Content

Janusch Skubatz, Wenn der Fahrer nicht lenkt – die Datafizierung des Autofahrens als Herausforderung für den Datenschutz in:

Marion Albers, Ioannis Katsivelas (Ed.)

Recht & Netz, page 431 - 456

1. Edition 2018, ISBN print: 978-3-8487-5127-3, ISBN online: 978-3-8452-9328-8, https://doi.org/10.5771/9783845293288-431

Series: Hamburger Schriften zum Medien-, Urheber- und Telekommunikationsrecht, vol. 12

Bibliographic information
431 Wenn der Fahrer nicht lenkt – die Datafizierung des Autofahrens als Herausforderung für den Datenschutz Janusch Skubatz Abstract Automated and autonomous driving is underway to become the next big thing in transportation. Disruptive companies like Google and Uber keep driving the race to production-readiness. Meanwhile, concerns are being raised about the fast-paced evolution of the autonomous machine. Manufacturers find themselves confronted with ethical questions, and legal frameworks of the 20th century were not prepared for the rise of selfdriving cars. This article examines the effects of a recent update of the German Road Traffic Regulations that was meant to pave the way to everyday use of automated vehicles on German roads. After a brief lead-in to the technology behind automated driving and a summary of the legal debate in general, the focus will be on § 63a StVG which has introduced an obligation to event-triggered recording of time-stamped GPS coordinates. The article will explain how the legal regulation impacts the processing of personal data as defined by the GDPR and why an imprecise legislation may slow down the adoption of a promising technology. Finally, the article outlines proposals for solutions that balance the key factors of implementation effort and user-friendliness in a way that serves the declared objective of the law. I. Einleitung Automaten sind aus dem Alltag der industrialisierten Gesellschaften nicht mehr wegzudenken.1 Einen Airbus A340 auf einem Langstreckenflug ____________________ 1 Wagner, Technik autonomer Fahrzeuge - Eine Einführung, in: Oppermann/ Stender-Vorwachs (Hrsg.), Autonomes Fahren: Rechtsfolgen, Rechtsprobleme, technische Grundlagen, 2017, S. 1 (9). Janusch Skubatz 432 steuern die Piloten zwischen 5 und 15 Minuten aktiv,2 meist mehrere Stunden steuert das Flugzeug selbsttätig. In jüngerer Zeit drängt die Automatisierung der automobilen Fortbewegung zunehmend in die öffentliche Diskussion, nicht selten unter der Überschrift autonomes Fahren. Die tragischen Unfälle von PKWs im automatisierten Fahrbetrieb3 und nicht zuletzt die hastig daherkommende Novellierung des StVG4 gaben weitere Impulse. Während Haftungsfragen den öffentlichen Diskurs zu beherrschen scheinen, kristallisierte sich im Gesetzgebungsprozess der Zankapfel an der neuen Pflicht zur Aufzeichnung von Ereignisdaten heraus.5 Jeder Automat ist auf Daten angewiesen. Ein Fahrstuhl ist programmiert auf Stockwerke, die ein Fahrgast anwählen kann. Ein Getränkeautomat verfügt über Daten zu Warenangebot, Preisen, Beschaffenheit von Münzen und kombiniert diese Daten, um seine Funktion auszuführen. Ein »Autopilot« verarbeitet große Mengen von Daten in Echtzeit, um ein Flugzeug, Schiff oder Automobil zu steuern. Überwiegend sind es Sensordaten, die Auskunft zu Lage im Raum, Geschwindigkeit und Umgebung geben und somit die Grundlage für Steuerungsbefehle liefern. Positionsdaten, meist GPS-Koordinaten, werden zur Routenführung benötigt und verarbeitet.6 Eine Speicherung von Positionsangaben schreibt der neue § 63a StVG für teil- und vollautomatisierte Fahrzeuge bei bestimmten Ereignissen vor. Die Personenbeziehbarkeit7 dieser Daten lässt Fragen nach Notwendigkeit und Ausmaß der Aufzeichnungspflicht aufkommen. Diesen Fragen widmet sich der Artikel und erarbeitet den Rahmen, den eine Rechtsverord- ____________________ 2 Schuivens, Die historische Entwicklung der Cockpit-Instrumentierungen von Verkehrsflugzeugen, 2015, S. 4. 