaben des Datentreuhänders für den Bereich Kraftfahrzeuge vorsieht”. Er durchläuft derzeit die hausinterne Abstimmung. “Eine konkrete Ausgestaltung des Datentreuhänders liegt aktuell nicht vor”, heißt es weiter.
Generell dürfte es sinnvoll sein, eine geplante EU-Verordnung abzuwarten, denn nach deren Inkrafttreten könnte sie auch in Deutschland unmittelbar gelten. Das hängt nach Angaben des Verbraucherzentrale Bundesverbands (VZBV) davon ab, “ob und inwieweit der europäische Gesetzgeber mit der Änderung der Typengenehmigungsverordnung eine Vollharmonisierung vornehmen wird”.
Dazu schreibt das Ministerium: “Technisch und rechtlich gibt es konkurrierende Ideen und Konzepte, um den Zugang zu Daten in Kraftfahrzeugen zu regeln. Die Bundesregierung wird die Vorschläge der EU-Kommission daher prüfen und sich positionieren, sobald diese vorliegen, auch mit Blick auf das im Koalitionsvertrag angestrebte Treuhändermodell.”
Nur noch wenig Zeit
Das Problem an dem anstehenden Kommissionsvorschlag: Bis zur Wahl des neuen Europaparlaments dauert es nur noch rund ein halbes Jahr. Es dürfte schwierig werden, bis dahin eine komplette Verordnung durch Parlament, Ministerrat und die Trilogverhandlungen zu bringen.
Über die Frage, wie man einen solchen Datentreuhänder konkret umsetzen könnte, zeigten sich in einer Diskussion vor einem Jahr große Unterschiede zwischen Ministerium und Autoindustrie. Als Alternative zum Treuhändermodell entwickelte der Verband der Automobilindustrie (VdA) schon 2017 das Nevada-Konzept, das inzwischen durch das Adaxo-Konzept ersetzt wurde. Adaxo steht als Abkürzung für “automotive data access, extended and open” und bedeutet so viel wie erweiterter und offener Fahrzeugdatenzugriff.
Für die Autoindustrie ist laut VDA-Geschäftsführer Marcus Bollig entscheidend, “dass der erste direkte Zugriff auf die Daten im Fahrzeug über diese eine, wohl definierte Schnittstelle zu einem Hersteller erfolgt. Danach kann über einen Konnektor, zum Beispiel zu einem neutralen Server, dort die Treuhänderfunktion implementiert werden”.
Ein Ministeriumsvertreter widersprach dem jedoch entschieden. “Dieser eine Schritt ist uns zu viel”, sagte Unterabteilungsleiter Andreas Krüger und fügte hinzu: “Das, glaube ich, wird nicht wahr werden. Wenn wir das Backend durch den Treuhänder ersetzen, dann, denke ich, werden wir uns einig.” Doch nach einer solchen Einigung sieht es derzeit nicht gerade aus.
Handlungsempfehlungen vorgelegt
So legte der von der Bundesregierung gegründete Expertenkreis Transformation [2] der Automobilwirtschaft im September 2023 “Handlungsempfehlungen zur Erhöhung der Datennutzung und für die Umsetzung einer möglichen sektoralen Regulierung” vor. Das neunseitige Papier [3] spricht sich für den Vorschlag der Autoindustrie aus: “Datenangebot und Datennachfrage sollten durch ein ‘Structured Forum’ mit Datenhalter, Datennachfrager und Datenservice-Anbieter zusammengeführt werden (wie zum Beispiel im Adaxo-Konzept des VDA beschrieben).” Das Thema Datentreuhänder taucht hingegen nicht auf.
Zentrale Aspekte des Papiers sind durchaus begrüßenswert. So heißt es: “Grundvoraussetzung für die Nutzung der Daten ist die Zustimmung und Freigabe durch den Nutzenden des Fahrzeugs und die DSGVO-konforme Nutzung der Daten.” Nachvollziehbar ist auch die Feststellung: “Ein genereller direkter Remote-Zugriff auf die im Fahrzeug verfügbaren Daten, Funktionen und Ressourcen ist kritisch in Bezug auf Fahrzeugsicherheit, Datenschutz, Haftung, Zertifizierungsfähigkeit und Cyber Security. Zudem ist auch der Schutz von geistigem Eigentum und Geschäftsgeheimnissen zu berücksichtigen.”
