Vernetzte Fahrzeuge: Wann kommt endlich Licht in die Datenverarbeitung?

Fachbeitrag

Die Automobilindustrie hat ihre glorreichen Zeiten hinter sich und versucht das Gold des 21. Jahrhunderts zu schürfen. Denn für die Hersteller sind Daten aus den Fahrzeugen potenzielle Goldgruben. Um Licht ins Dunkel zu bringen, untersuchte das Kompetenzzentrum für IT-Sicherheit CISPA ausgewählte vernetzte Fahrzeuge.

Die Software in neuen Serienfahrzeugen

Bauteile neuer Serienfahrzeuge, welche zukünftig am Straßenverkehr teilnehmen möchten, müssen homologiert werden. Das bedeutet, dass sie vom Kraftfahrtbundesamt (KBA) eine Baugenehmigung benötigen. Finden Veränderungen an solchen Bauteilen statt, lässt sich dies in der Regel erkennen, sodass eine neue Prüfung stattfinden muss, um die Baugenehmigung zu erhalten.

Dieser Umstand betrifft nicht nur mechanische Bauteile, sondern auch die Software. Ein großer Unterschied zu den mechanischen Bauteilen ist jedoch, dass erfolgreiche Prüfungen von Software keine direkten Prüfzeichen erhalten. Für Prüfgesellschaften gehört es noch nicht zur Tagesordnung, die Software-Versionen effektiv zu überprüfen und zu kontrollieren, was sie tut. Grund dafür sind die fehlenden standardisierten technischen Möglichkeiten.

Dieser Umstand zeigt auf, dass selbst für Brancheninterne Unklarheit besteht, welche Informationen solch eine Software sammelt und wie sie funktioniert.

Wie kommt man an die Informationen?

Seit 2007 besteht dank der EG-Verordnung 715/2007 das Recht auf Zugang zu Reparatur- und Wartungsinformationen. Damit scheint die Lösung auf der Hand zu liegen. Die Software könnte einfach ausgelesen werden, um zu verstehen, welche Daten das Fahrzeug erfasst. Problem an der EG-Verordnung ist, dass sie nicht für die Software eines Fahrzeugs Anwendung findet.

Die Käufer eines Fahrzeugs, die durch eigene Kraft herausfinden möchten, welche Daten ihr Fahrzeug sammelt, stehen vor einem unmöglichen Unterfangen. Alternativ zum Auslesen kann selbst durch eigene Recherche keine genaue Auflistung bei den Herstellern gefunden werden. Solch eine Auflistung sollte aber enthalten, welche Daten unter welchen Voraussetzungen erhoben werden, wo diese wie lange gespeichert werden und wer darauf Zugriff hat.

Rechtsgrundlage der Verarbeitung?

Die von der CISPA stichprobenartig getesteten Mietfahrzeuge enthielten in ihren Einstellungen Hinweise darauf, auf welcher Rechtsgrundlage die Daten erhoben bzw. verarbeitet werden. Nach einer aktiven Suche innerhalb der Einstellungen lässt sich erkennen, dass die Rechtsgrundlage der Verarbeitung eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bildet.

Der Erwägungsgrund 32 hilft zum Verständnis und definiert, dass die Einwilligung eines Betroffenen durch eine eindeutige bestätigende Handlung erfolgen sollte, welche für den konkreten Fall, in informierter Weise und unmissverständlich, bekundet wird. Dadurch zeigt der Betroffene, dass er mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist. Die Einwilligung ist nicht an eine bestimmte Form gebunden, sodass sie ebenfalls elektronisch, schriftlich oder mündlich erfolgen kann.

Im Praxistest kam aber heraus, dass der Mietwagen nicht proaktiv um eine Einwilligung gebeten hat. Erst nachdem in den Tiefen der Konfigurationsmenüs die Datenübertragung zu den Herstellern manuell abgestellt wurde, konnte die vorbestehende Einwilligung ausgestellt werden.