3 A Tragic Loss, Tesla Blog v. 30.06.2016, abrufbar unter https://www.tesla.com/blog/tragic-loss, Abruf am 19.12.2017. Frau stirbt bei Unfall mit autonomem Auto von Uber, SZ.de v. 19.03.2018, abrufbar unter http://www.sueddeutsche.de/wirtschaft/technologie-frau-stirbt-bei-unfall-mitautonomen-auto-von-uber-1.3913351, Abruf am 23.03.2018. 4 Das Gesetz war gem. Art. 76 Abs. 2 S. 4 GG als besonders eilbedürftig gekennzeichnet, Bundesregierung, Entwurf eines Gesetzes zur Änderung des Straßenverkehrsgesetzes, BR-Drucks. 69/17, S. 5. 5 S. Stellungnahme des Bundesrates und Gegenäußerung der Bundesregierung, BT-Drucks. 18/11534, S. 6 ff. und S. 15 ff. 6 Ausf. Wagner (Fn. 1), S. 19 ff. 7 Forgó, Datenschutzrechtliche Fragestellungen des autonomen Fahrens, in: Oppermann/Stender-Vorwachs (Fn. 1), S. 157 (162). Datafizierung des Autofahrens 433 nung gem. § 63b StVG ausfüllen sollte, um einerseits handhabbar zu bleiben und andererseits rechtlichen Anforderungen Rechnung zu tragen. II. Von Automaten und Autonomen – ein Einblick in die Technik Die Bundesregierung sieht in der Novellierung des StVG nicht weniger als »das modernste Straßenverkehrsgesetz der Welt«8 und betont gleichzeitig, dass dieses Gesetz nur das automatisierte, nicht aber das autonome Fahren zum Gegenstand habe. Wo hört Automatisierung auf und wo fängt Autonomie an? 1. Automatisiertes System Maschinen, die selbstständig eine Aufgabe ausführen können, bezeichnet man als Automaten.9 Dabei ist der Begriff nicht auf die Implementierung oder Funktionsweise an sich beschränkt. Entscheidend ist, dass ein menschlicher Eingriff nicht notwendig ist, um die einmal in Gang gesetzte, programmierte Aufgabe durchzuführen. Sobald die Maschine betriebsbereit ist, gibt der Mensch lediglich den Befehl, dass – oder welche – Aufgabe ausgeführt werden soll, zum Beispiel welchen Schokoriegel er am Automaten kaufen möchte. Der Automat überwacht den Geldeinwurf, prüft Münzen und Geldscheine, rechnet und gibt Ware samt Rückgeld aus. Vergleicht man Snack-Automaten, den Fahrstuhl und ein automatisiertes Fahrzeug, wird deutlich, dass Automatisierung höchst unterschiedliche Komplexitätsgrade aufweisen kann. Beim Blick auf den Alltag im Hamburger Containerhafen Altenwerder scheint das selbstfahrende Straßenfahrzeug zum Greifen nah. Auf einer Fläche von einem Quadratkilometer bewerkstelligen 100 automatisch geführte Fahrzeuge (Automated Guided Vehicle AGV) führerlos den Transport von Containern, selbsttätiges Betanken inklusive.10 Eine genauere Betrachtung offenbart, dass auf dem Gelände optimale Bedingungen herr- ____________________ 8 Müller, Hochautomatisierung jetzt, Vollautonomisierung später?, InTer 2017, 61 (61). 9 Von griechisch autómatos = sich selbst bewegend. 10 Wie von Geisterhand: so funktioniert CTA, Webseite der HHLA Hamburger Hafen und Logistik AG, abrufbar unter https://hhla.de/de/container/ altenwerder-cta/so-funktioniert-cta.html, Abruf am 20.12.2017. Janusch Skubatz 434 schen. Alle Fahrzeuge sind untereinander und mit der Zentrale vernetzt, die Streckenführung erfolgt punktgenau über ein elektronisches Leitsystem in den Fahrbahnen. Man spricht insoweit vom vernetzten Fahren oder connected driving; die Führung der Fahrzeuge erfolgt durch Datenaustausch mit der Infrastruktur. Vor allem aber bleibt für Überraschungen, Spontaneität und menschliche Fehler kein Raum: Personen haben keinen Zutritt zum abgesperrten Areal. Widrige Verkehrsverhältnisse, unbekannte Hindernisse oder spielende Kinder kommen nicht vor. Das ist im öffentlichen Straßenverkehr anders. 