Das selbstfahrende Auto kommt

Nachdem am 30. März 2017 der Bundestag das Gesetz zum Einsatz automatisierter Fahrzeuge beschlossen hat, hat nun auch der Bundesrat am 12. Mai 2017 der damit einhergehenden Änderung des Straßenverkehrsgesetzes („StVG-E“) zugestimmt. Damit wird ein Rechtsrahmen für den zulässigen Einsatz von vollautomatisierten Fahrzeugen im Straßenverkehr aufgestellt. Jörg Kahler, Partner bei der Wirtschaftskanzlei GSK Stockmann, stellt die wesentlichen Neuerungen des Gesetzes zum automatisierten Fahren vor und erläutert, wieso das Regelwerk trotz vieler Unklarheiten mit Blick auf den Datenschutz einen wichtigen Meilenstein für die Zukunft darstellt.

„

Im Kern stellt das neue Gesetz eine rein computergestützte Fahrzeugsteuerung dem menschlichen Fahrer gleich. Nach dem neuen Gesetz ist die Verwendung automatisierter Fahrfunktionen zulässig, wenn das System vom Fahrer jederzeit manuell übersteuert werden kann. Auch darüber hinaus werden die den Fahrer betreffenden Regelungen an dessen veränderte Rolle hinter dem Steuer eines selbstfahrenden Autos angepasst. Zu den wichtigen wesentlichen Neuerungen zählt die Einführung einer „Blackbox“ im Fahrzeug. Diese soll aufzeichnen, wann der Fahrer die automatisierte Fahrzeugsteuerung ein- und ausschaltet und die wesentlichen Daten der Fahrt erfassen. Nach der Gesetzesintention soll diese „Blackbox“ helfen, die Schuldfrage bei Unfällen und ein etwaiges technischen Versagen des Fahrzeugsystems zu klären. Die „Blackbox“-Daten sind im Regelfall nach 6 Monaten zu löschen. Zudem ist aus datenschutzrechtlicher Sicht noch Vieles unklar. Konkrete Regelungen zur Art und Weise der Datenerhebung und -verwendung sowie zur Datensicherung sollen gemäß § 63b StVG-E einer noch zu erlassenden Rechtsverordnung vorbehalten bleiben. Offensichtlich will der Gesetzgeber in einem sehr praktikablen Ansatz die datenschutzrechtlichen Rahmenbedingungen schrittweise mit dem Praxistest konkretisieren.

Verantwortlichkeit für die Daten
Offene Fragen bleiben derzeit im Hinblick auf den konkreten Adressaten, der für die im Zusammenhang mit dem automatisierten System gespeicherten und genutzten Daten verantwortlich ist und damit primär die datenschutzrechtlichen Pflichten erfüllen muss. Zwar fällt der Blick hier vorrangig auf den Hersteller des automatisierten Fahrzeuges. Zu denken ist jedoch auch (mit) an den Softwareprovider, App-Anbieter oder IT-Infrastrukturanbieter. Für den Fahrzeugnutzer wird die jeweils verantwortliche Person in der Regel nicht offensichtlich erkennbar sein. Diese Situation ist bereits im Hinblick auf das Transparenzgebot im Datenschutzrecht sehr unbefriedigend. Gänzlich offen lässt das neue Gesetz zudem, wer für die Datenlöschung verantwortlich sein wird. Der Fahrer bzw. Fahrzeugnutzer muss wissen, an wen er sich wenden kann bzw. soll. Nicht abschließend geklärt ist bislang auch, an welchen konkreten Personenkreis und in welcher konkreten Art und Weise die aufgezeichneten Daten übermittelt werden dürfen.

Nach § 63a Abs. 2 StVG-E müssen die aufgezeichneten Daten an die nach Landesrecht für die Überwachung des Straßenverkehrs zuständigen Behörden auf Verlangen übermittelt werden. Das soll dann der Fall sein, wenn diese Kontrollen durchführen, um zu ermitteln, wie das Fahrzeug gesteuert wurde und ob eine technische Störung des hoch- oder vollautomatisierten Systems aufgetreten ist.

Dritte können dagegen eine Übermittlung der gespeicherten Daten nach § 63a Abs. 3 StVG-E nur verlangen, wenn sie glaubhaft machen können, dass die Daten zur Geltendmachung, Befriedigung oder Abwehr von Rechtsansprüchen im Zusammenhang mit einem Unfall erforderlich sind und das betreffende Fahrzeug an dem Ereignis beteiligt war. Wer sich hinter dem Adressatenkreis des „Dritten“ konkret verbirgt, ist bislang unklar.

Datensparsamkeit und technischer Datenschutz
Die wohl größte Herausforderung aus datenschutzrechtlicher Sicht besteht darin, den Bedarf aus technischer Sicht an dem vorhandenen großen Pool an Daten mit dem Grundsatz der Datensparsamkeit in Einklang zu bringen. Gerade bei den automatisierten Fahrzeugsystemen wird den neu eingeführten technisch-organisatorischen Schutzkonzepten der „Privacy-by-Design“ und „Privacy-by-Default“ nach Art. 25 der ab Mai 2018 geltenden EU-Datenschutzgrundverordnung große Bedeutung zukommen. Hinter „Privacy-by-Design“ steht der Grundgedanke, dass der Schutz der Privatsphäre bereits in allen Stufen der Produktentwicklung technischer Systeme Beachtung finden soll. Danach sollte die automatisierte Fahrzeugsteuerung von Anfang an „datenschutzfreundlich“ programmiert und eingerichtet werden. Der Grundsatz „Privacy-by-Default“ ist auf die datensparsame Voreinstellung von technischen Systemen und vernetzten Diensten ausgerichtet. Diese Voreinstellungen sollen so ausgestaltet sein, dass die Verarbeitung personenbezogener Daten möglichst minimiert wird. Mit anderen Worten: Der Nutzer muss nicht erst manuelle Schritte am System vornehmen, um seine Privatsphäre–Einstellungen zu erreichen. Letztlich sollte der Nutzer möglichst selbstbestimmt über die Verwendung seiner Daten entscheiden können.

Ausblick: Das Gesetz zum automatisierten Fahren ist europaweit das erste Gesetz, das den Einsatz selbstfahrender Autos im Straßenverkehr Wirklichkeit werden lässt. Es ist wichtig und begrüßenswert, dass Deutschland bei diesem bedeutenden Zukunftsthema mit rechtlichen Leitplanken voranschreitet, auch wenn das Gesetzeswerk, insbesondere in Hinblick auf den Datenschutz, noch Vieles offen lässt.

„