Vernetztes Auto: Datenschutz und Gewährleistung bei vernetzten Fahrzeugen

Immer mehr Daten werden in Automobilen erhoben und gespeichert, auf die Werkstätten zugreifen – und die Zukunft geht in Richtung des vernetzten Automobils. Doch wie sieht diese Zukunft aus und wo ergeben sich rechtliche Fallstricke? Und ist es ein Fall für die Gewährleistung, wenn ein gekaufter PKW unerkannt Daten speichert oder gar weitergibt?

Immer stärker rückt die Datenspeicherung in modernen PKW in den Fokus der öffentlichen Wahrnehmung und auch der juristischen Auseinandersetzung. Viele Autohersteller haben sich inzwischen zusammen getan, um über das Projekt „Here“ u.a. eine Plattform zum Austausch von Daten zwischen Fahrzeugen aufzubauen und als de Facto Standard zu etablieren. Dabei sind die von PKW erhobenen Daten durchaus „Gold wert“:

  • Schon alleine die in Echtzeit erhobenen Wetterdaten und Daten zum Zustand der Strasse dürften einen brauchbaren Wert haben, jedenfalls in Masse;
  • In jedem Fall sind Informationen zum Verkehr, also Verkehrsfluss und auch bevorzugte Routen der Autofahrer, sortiert nach „ortskundig“ und „ortsunkundig“ von besonderem Wert;
  • Darüber hinaus muss man aber auch weiter denken: Aus dem Verhalten des Fahrers oder Eigentümers lassen sich Rückschlüsse ziehen, die evt. für die Werbebranche von Interesse sind, etwa wenn man feststellt, dass je nach besonders schnell oder langsam auf Probleme oder anstehende Inspektionen reagiert wird;
  • Und natürlich sind Daten über das Fahrverhalten auch für Versicherungen von hohem Interesse.

Bei näherer Betrachtung zeigt sich somit nicht nur ein umfassender schon vorhandener Datenschatz im Auto, sondern darüber hinaus noch viele andere Ansatzpunkte für weitere interessante Daten. Grund genug, dieses Thema nicht (weiter) datenschutzrechtlich zu ignorieren, zumal es bereits EU-weit koordiniert wird.

Personenbezug von Daten im PKW

Der datenschutzrechtliche Ansatzpunkt nach dem Bundesdatenschutzgesetz, der wohl auch im Rahmen der Datenschutzgrundverordnung zentraler Anknüpfungspunkt bleiben wird, ist  der Personenbezug von Daten. Sprich: Wenn Daten personenbezogen sind, dann handelt es sich um eine datenschutzrechtliche Relevanz. Doch wann sind solche Daten im PKW entsprechend einzustufen?

Inzwischen haben sich Autohersteller und Datenschützer darauf geeinigt, dass Daten jedenfalls dann personenbezogen sind, wenn sie mit der Fahrzeugidentifikationsnummer oder dem Kfz-Kennzeichen verknüpft werden; dies wird in einer Pressemitteilung des Verbandes der Automobilindustrie zusammengefasst und nochmals ausführlicher von den Datenschützern wieder gegeben.

Der Ansatz, auf die Verknüpfung zu FIN oder KFZ-Kennzeichen abzustellen ist sinnvoll, muss aber natürlich darum ergänzt werden, dass dies erst recht gilt, wenn man eigene Daten in den PKW eingibt so dass evt. eine Verknüpfung mit selbst eingegebenen personenbezogenen Daten geschieht.

Zu betonen ist, dass man durchaus sauber klarstellt, dass es hinsichtlich der Verantwortlichen Stelle auf die konkreten Umstände ankommt: Wenn es sich um ein Vernetztes auto handelt das Daten direkt übermittelt, ist der Übermittlungsempfänger (also möglicherweise die Plattform Here) verantwortliche Stelle. Wenn dagegen die Daten beim Werkstattbesuch ausgelesen werden, wird es die Werkstatt sein. Dies ist ein wichtiger aspekt, da somit in Autowerkstätten datenschutzrechtliche Fragen eine Rolle spielen – etwa kann durchaus schon jetzt ein Betroffener von seinem Gebrauch machen um zu erfahren, welche Daten die jeweilige Werkstatt von ihm erhoben und gespeichert hat. Dies freilich nicht nur im Zusammenhang mit dem PKW sondern auch im Zusammenhang mit Daten die zur Vertragsabwicklung gespeichert wurden.

Probleme mit der Einwilligung

Spannend wird es sein, wie die Einwilligungserklärung funktionieren soll. Ich hatte bereits dargestellt, dass es hier gesetzliche Vorgaben gibt, es wird keineswegs so sein, dass in Autokaufverträgen auf Seite X kurz erwähnt wird, „dass Daten gespeichert werden“. Zur Wahrung der Informiertheit und Freiwilligkeit müssen Optionen bei der Speicherung bestehen, es muss ausdrücklich die Einwilligung abverlangt werden und sie darf nicht irgendwo in den AGB „untergehen“. Hinzu kommt, dass die Einwilligung widerrufen werden kann – jederzeit.