2. Automatisiertes Fahrzeug oder autonomes Fahren? Manches Mal werden die Pferde einen Kutscher sicher nach Hause gebracht haben, auch wenn er nicht mehr voll fahrtauglich war, oder sie überführten zumindest das Fuhrwerk in einen »sicheren Zustand«, indem sie sich am Gras des Wegesrandes gütlich taten. Das autonome Automobil will dem Fahrzeug seine verloren gegangene Autonomie zurückgeben, ja die historische Form noch weit übertreffen.11 Der Begriff »autonomes Fahren« hat sich in den Medien eingebürgert, wenn es um Fahrzeuge geht, bei denen ein menschlicher Fahrer in die Lenkaufgabe nicht mehr eingreifen muss – oder kann. Selbsttätig fahrende Fahrzeuge sind in vielerlei Hinsicht attraktiv. Sie entlasten den Menschen von Routineaufgaben und ermöglichen Individualverkehr für Personen, die selbst nicht in der Lage sind, ein Fahrzeug zu führen, etwa aufgrund körperlicher Einschränkungen. Automaten fahren nicht vorsätzlich zu schnell und niemals unter der Wirkung von Alkohol, anderer Drogen oder Emotionen, die Einfluss nehmen könnten auf Fahrweise und Risikobereitschaft. Erklärtes Ziel der Automatisierung ist die Verbesserung der Sicherheit und Leichtigkeit des Verkehrs.12 Die Spielarten dieser unbeaufsichtigten Mobilität sind allerdings variantenreich. Das Beispiel Containerhafen zeigt, dass Unterschiede zwischen automatisierten, vernetzten oder autonomen Fahren nicht offensichtlich sind. Häufig wird automatisiertes und vernetztes Fahren (AVF) in einem Atemzug genannt. Die Grenzen scheinen fließend und nicht immer sind Exper- ____________________ 11 Maurer, Einleitung, in: Maurer/Gerdes/Lenz/Winner (Hrsg.), Autonomes Fahren. Technische, rechtliche und gesellschaftliche Aspekte, 2015, S. 1 (2). 12 Stellungnahme des Bundesrates und Gegenäußerung der Bundesregierung, BT- Drucks. 18/11534, S. 13. Datafizierung des Autofahrens 435 ten bei der Begriffsbestimmung einig.13 Eine Einordnung nach dem Grad der Automatisierung unterstützen Normen wie SAE J3016. Der internationale Automobilingenieurverband SAE International beschreibt sechs Stufen (Level) des automatisierten Fahrens, von null (keinerlei Automatisierung) bis fünf (vollständige Automatisierung).14 Teilweise wird noch eine fünfstufige Einteilung der BASt15 aus dem Jahr 2012 zitiert, die auch vom Runden Tisch adaptiert wurde, auf dessen Festlegungen die Gesetzgebung Bezug nimmt. Die unteren Stufen null bis drei sind in den Einteilungen inhaltlich deckungsgleich, gleichwohl könnten Irritationen durch abweichende Nomenklaturen auftreten. Den zentralen Begriffen des Gesetzgebungsverfahrens, Hoch- und Vollautomatisierung, weisen die Normen unterschiedliche Automatisierungsgrade zu. Die Einteilung gem. SAE J3016 vom September 2016 entspricht dem Stand von Wissenschaft und Technik,16 wurde inzwischen vom VDA übernommen und liegt auch dem Bericht der Ethik- Kommission zugrunde.17 Im Folgenden zeigt der Artikel die Unterschiede auf und hält sich im Übrigen an die SAE-Einteilung der Level 0 bis 5. ____________________ 13 Maurer (Fn. 11), S. 3. 14 SAE ON-ROAD AUTOMATED VEHICLE STANDARDS COMMITTEE, Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles, S. 19 ff. 15 Gasser et al., Rechtsfolgen zunehmender Fahrzeugautomatisierung in: Berichte der Bundesanstalt für Straßenwesen 11/12, 2012, Heft F83. 16 Wagner (Fn. 1), S. 15. 17 BMVI - Bericht der Ethik-Kommission zum automatisierten Fahren, S. 14. Janusch Skubatz 436 a) Fahrerassistenz Automatisierung des Level 1 umfasst Assistenzsysteme mit spezifischen Aufgaben, bspw. Bremsassistenten, Abstandsregelung, Tempomat oder Spurhaltehilfen. Das Assistenzsystem kann entweder die Längsführung (Beschleunigen/Bremsen) oder die Querführung (Lenkaufgaben) unterstützen, nicht beides gleichzeitig; der Fahrer ist dauerhaft mit mindestens einem der Führungsvektoren befasst. Eine Stufe höher arbeiten »Autopiloten«, die seit einiger Zeit in Serienfahrzeugen anzutreffen sind, wie jener zu trauriger Berühmtheit gelangte Autopilot von Tesla.18 Diese Systeme des Level 2 können unter engen