Nach Ansicht des Expertenkreises, dem 13 Mitglieder aus Automobilindustrie, Forschung und Gewerkschaften angehören, ist lediglich “ein direkter Fahrzeugzugriff im abgesicherten Zustand, wie er beispielsweise im Service- und Wartungsfall durch einen zertifizierten Service-Anbieter erfolgt, … für freigegebene Funktionen unkritisch”. Das bedeutet jedoch, dass die Fahrzeuge nur in wenigen Situationen ihre Daten übermitteln könnten. Für viele Anwendungen des vernetzten Fahrens reicht das nicht aus.
Funktionale Sicherheit
Der Expertenkreis schlägt darum den Datenzugriff vom Anwendungsfall abhängig zu machen. Dabei könne man sich an den funktionalen Sicherheitsanforderungen der Autoindustrie nach ASIL (Automotive Safety Integrity Level [4]) orientieren. “Nur auf Daten, Funktionen und Ressourcen der Stufe QM (Non-ASIL) sollte für Dritte ein Zugriff möglich sein. Die Rückwirkungsfreiheit des Zugriffs auf andere Funktionen (egal welcher ASIL-Stufe) und die Cyber-Security des Fahrzeuges müssen jederzeit sichergestellt werden.”
Eine Option zum Zugriff auf diese Daten, Funktionen und Ressourcen bietet das sogenannte Extended-Vehicle-Verfahren (ExVe) auf das Backend des Autoherstellers oder auf eine abgesicherte In-Vehicle-Sand-Box. “Die ExVe-Web-Schnittstelle ist bei allen modernen Fahrzeugen verfügbar und stellt so die gesicherte Kommunikation zwischen dem Fahrzeug und dem Server des Fahrzeugherstellers sicher”, schreibt der VDA in seinem ausführlichen Adaxo-Konzept [5].
Kontrolle über Datencockpit
Im Gegensatz zur Autoindustrie forderte der Verbraucherzentrale Bundesverband (VZBV) in einem Positionspapier [6] vom November 2022 die Einrichtung eines sogenannten Mobilitätsdatenwächters.
Über diese Autorisierungsstelle, eine Art Datencockpit im Auto oder auf dem Smartphone (Personal Information Management Systems, PIMS), sollen die Fahrer mehr Kontrolle über ihre Fahrdaten erhalten. “Es würde transparent ersichtlich werden, warum Unternehmen bestimmte Informationen benötigen, wie lange sie gespeichert werden und welche Dritte darauf zugreifen dürfen”, schreiben die Verbraucherschützer.
Die Daten selbst sollten über einen Datentreuhänder ausgeleitet und dann an die Hersteller, an private Anbieter oder staatliche Organe weitergegeben werden, sofern der Fahrer das autorisiert. Über die Schnittstelle des Datentreuhänders könnten auch Daten in das Fahrzeug fließen, beispielsweise für Updates. Allerdings planen Hersteller inzwischen auch die Steuerung von Autos aus der Ferne.
Umsetzung offen
Wie die Bundesregierung den Koalitionsvertrag umsetzen wird, lässt sich derzeit noch nicht absehen. Schwerer als der aktuelle Datenschutzalbtraum würde der Sicherheitsalbtraum wiegen, wenn Fahrzeuge über die neue Schnittstelle zu den Datentreuhändern gehackt würden oder durch einen Ausfall der Systeme der Datenfluss komplett ausfiele.
Infos
- Mozilla zum Datenschutz in Automobilen: https://foundation.mozilla.org/en/privacynotincluded/articles/its-official-cars-are-the-worst-product-category-we-have-ever-reviewed-for-privacy/
- Expertenkreis Transformation: https://expertenkreis-automobilwirtschaft.de/
- Papier des Expertenkreises Transformation: https://expertenkreis-automobilwirtschaft.de/media/pages/home/417c83417c-1695210129/expertenkreis-transformation-der-automobilwirtschaft_kurzpapier_datennutzung.pdf
- Automotive Safety Integrity Level: https://blog.vispiron.systems/blog-fuer-technisches-projektmanagement/funktionale-sicherheit
- Adaxo-Konzept: https://www.vda.de/dam/jcr:2026d593-4515-4c7c-8eef-7bae3597ad78/VDA_5690_Positionspapier_ADAXO_RZ.pdf?mode=view
- Positionspapier VZBV: https://www.vzbv.de/pressemitteilungen/verbraucherinnen-sollen-ueber-nutzung-von-mobilitaetsdaten-entscheiden






