Home
Intern
von Dr. Christiane Bierekoven und Dr. Johannes Raab
veröffentlicht am 14. Juni 2017
Themen wie das „eCall”-System, „pay as you drive” Versicherungen, Car2Car Kommunikation, Car-Sharing, die Kommunikation zwischen Elektrofahrzeug und Ladesäulen und insbesondere das automatisierte Fahren stellen nur einige Ausschnitte an datenverarbeitungsrelevanten Problemkreisen im Bereich der Automobilbranche dar.Davon sind aber nicht nur die großen Automobilhersteller betroffen. Auch die Zulieferbetriebe, die die Hersteller mit datenverarbeitenden Systemen versorgen, haben einige Vorgaben zu beachten. Der Beitrag soll aufzeigen, in welchen Bereichen die Datenverarbeitung auch für Automobilzulieferer eine wichtige Rolle spielt.
Das Datenschutzrecht ist derzeit für jedes Unternehmen ein überaus relevantes Thema. Die Datenschutz-Grundverordnung (DSGVO), die ab 25. Mai 2018 gilt, verlangt von Unternehmen, die eigenen Datenverarbeitungsvorgänge zu identifizieren und einer eingehenden Überprüfung zu unterziehen. Das liegt insbesondere an stärkeren Dokumentations-, Informations- und Beweispflichten, höheren Bußgeldtatbeständen von bis zu 4 Prozent des weltweiten Vorjahresumsatzes und an einer intensiveren Kontrolle durch die Aufsichtsbehörden.
Doch in der Automobilbranche gibt es noch weitere Schnittstellen in Bezug auf die Verarbeitung von Daten. In kaum einem anderen Wirtschaftszweig spielen die Digitalisierung, Big Data oder die Vernetzung eine ähnlich große Rolle.
Zum einen müssen die Zulieferer beachten, wer für eine Datenverarbeitung, die mit Hilfe der produzierten Produkte durchgeführt wird, als für die Datenverarbeitung verantwortlich anzusehen ist. Je nach konkretem Schritt kann das der Zulieferer, der Fahrzeughersteller oder ein anderer Dritter sein, z.B. der Halter oder eine Kfz-Werkstatt.
Selbst wenn der Zulieferer nicht als Verantwortlicher für die Datenverarbeitung anzusehen ist, hat sich das Unternehmen mit dem Datenschutz zu beschäftigen. Liegt etwa die Verantwortlichkeit beim Automobilhersteller, obliegen ihm die Pflichten nach der DSGVO. Der Automobilzulieferer muss demnach seine Produkte so gestalten, dass der Hersteller seine Pflichten auch erfüllen kann.
Eine Datenverarbeitung kommt dabei im Fahrzeug an unterschiedlichen Stellen in Betracht. Das können technische Daten sein (Informationen zur Einspritzung), durch im Fahrzeug verbaute Sensoren erhobene Daten (Müdigkeitskontrolle des Fahrers) und vom Fahrer bzw. Halter selbst in das Fahrzeug eingegebene Daten (Navigationssystem). Im Vormarsch sind Daten, die mit der Vernetzung des Fahrzeugs anfallen, z. B. wenn das Smartphone des Fahrers mit dem Auto verknüpft wird. Schließlich sind möglicherweise auch Daten aufgrund gesetzlicher Vorgaben zu verarbeiten, wie bei dem auf Unionsrecht zurückzuführenden automatisierten Notrufsystems „eCall”.
Ein Personenbezug der Daten, der für die Anwendung des Datenschutzrechts immanent ist, ist nicht nur dann anzunehmen, wenn Telefonnummern, Namen oder E-Mail-Adressen verarbeitet werden. Auch technische Daten können Personenbezug aufweisen, wenn sie mit weiteren Informationen zu einer Person verknüpft werden und somit eine direkte oder indirekte Identifizierung erfolgen kann.
Sofern eine Verarbeitung personenbezogener Daten vorliegt, muss der dafür Verantwortliche die Vorgaben des geltenden Datenschutzrechts – in Europa ist das ab 25. Mai 2018 in erster Linie die DSGVO – einhalten.
Bei der Produktentwicklung ist daher zu berücksichtigen, dass der Fahrzeughersteller wichtige Datenschutzgrundsätze beachten muss. Dazu zählt etwa der Grundsatz der Datenminimierung. Im technischen Umfeld spiegelt sich das Prinzip gerade in den Begriffen „privacy by design” und „privacy by default”. Das Produkt muss danach so ausgestaltet sein, dass die Einhaltung der Datenschutzvorgaben nicht nur ermöglicht wird, sondern auch standardmäßig vorgegeben ist. Zu denken ist dabei etwa an eine Pseudonymisierung oder wirksame Verschlüsselungstechnologien. Dabei ist aber stets der Stand der Technik zu berücksichtigen.
Gleichfalls von Bedeutung ist, dass die Datenverarbeitung transparent durchgeführt werden kann. Der Verantwortliche muss das Risiko des Verarbeitungsvorgangs bestimmen können, hierüber Dokumentationen anfertigen sowie Information bereithalten, die bspw. die Einholung einer wirksamen Einwilligung des Fahrzeughalters ermöglichen.
Da die Datenverarbeitung nur zulässig ist, solange die dafür benötigten Daten für einen bestimmten Zweck erforderlich sind, sollten Möglichkeiten implementiert werden, nicht mehr erforderliche Daten zu löschen oder es sollten gar automatisierte Löschroutinen eingeführt werden. Erheben Sensoren im Fahrzeug Daten, die zur Gewährleistung bestimmter Sicherheitsfunktionen während der Fahrt nötig sind, kann es eine Option sein, die Daten bspw. nach jeder Fahrt automatisiert zu löschen.
Das führt u. U. für den Zulieferer auch zu Problemen im Bereich der Produkt- bzw. Produzentenhaftung. Das Produkt könnte als fehlerhaft angesehen werden, wenn es hinter dem gebotenen Sicherheitsstandard zurückbleibt, indem es etwa eine veraltete Verschlüsselungstechnik nutzt. Insofern kann es nötig sein, die technische und wissenschaftliche Entwicklung stets im Blick zu behalten und die Produktion eventuell anzupassen.
Schließlich können Daten für den Zulieferer noch in einem anderen Zusammenhang eine wichtige Rolle spielen. Wenn der Zulieferer die Daten, die von seinem Produkt erhoben und gespeichert werden, selbst nutzen will, um die Funktionsfähigkeit des Produkts zu analysieren und es zu optimieren, stellt sich zum einen die Frage, wem die betreffenden Daten eigentlich gehören und zum anderen, wie dann die Verträge auszugestalten sind, damit eine Nutzung der Daten überhaupt ermöglicht wird.
Das Datenschutzrecht spielt für den Automobilzulieferer also nicht nur bei der eigenen Datenverarbeitung, sondern auch im Bereich der Produktentwicklung eine gewichtige Rolle. Hieraus ergeben sich für die Unternehmen stets im Blick zu behaltende Risiken. Erfüllen Produkte nicht die verbindlichen Datenschutz-Standards, drohen erhebliche wirtschaftliche Einbußen aufgrund der damit verbundenen Absatzhindernisse und Haftungsfolgen.
Automobilzulieferindustrie: Interdisziplinäre Einblicke in die Branche
Johannes Marco Holz
Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU)
Associate Partner
Anfrage senden
Profil
Ein Jahr DSGVO – Lösungen und neue Fragen