Voraussetzungen kurzzeitig die vollständige Steuerung des Fahrzeugs in Längs- und Querrichtung bei einfacher und übersichtlicher Straßenführung übernehmen, während die Fahrzeugkontrolle grundsätzlich dem Fahrer obliegt. ____________________ 18 Mit einem Tesla Automobil verunfallte der Fahrer tödlich, als das Fahrzeug im sog. »Autopilot« Modus einen LKW-Auflieger nicht als solchen erkannte und es zur Kollision kam. Abbildung 1: The journey to High and Full automation. (Quelle: CEDR Transnational Road Research Programme, Call 2014) Datafizierung des Autofahrens 437 b) Automatisiertes Fahren Die Novelle des StVG adressiert die nächsthöhere Evolutionsstufe Level 3. Auch hier muss ein Fahrer anwesend sein und jederzeit eingreifen können, denn das Fahrzeug untersucht permanent seine Umgebung und die eigenen Systeme und fordert den Fahrer zur Übernahme der Kontrolle auf, sobald es Parameter identifiziert, die außerhalb der Spezifikation liegen. Im Gesetz ist zwar durchgängig von »hoch- oder vollautomatisierter Fahrfunktion« die Rede. Die Legaldefinition in § 1a Abs. 2 S. 1 StVG Kraftfahrzeuge mit hoch- oder vollautomatisierter Fahrfunktion im Sinne dieses Gesetzes sind solche, die über eine technische Ausrüstung verfügen, 1. die zur Bewältigung der Fahraufgabe – einschließlich Längs- und Querführung – das jeweilige Kraftfahrzeug nach Aktivierung steuern (Fahrzeugsteuerung) kann, 2. die in der Lage ist, während der hoch- oder vollautomatisierten Fahrzeugsteuerung den an die Fahrzeugführung gerichteten Verkehrsvorschriften zu entsprechen, 3. die jederzeit durch den Fahrzeugführer manuell übersteuerbar oder deaktivierbar ist, 4. die die Erforderlichkeit der eigenhändigen Fahrzeugsteuerung durch den Fahrzeugführer erkennen kann, 5. die dem Fahrzeugführer das Erfordernis der eigenhändigen Fahrzeugsteuerung mit ausreichender Zeitreserve vor der Abgabe der Fahrzeugsteuerung an den Fahrzeugführer optisch, akustisch, taktil oder sonst wahrnehmbar anzeigen kann und 6. die auf eine der Systembeschreibung zuwiderlaufende Verwendung hinweist. bildet jedoch die Technik des Level 3 ab. Schon nach der überholten BASt-Einteilung wäre davon nur »hochautomatisiert« umfasst, nicht jedoch »vollautomatisiert«. Der Klarheit halber bedient sich dieser Artikel, in Anlehnung an SAE J3016, der Bezeichnung »bedingte Automatisierung«, wenn von einem Automatisierungsgrad de lege lata die Rede ist. Diese Nomenklatur erscheint sachgerechter, denn die Nutzung der Automatisierungsfunktionen ist an Bedingungen geknüpft, die eine Kontroll- übernahme durch den menschlichen Fahrer – nicht nur rechtlich, sondern auch technisch – zwingend vorsehen. Die SAE spricht insoweit von der Funktion eines »fallback-ready user«. § 1b Abs. 2 StVG macht diese Funktion zur Pflicht: (1) Der Fahrzeugführer darf sich während der Fahrzeugführung mittels hoch- oder vollautomatisierter Fahrfunktionen gemäß § 1a vom Verkehrsgeschehen und der Janusch Skubatz 438 Fahrzeugsteuerung abwenden; dabei muss er derart wahrnehmungsbereit bleiben, dass er seiner Pflicht nach Absatz 2 jederzeit nachkommen kann. (2) Der Fahrzeugführer ist verpflichtet, die Fahrzeugsteuerung unverzüglich wieder zu übernehmen, 1. wenn das hoch- oder vollautomatisierte System ihn dazu auffordert oder 2. wenn er erkennt oder auf Grund offensichtlicher Umstände erkennen muss, dass die Voraussetzungen für eine bestimmungsgemäße Verwendung der hoch- oder vollautomatisierten Fahrfunktionen nicht mehr vorliegen. Systeme, die auf einen »fallback-ready user« angewiesen sind, werden von einigen als nicht sicher eingestuft.19 Vertreten wird ferner, dass die Gefahr eines steuerungslosen Zustands, wie sie erst durch Automatisierungsfunktionen des Level 3 entsteht, zulassungs- und produkthaftungsrechtlich nicht hinnehmbar ist.20 Kritik ist durchaus angebracht, denn was geschieht in