Und wie geht man damit um, wenn tausende Autos verkauft wurden und wegen eines Fehlers im Mustervertrag die Einwilligung unwirksam war? Muss nun jede Werkstatt vorsichtshalber bei Aufträgen vor de Auslesen des Speichers eine Einwilligungserklärung abverlangen oder wahlweise sämtliche personenbezogenen Daten beim Auslesen verwerfen oder anonymisieren (ich tendiere übrigens dazu, ja).

All diese Fragen sind ungeklärt, unbeachtet und werden mit der zunehmenden Datenflut ein zunehmendes Problem. Da die Gerichte aber auch zunehmend in Datenschutzverstößen Wettbewerbsverstöße erkennen, handelt es sich hier um keine Bagatellen, sondern um veritable Problemen mit erheblichem Kostenfaktor.

Daten ohne Kenntnis oder Einwilligung im PKW erhoben – ein Gewährleistungsfall?

Das das Thema nicht nur ein theoretisches Gedankenspiel ist, zeigt dass sich bereits im Jahr 2015 das Oberlandesgericht Hamm (28 U 46/15) mit der Frage befassen durfte, ob eine unerkannte Speicherung von Daten in einem PKW einen Gewährleistungsfall darstellt. Dabei stellte das OLG klar, dass die Speicherung alleine kein Problem ist, wenn dann ist nur die Frage von Interesse, ob irgendwelche Dritte (möglicherweise unerkannt) von diesen Daten Kenntnis erlangen:

Im Übrigen ist der mit der Berufungsbegründung weiterverfolgte Ansatz des Beklagten, eine Datenspeicherung im Fahrzeug sei wegen eines Verstoßes gegen das Recht auf informationelle Selbstbestimmung per se als anzusehen, ohnehin verfehlt. Denn der Beklagte sollte das Fahrzeug, in dem nach seiner Einschätzung Daten abgelegt werden, übereignet bekommen, so dass er darüber selbst verfügen konnte. Ähnlich verhält es sich bei der Anschaffung eines Computers oder eines Smartphones, bei denen ebenfalls Daten der Nutzer gespeichert werden, ohne dass dieser Umstand einen technischen Fehler dieser Geräte bedeutet.

Vor diesem Hintergrund verfängt auch der erstinstanzliche Verweis auf eine unzulässige oder etwaige Verstöße gegen das Bundesdatenschutzgesetz nicht.

Allenfalls wenn eine nicht beeinflussbare Weiterleitung personenbezogener Daten von dem Fahrzeug an unbefugte Dritte zu befürchten stünde, wäre in Erwägung zu ziehen, ob dies eine Beschaffenheit ausmacht, die bei vergleichbaren Fahrzeugen nicht üblich ist und die ein Käufer nicht erwarten muss (§ 434 Abs. 1 S. 2 Nr. 2 BGB).

Im Kern korrekt ist dies aber so dann doch durchaus kritikwürdig, denn alleine die Speicherung in der eigenen Machtsphäre ist es ja nicht: Wenn ich nicht weiss, wer unter welchen Umständen auf welche Daten Zugriff hat kann dies durchaus problematisch sein. So kann ich schwerlich eine Werkstatt datenschutzrechtlich in Anspruch nehmen, wenn ich nicht weiss ob diese überhaupt Zugriff und dann auch nicht weiss worauf, da mir niemand mitteilt was gespeichert wird. Hier ist im Zuge des Verkaufs auf Hinweispflichten des Verkäufers abzustellen, letztlich ist die Argumentation des OLG an dieser Stelle aber (derzeit und erst einmal) vertretbar, wenn auch in ihrer Kürze und Pauschalität nicht Zukunftsfähig im Hinblick auf das, was noch kommen wird.

Rechtsanwalt Dieter Ferner (Fachanwalt für Strafrecht)
Benutzerbild von Rechtsanwalt Dieter Ferner (Fachanwalt für Strafrecht)

Von Rechtsanwalt Dieter Ferner (Fachanwalt für Strafrecht)

Rechtsanwalt Dieter Ferner ist Fachanwalt für Strafrecht und Anwalt in der Anwaltskanzlei Ferner Alsdorf. Spezialgebiete von RA DF: Verkehrsstrafrecht, Kapitalstrafsachen, Drogendelikte, Sexualstrafrecht und Arbeitsstrafrecht.

Unsere Kanzlei ist spezialisiert auf starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, Schutzrechten (GeschG/UrhG/Marken), IT-Sicherheitsrecht sowie Softwarerecht.