Die Verwendung personenbezogener Daten in der Automobilbranche
Die Mobilität in Deutschland wandelt sich – und das in verschiedener Hinsicht. Zwar bleibt das Auto noch immer Fortbewegungsmittel Nummer eins der Deutschen, aber nicht jeder möchte mehr ein eigenes Auto fahren – Carsharing boomt vor allem in Großstädten. Auch die Technologie in unseren Autos verändert sich und bei den Alternativen im Straßenverkehr kommt man nicht mehr ohne die Weitergabe von personenbezogenen Daten weiter.
Welche Regeln gilt es bei der neuen Mobilität im Datenschutz zu beachten? Welche Fallen können bei Carsharing, Mietwagen und Co. lauern? Mit diesen und mehr Fragen beschäftigen wir uns im Datenschutz-Blog diese Woche.
Datenschutz im Kfz – nicht nur beim Autonomen Fahren
Wer sich in der heutigen Zeit einen PKW kauft, der schaut vermutlich schon lange nicht mehr nur auf Leistung, Preis und Aussehen. Die Digitalisierung spielt mittlerweile auch beim Autokauf eine immer wichtigere Rolle. Sprachassistenten, Playlist, Navigation, Nutzung des Handys und auch die Verbindung mit den privaten Konten bei Google und Co. – all das sollte der Bordcomputer in einem modernen Auto mindestens mitbringen. Die Zeiten als Radio, vorinstalliertes Navi und Einparkhilfe ausreichend waren, sind endgültig vorbei – personalisierte Technik steht an erster Stelle.
Doch je personalisierter ein Bordcomputer ist, je ausgefeilter die Technik, desto mehr Risiken entstehen – nicht zuletzt, weil die IT-Lösungen im Fahrzeug natürlich eins für die Personalisierung benötigen: Daten des Benutzers. Da es sich hierbei eben auch um personenbezogene Daten handelt, ruft das den Datenschutz auf den Plan.
Erst im Februar 2020 kritisierte der ADAC, dass Daten der Betroffenen von Autoherstellern erfasst und verwertet werden. Die im Fahrzeug gesammelten Daten, über die die Fahrzeughersteller verfügen, ließen demnach Schlüsse auf Fahrverhalten zu. Außerdem sei die Weitergabe an Dritte möglich. Zudem kritisierte der ADAC, dass es an gesetzlichen Vorgaben mangele.
Auch wenn der Automobilclub dabei nicht nur den Datenschutz kritisiert, sondern auch in gewisser Weise fehlende Transparenz für freie Werkstätten usw. bemängelt, zeigt dies auch, welche Menge an Daten, beinahe unbemerkt an die Hersteller gelangen. Vermutlich ist das nicht jedem beim Autokauf klar.
Welche Daten sammelt mein Auto?
Grundsätzlich muss man unterscheiden, welche Daten der Betroffene zu welchem Zwecke freigibt. Manche geben wir freiwillig durch die Nutzung von Diensten und Anmeldungen mit unseren privaten Daten frei – auch durch die Vernetzung von Handy und Bordcomputer im Auto. Hierbei gilt es den Datenschutz zu beachten und zu hinterfragen, wie wir es bei jeder Benutzung unserer digitalen Geräte machen. (Lesen Sie dazu auch unseren Artikel zum Datenschutz bei Sprachassistenten).
Es werden aber auch mehr und mehr Daten im Auto erfasst, auf die der Hersteller in irgendeiner Weise zurückgreifen kann und die er auch an Dritte weitergeben kann. Wie immer, wenn personenbezogene Daten erhoben werden, muss hier auch der Datenschutz greifen. Das bedeutet in jedem Fall, dass die Betroffenenrechte gewahrt werden und der Betroffene zu jeder Zeit die Weitergabe einfach und verständlich nachvollziehen kann und dieser eben auch widersprechen kann.
Personenbezogene Daten im Fahrzeug – Was Käufer wissen sollten
Nur ein aufgeklärter Autokäufer kann auf den Umgang mit den eigenen Daten achten und ggf. darauf reagieren. Deswegen möchten wir Ihnen hier einen (stark zusammengefassten) Einblick darin geben, an welche Regeln sich auch die Automobilhersteller halten müssen, wenn es um Datenschutz geht.
Sobald personenbezogene Daten erfasst werden – und dazu gehören auch IP-Adressen oder andere Daten, die Rückschlüsse auf eine natürliche Person zulassen – gelten die Vorgaben der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG). Das bedeutet, dass auch die Automobilhersteller in der Verarbeitung der personenbezogenen Daten beispielsweise folgende Aufgaben zu erfüllen haben:
- Einhaltung der Betroffenenrechte (u.a. Informationspflichten, Recht auf Löschung, Recht auf Vergessenwerden)
- Führen vom Verzeichnis von Verarbeitungstätigkeiten (VVT)
- Durchführung einer Risikoanalyse (Schwellwertanalyse) und Datenschutzfolgenabschätzung
- Festlegen von technisch-organisatorischen Maßnahmen (TOMs), um die Sicherheit der Betroffenendaten zu gewährleisten
- Möglicherweise Verträge zur Auftragsdatenverarbeitung (ADV-Verträge), wenn Daten zur Weiterverarbeitung an externe Anbieter gegeben werden
Laut ADAC wissen im Moment nur die Autohersteller genau, welche Daten wie „erzeugt, verarbeitet, gespeichert und gesendet werden“. Zu den häufigsten übermittelten Daten dürften aber die GPS-Position und gewisse Statusdaten gehören. Aber auch Daten, die Rückschlüsse auf Fahrstil, Nutzungsprofil und sogar die Nutzung der Fahrzeugbeleuchtung geben, können erfasst und verarbeitet werden.