dem Fall, in dem die Übernahme fehlschlägt? Wenn es dem Fahrer erlaubt ist, sich vom Verkehrsgeschehen abzuwenden (§ 1b Abs. 1 StVG), wie soll er dann erkennen können, ob die Grenzen des Systems erreicht sind (§ 1b Nr. 2 StVG)? Studien haben gezeigt, dass Menschen dazu neigen, sich stark ablenkenden Tätigkeiten zuzuwenden, sobald sie eine automatisierte Fahrfunktion nutzen. Der geistige Vater des Gesetzes demonstriert dies eindrucksvoll anlässlich eines Pressetermins.21 Solches Verhalten ist nur zu verständlich, denn wo läge der Nutzen einer Fahrautomatik, wenn nicht gerade darin, Ressourcen wie Zeit und Konzentration anderweitig nutzbar zu machen? Doch selbst wenn Fahrer mit dem Verkehrsgeschehen im Sinne einer Überwachungsaufgabe befasst sind, lässt die Fähigkeit, relevante Veränderungen der Umwelt zu erkennen und darauf richtig zu reagieren, innerhalb kurzer Zeit nach.22 Eine Übernahmeaufforderung durch das System (§ 1b Nr. 1 StVG) bedarf daher einer Vorlaufzeit, weil der Fahrer sich zunächst orientieren muss. Das Ge- ____________________ 19 Vollrath, Motivationale und psychophysische Leistungsgrenzen im Rahmen der Überwachung von Kontrollelementen (Vigilanzaufgabe) zur Durchführung einer teilautomatisierten Fahraufgabe. Gutachten im Auftrag des ADAC e.V., TU Braunschweig, 2015, S. 8. 20 Arzt/Ruth-Schumacher, Überführen hoch- oder vollautomatisierter Fahrzeuge in den »risikominimalen Zustand«, RAW 2017, 89 (98). 21 Antenne Bayern, Automatisiertes Autofahren: Die Testfahrt mit Alexander Dobrindt, abrufbar unter http://www.antenne.de/programm/sendungen/gutenmorgen-bayern/mit-alexander-dobrindt-unterwegs-im-selbstfahrenden-auto, Abruf am 20.12.2017. 22 Vollrath (Fn. 19), S. 5. Datafizierung des Autofahrens 439 setz verlangt in § 1a Abs. 2 Nr. 5 StVG eine Aufforderung mit »ausreichender Zeitreserve«, ohne den Begriff zu definieren. Wie aber sollen plötzlich auftretende Veränderungen der Fahrsituation, die zu einer Überforderung der Automatik führen, mit Zeitreserve anzukündigen sein? Im Hinblick auf Systemfehler ist zu bemerken, dass bis heute kein Computer in der Lage ist, zuverlässig und rechtzeitig seinen bevorstehenden Ausfall zu signalisieren.23 Das könnte zu der paradoxen Situation führen, dass durch Automatisierungsfunktionen des Level 3 die Unfallquote ansteigt, wenn der Fahrer sich als unzuverlässige Rückfalloption erweist.24 Für Menschen mit körperlichen Einschränkungen, die ein herkömmliches Auto nicht bewegen können, setzt automatisiertes Fahren ohnehin voraus, dass ein Eingreifen in die Fahraufgabe zu keinem Zeitpunkt notwendig ist. Volvo will ausschließlich Fahrzeuge in Verkehr bringen, die ein automatisiertes Fallback einleiten, d. h. das Fahrzeug überführt sich bei Erreichen der Systemgrenze oder im Fehlerfall selbsttätig in einen risikominimalen Zustand, unabhängig von einem menschlichen Eingriff.25 In aller Regel wird darunter zu verstehen sein, der Verkehrssituation angepasst abzubremsen und auf einer geeigneten Fläche, z.B. Pannenstreifen, zum Stillstand zu kommen.26 Automatisiertes Fallback ohne Fahrereingriff ist das Abgrenzungsmerkmal des Automatisierungslevel 4 gegenüber Level 3. Der Gesetzgeber könnte in den neuen Regelungen des StVG die Linie verfolgen, die menschliche Rückfallebene auch für höhere Automatisierungsgrade vorzuschreiben, also eine rechtliche Pflicht auch dort vorzusehen, wo die Technik auf menschliches Eingreifen nicht mehr angewiesen wäre. Ob ein solcher Ansatz geeignet ist, Deutschland zum Leitmarkt für automatisierte Mobilität zu machen,27 darf angesichts der Unzuverlässigkeit des »fallback-ready user« bezweifelt werden.28 ____________________ 23 Klumpp, DIVSI Studie Digitalisierte urbane Mobilität - Datengelenkter Verkehr zwischen Erwartung und Realität, 2016, S. 59. 24 Vollrath (Fn. 19), S. 9. 