Dies stellt in der Praxis ein Problem dar. Betroffene Fahrer, die direkt in das Fahrzeug steigen, werden nicht aktiv nach der Einstellung suchen, sodass die Voreinstellung aktiviert bleibt. Dazu besteht die Problematik des Opt-outs. Ebenfalls stellt die fehlende Transparenz ein nicht hinnehmbarer Umstand dar. Die geprüften Fahrzeuge informieren den Fahrer nicht darüber, welche Daten und zu welchem Zweck sie erhoben werden. Selbst unter diesen Umständen wird eine aktiv abgegebene Einwilligung das Kriterium „in informierter Weise“ nicht erfüllen. Dies hat zur Folge, dass die Daten eigentlich nicht verarbeitet werden dürfen.

Über welche Daten reden wir eigentlich?

Es handelt sich hierbei nicht nur um Daten, die von Sensoren stammen und zum Funktionieren des Fahrzeugs notwendig sind, sondern auch um Daten für Komfortfunktionen.

Notwendige Informationen sind unter anderem:

  • Pedalposition
  • Raddrehzahlen
  • Temperaturen

Daten von Komfortfunktionen sind unter anderem:

  • Anzahl der belegten Sitze
  • Anzahl der eingerasteten Gurtschlösser
  • Offene Türen und Klappen
  • Letzte Tempomat-Geschwindigkeit

Ab jetzt nur noch Oldtimer fahren?

Automobilhersteller sammeln Informationen über ihre Fahrzeuge und Kunden. Hierbei herrscht immer noch starke Intransparenz, wodurch sich bei Kunden ein Unwohlsein entwickelt. Bislang enthält nicht jedes Fahrzeug die Möglichkeit zur digitalen Vernetzung. Es ist jedoch davon auszugehen, dass vernetzte Fahrzeuge immer populärer werden und diese zukünftig zu einem Standard wird. Hersteller haben sicher ein Recht darauf ihre Software zu schützen und die Informationen darüber vertraulich zu behandeln. Jedoch sollte für eine datenschutzkonforme Verarbeitung von Telematikdaten Transparenz bestehen, inwiefern Daten für welchen Zweck verarbeitet werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Dieser Artikel und diese Studie sind in meinen Augen sehr relevant. Das Thema Datenerhebung bzw. -verarbeitung bei Automobilen aller Art und deren Infotainment/Navigationssystemen wird sogar noch dadurch DSGVO-komplexer, weil teilweise auf vorgefertigte Module namhafter Internetplattformen wie z. B. Google (Android Auto) oder Apple (CarPlay) zurückgegriffen werden. Die größte Gefahr entsteht dabei durch die Kombination der Metadaten aus im Fahrzeug (am Menschen) mitgeführten Smartphone, GPS im Auto und aktiver Systemnutzung im Fahrzeug bzw. der Internetplattformen.

    Vor allem bin ich derzeit ziemlich entsetzt, wie schnell der bequeme Weg der Implementierung solcher Datensammelsysteme bei den Herstellern bzw. den SW-Ingenieuren vorgenommen wird. Hinterher ist man dann bei den Anbieter wiederum entsetzt, wenn man erkennen muss wie schnell man solche System hacken kann oder man sich nicht um die Schnittstellen ins Bordsystem oder deren Absicherung gekümmert hat. Es ist ja prinzipiell eine feine Sache, wenn der Hersteller einem im Falle einer Panne oder Serviceanfrage schnell helfen kann. Aber es ist eine ganz andere Sache, wenn solche Daten auch Dritten zur Verfügung gestellt werden können, die damit optimale Nutzerprofile zu den eigenen Plattformen erstellen können.

    Die Frage die sich mir dabei immer stellt ist, ob man jetzt als Autohersteller erst langwierig auf neue Gesetze und Regelungen warten will oder man sich der DSGVO-Bezüge nochmal bewusst wird. Wenn ich ein solches Fahrzeug erwerben oder nutzen möchte, möchte auch an dieser Stelle DSGVO-konforme Einwilligungen und Transparenz in der Datenerhebung erwarten. Das dürfte meiner Meinung nach aber weniger ein Problem des „Könnens“ sein, als vielmehr des „Wollens“ oder der Data Privacy Awareness innerhalb der SW-Abteilungen bei den jeweiligen Herstellern.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.