Das zeigt, dass die Datensammlung im Auto, ähnlich zu behandeln sind, wie auch die, die wir bei Sprachassistenten und in Sozialen Medien preisgeben – nämlich mit Vorsicht. Klar ist, dass der persönliche Komfort in einem Auto natürlich nur dann steigen kann, je mehr Daten man von sich ins System einpflegt, allerdings sollte man sich dabei auch immer bewusst machen, dass man in den meisten Fällen auf die Weitergabe zwar einwirken kann, dies aber nicht unbedingt einfach ist. Zu undurchsichtig scheint die Weitergabe der Daten. Das liegt auch daran, dass dem Verbraucher oft gar nicht genau klar ist, wer die Daten verarbeitet, zu viele Komponenten, die unsere Daten erfassen, werden verwendet.
Carsharing, Mietwagen und Co.
Auch wenn nicht mehr jeder in der heutigen Zeit ein eigenes Auto kauft, viele kommen an der gelegentlichen Nutzung von PKW nicht vorbei. Bei der Nutzung von Carsharing oder Mietwagen, kommt neben den oben genannten Weitergaben der Daten an Hersteller oder durch die Nutzung von Handy o.ä. auch noch ein weitere Aspekt der Datenerfassung hinzu. Egal ob wir klassisch schriftlich, über ein Formular im Internet oder immer häufiger auch durch eine App-Lösung ein Auto mieten, hier werden in jedem Fall die personenbezogenen Daten abgerufen und verwendet.
Genau wie in allen anderen Fällen, gelten hier die Regeln im Datenschutz, wenn man einen Anbieter in einem EU-Land wählt. Bei der Nutzung von Anbietern aus dem Nicht-EU-Ausland greift die DS-GVO erst einmal nicht. Achten Sie daher darauf, ob es hier bestimmte Vereinbarungen zum Datenschutz gibt. Eine Datenpanne zu Beginn dieses Jahres bei einer Autovermietung zeigt, dass man den Datenschutz auch hier durchaus überprüfen sollte. Wie Sie mit einer Datenpanne richtig umgehen, lesen Sie hier.
ÖPNV, Mieträder und E-Roller – Apps und Datenschutz
Alternativen zum Auto erfreuen sich gerade in Städten immer größerer Beliebtheit. Wer durch die großen Städte in NRW geht, der sieht an jeder Ecke E-Roller oder Mieträder, die man schnell und einfach über eine App mieten kann. Auch der klassische Öffentliche Nahverkehr spielt in Städten wie Köln, Bonn, Düsseldorf und vermehrt auf dem Land eine große Rolle.
Sogar beim Parken spielen Apps eine immer wichtigere Rolle. Bei der Buchung jeder dieser Leistungen werden in der Regel, spätestens aber bei der Nutzung über eine App, personenbezogene Daten erfasst. Ein ausreichender Datenschutz muss auch hier geprüft werden.
Datenschutz bei der Mobilität im Geschäftsleben
Gerade im Geschäftsleben spielt die Mobilität eine große Rolle. Der Geschäftswagen, Flugreisen, Mietwagen, Carsharing, ÖPNV und auch E-Roller werden für Geschäftsreisen immer wichtiger, um schnell und bequem von A nach B zu kommen. Auch wenn die Buchung des Transportmittels meist durch die Firma erfolgt, die Daten der Mitarbeiter müssen in irgendeiner Form angegeben werden. Sobald personenbezogene Daten des Mitarbeiters verarbeitet werden (dazu gehören dabei ggf. auch E-Mail-Adresse oder Durchwahl), greift der Datenschutz.
Haben Sie sich schon einmal Gedanken gemacht, welche Regeln Sie als Verantwortlicher dabei einhalten müssen, bzw. wie Sie prüfen können, ob der Datenschutz für Sie und Ihren Mitarbeiter gewährleistet ist? Sprechen Sie dazu mit Ihrem (externen) Datenschutzbeauftragten.
Eine Beurteilung des Datenschutzes im Unternehmen spielt auch bei Dienstreisen eine große Rolle und sollte entsprechend von einem Fachmann überprüft werden. Datenschutzberater.NRW kann Ihnen gerne im Zuge einer Datenschutz-Erstberatung, einem Datenschutz-Audit oder bei einer Projektbetreuung eine Einschätzung dazu geben. Unser Team aus Datenschutz, IT-Sicherheit und Steuerrecht stellt einen externen Datenschutzbeauftragten (TÜV) – unterstützt durch eine Datenschutzfachkraft (TÜV). Wir bieten ebenfalls Leistungen aus der GoBD-Beratung und der IT-Sicherheit an.
Mit uns sind bereits Mandanten aus dem Raum Köln, Düsseldorf, Bonn und ganz NRW dabei Ihren Datenschutz stetig zu verbessern und den Vorgaben aus der DS-GVO praxisnah und individuell gerecht zu werden. Wir helfen Ihnen gerne bei der Umsetzung der Aufgaben eines Datenschutzbeauftragten in NRW.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie nicht sicher sind, ob die Abläufe in Ihrem Unternehmen den Richtlinien im Datenschutz entsprechen, senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen in der Umsetzung der DS-GVO.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.