25 Golson, Volvo autonomous car engineer calls Tesla’s Autopilot a ‘wannabe’, The Verge v. 27.04.2016, abrufbar unter https://www.theverge.com/2016/4/27/ 11518826/volvo-tesla-autopilot-autonomous-self-driving-car, Abruf am 12.12. 2017. 26 Vgl. Arzt/Ruth-Schumacher (Fn. 20), 91. 27 Vgl. BMVI - Strategie automatisiertes und vernetztes Fahren v. 20.11.2015, abrufbar unter http://www.bmvi.de/SharedDocs/DE/Publikationen/DG/ broschuere-strategie-automatisiertes-vernetztes-fahren.html, Abruf am 26.4. 2018. 28 Vollrath (Fn. 19), S. 8, bezeichnet diesen Ansatz als »Scheinlösung«. Janusch Skubatz 440 c) Autonomes Fahren Wenn der Gesetzgeber vom autonomen Fahren spricht, in Abgrenzung zu vollautomatisiertem Fahren, ist wohl der Übergang von Level 4 zu Level 5 gemeint. Gemeinsam ist beiden Automatisierungsgraden die Fehlertoleranz, also die Fähigkeit, sämtliche Fahrfunktionen ohne Anwesenheit eines »fallback-ready user« auszuführen. Lässt sich eine Automatik des Level 4 innerhalb herstellerspezifischer Parameter betreiben (driving-mode specific performance), beherrscht ein Level-5-Fahrzeug sämtliche Fahrsituationen, die von einem menschlichen Fahrer bewältigt werden können (full-time performance). Der Unterschied wird am Beispiel besser greifbar. So könnte ein Fahrzeug mit Level 4 auf den Markt kommen, welches alle Fahrsituationen beherrscht, mit Ausnahme von mehrspurigen Kreisverkehren und Fahren bei akutem Schneefall. Bei Erreichen der Systemgrenze würde das Fahrzeug dem Fahrer die Übernahme anbieten (soft fallback); wenn die Reaktion ausbleibt überführt es sich selbsttätig in den risikominimalen Zustand. Ein Fahrzeug mit Level 5 kennt Systemgrenzen dieser Art nicht. Es versetzt sich nur dann in den risikominimalen Zustand, aka Stillstand, wenn auch ein menschlicher Fahrer dies tun würde bzw. müsste, bspw. nach einem Reifenplatzer oder wenn die Wetterbedingungen eine Weiterfahrt absolut nicht zulassen. Im Umkehrschluss: verweigert ein Level-5-Fahrzeug den automatisierten Dienst, darf es, außer im Falle eines Systemfehlers, überhaupt nicht bewegt werden; die Sensorik objektiviert eine von niemand zu beherrschende Fahrsituation. Die manuelle Weiterfahrt dürfte bei dieser Sachlage grob fahrlässig sein. Allerdings liegen derzeit keine verlässlichen Erkenntnisse über die menschliche Leistungsfähigkeit zur Fahrzeugführung vor,29 sodass auf dem Weg zu Level 5 noch einige Hürden zu nehmen sind. 3. Automatisiertes und autonomes Fahren in der Verkehrspraxis Ein Problem des automatisierten Fahrens im Verkehr ist ersichtlich noch nicht gelöst. Die Interaktion mit anderen Verkehrsteilnehmern kann nicht allein auf die geschriebenen Regeln gestützt werden; vieles funktioniert ____________________ 29 Gasser et al., Bericht zum Forschungsbedarf, Runder Tisch Automatisiertes Fahren – AG Forschung, 2015, S. 12. Datafizierung des Autofahrens 441 über eine nonverbale Kommunikationsebene der Verkehrsteilnehmer.30 Durchfahren von Engstellen, Reißverschlussverfahren oder Durchwinken eines Fußgängers: in diesen und ähnlichen Situationen verständigen sich die Akteure über Blickkontakt und Gesten. Wie kann ein automatisiertes Fahrzeug diese Kommunikation aufnehmen oder sich selbst verständlich machen? Vor ähnliche Herausforderungen gestellt sehen sich automatisierte Fahrzeuge im Falle einer manuellen Verkehrsregelung durch Polizisten oder beim Erkennen von Richtungsanzeigen eines Fahrradfahrers. Fraglich ist auch, wie ein autonom fahrendes Fahrzeug für eine Verkehrskontrolle sicher angehalten werden kann.31 Kulturelle Unterschiede bereiten ein weiteres Problemfeld.32 Die meisten automatisch gefahrenen Test- und Lernkilometer sind in den USA zurückgelegt, beschränkt auf wenige Städte und Regionen. Lerndaten und Ergebnisse lassen sich nur mit Einschränkungen auf andere Orte übertragen. Aus eigener Beobachtung sind Verkehrsverhältnisse zum Beispiel in Iran oder Sri Lanka völlig andere. Reguläre Fahrspuren werden oft von mehreren Fahrzeugen parallel befahren, Verkehrsregeln durch Hup- und Lichtsignale substituiert oder ergänzt. Aber auch in Europa sind Fahrgewohnheiten durchaus nicht einheitlich. Wer mit dem Auto Italien von Norden nach Süden durchquert, wird möglicherweise erfahren, dass im Verlauf der Fahrt manch gelernte Verkehrsregel zur unverbindlichen Handlungsempfehlung verkommt. III. Rahmenprogramm - rechtliche Herausforderungen des automatisierten Fahrens im Überblick Neben technischen Herausforderungen wirft automatisiertes und autonomes Fahren eine Reihe gesellschaftlicher, ethischer und rechtlicher Fragen auf. Bevor der Artikel sich den Datenaufzeichnungspflichten widmet, soll ein Überblick über die wesentlichen Rechtsfragen einer ersten Orientierung dienen. ____________________ 30 Färber, Kommunikationsprobleme zwischen autonomen Fahrzeugen und menschlichen Fahrern, in: Maurer/Gerdes/Lenz/Winner (Fn. 11), S. 127 (129 ff.). 31 Stender-Vorwachs/Steege, Das Aus für Autonomes Fahren?, NZV 2017, 553 (555). 32 Färber (Fn. 30), S. 139. Janusch Skubatz 442 1. Algorithmen im Recht Was tun, wenn ein Kind hinter dem parkenden Auto hervorspringt während der Gegenverkehr kein Ausweichen zulässt? Solche und ähnliche Dilemmata löst der Mensch intuitiv, spontan und implizit; ohne allgemeinverbindliche Regel. Wie aber soll der Programmierer die Entscheidungsvektoren programmieren? Es geht darum, wie die Maschine im Fall einer unausweichlichen Kollision entscheiden soll, insbesondere wenn in jedem Fall Menschen zu Schaden kommen oder jedenfalls gefährdet sind. Das Recht kann diese Aufgabe nicht lösen. Es ist eine gesamtgesellschaftliche Herausforderung, Leitplanken zu benennen, innerhalb derer sich Algorithmen zu bewegen haben. Hierzu hat die Ethik-Kommission »Automatisiertes und vernetztes Fahren« im Juni 2017 ihren Bericht vorgelegt.33 2. Zulassung Der Zulassung automatisierter Fahrzeuge stand zunächst das Wiener Verkehrsrechtsübereinkommen von 1948 entgegen. Inzwischen ist das Abkommen geändert und der Weg frei für die Unterzeichnerstaaten, entsprechende Zulassungsvorschriften zu erlassen. In Deutschland schuf die StVG-Novelle den Rahmen für die Zulässigkeit entsprechender Technologien. Einzelfragen indes blieben ungeklärt, wie diejenige, ob ein automatisierter Fallback zur Vermeidung steuerungsloser Zustände Zulassungsvoraussetzung sein soll.34 3. Haftung Wie geht die Rechtsordnung mit Handlungen um, die von einem Rechtsobjekt vorgenommen werden und die rechtserheblich wären, wenn sie von einem Rechtssubjekt vorgenommen worden wären? Diese Kernfrage des autonomen, aber auch schon des automatisierten Fahrens, zeigt auf das Problem, welches die Rechtswissenschaft augenscheinlich am stärksten ____________________ 33 BMVI - Bericht der Ethik-Kommission »Automatisiertes und vernetztes Fahren« v. 20.06.2017, abrufbar unter http://www.bmvi.de/SharedDocs/DE/ Publikationen/DG/bericht-der-ethik-kommission.pdf?__blob=publication File, Abruf am 26.4.2018. 34 Arzt/Ruth-Schumacher (Fn. 20), 90. Datafizierung des Autofahrens 443 beschäftigt.35 Wer haftet, wenn ein Fahrzeug im automatisierten Modus einen Unfall verursacht? Von einer proportional zum Automatisierungsgrad gestalteten Verschiebung der Haftung weg vom Halter hin zum Produzenten bis hin zur Schaffung eines neuen Rechtssubjektes »ePerson« reichen die Vorschläge.36 Der Gesetzgeber hält am vorhandenen Haftungsregime fest. Es bleibt bei dem Doppel aus Gefährdungshaftung des Halters gem. § 7 StVG und Verschuldenshaftung des Fahrzeugführers aus § 18 StVG. Allerdings sind die Haftungshöchstbeträge gemäß § 12 Abs. 1 StVG verdoppelt worden für den Fall, dass die automatisierte Fahrfunktion den Unfall verursacht. Hieran wird zu Recht kritisiert, dass es für den Geschädigten keinen Unterschied machen kann, ob Mensch oder Maschine die Kontrolle über das Fahrzeug hatte.37 Anders gesagt: mit welcher Begründung soll der Geschädigte eines Automaten bessergestellt sein als derselbe Geschädigte in einem Fall, in dem ein Mensch die Fahrzeugkontrolle innegehabt hätte? Ungeachtet etwaiger gesetzlicher Verantwortlichkeit aus Produzentenhaftung wollen einige Hersteller ganz selbstverständlich jede Haftung übernehmen für Schäden, die durch Nutzung ihrer Technologie entstehen.38 Schon kommen erste Stimmen zu dem Schluss, dass die politisch- ____________________ 35 Kluge/Müller, Autonome Systeme – Überlegungen zur Forderung nach einer »Roboterhaftung«, DSRITB 2016, 989; von Bodungen/Hoffmann, Autonomes Fahren – Haftungsverschiebung entlang der Supply Chain? (1. Teil), NZV 2016, 449 (449 ff.); dies., Belgien und Schweden schlagen vor: Das Fahrsystem soll Fahrer werden!, NZV 2015, 521 (521 ff.); Wendehorst, Die Digitalisierung und das BGB, NJW 2016, 2609 (2609 ff.); Lohmann, Ein europäisches Roboterrecht – überfällig oder überflüssig?, ZRP 2017, 168 (168 ff.); Raue, Haftung für unsichere Software, NJW 2017, 1841 (1841 ff.); Huber, Anhebung der Haftungshöchstbeträge bei teilautomatisiertem Fahren in § 12 StVG ohne Anpassung der Mindestdeckungssumme der Kfz-Haftpflichtversicherung, NZV 2017, 545 (545 ff.); Ladeur, Entspricht das Technikrecht dem »Stand von Wissenschaft und Technik«?, InTer 2015, 186 (186 ff.); Sander/Hollering, Strafrechtliche Verantwortlichkeit im Zusammenhang mit automatisiertem Fahren, NZSt 2017, 193 (193 ff.). 36 Wendehorst (Fn. 35), 2609 m. w. N. 37 BT-Drucks. 18/11534: Stellungnahme des Bundesrates und Gegenäußerung der Bundesregierung, S. 534. 38 Simonite, Google: Our Robot Cars Are Better Drivers Than Puny Humans, MIT Technology Review v. 25.10.2013, abrufbar unter https://www.techno logyreview.com/s/520746/data-shows-googles-robot-cars-are-smoother-saferdrivers-than-you-or-i/, Abruf am 27.12.2017; Volvo Cars responsible for the actions of its self driving cars, Volvo Webseite v. 20.10.2015, abrufbar unter https://www.volvocars.com/intl/about/our-innovation-brands/intellisafe/auto Janusch Skubatz 444 wissenschaftliche Diskussion womöglich an der Realität in Markt und Technik vorbeigeht.39 Am Ende wird wohl die Versicherung des Halters mit der Versicherung des Herstellers ausmachen, wer den Schaden zu tragen hat. 4. Datenschutz Im Jahr 2013 erzeugte ein Serienfahrzeug der Mittelklasse nach Herstellerangaben eine Datenmenge von 25 Gigabyte pro Stunde.40 Für automatisierte Fahrzeuge wird mit Datenmengen von 300 Gigabyte pro Stunde gerechnet.41 Soweit Daten gespeichert werden, ist im Hinblick auf die Anwendbarkeit des Datenschutzregimes im Einzelnen zu prüfen, ob solche Daten mit vernünftigem Aufwand einer Person zugeordnet werden können.42 Vernetzung zum Datenaustausch mit Infrastrukturkomponenten (Vehicle-to-Infrastructure V2I) sowie anderen Fahrzeugen (Vehicle-to-Vehicle V2V)43 kann die Fahrautomatik unterstützen und sicherer machen. Wenn die Ampel ein grünes Signal funkt und der vorausfahrende Wagen einen Rundruf aussendet, dass er sich in Bewegung setzt, kann das automatisierte und vernetzte Fahrzeug mit gesicherten Daten arbeiten. Das verringert nicht nur den Rechenaufwand zur Auswertung eigener Sensordaten. Es senkt auch die Wahrscheinlichkeit für Fehlinterpretationen oder fehlerhafte Daten, wie sie zum Beispiel durch nachteilige Witterung oder verschmutzte Sensoren vorkommen können. Die Streckenführung in komple- ____________________ nomous-driving/news/2015/volvo-cars-responsible-for-the-actions-of-its-selfdriving-cars, Abruf am 26.12.2017. 39 Müller (Fn. 8), 61. 40 Goppelt, Das digitale Auto: Elektronikinnovationen bei Ford, heise Autos v. 02.01.2013, abrufbar unter http://www.heise.de/autos/artikel/Das-digitale- Auto-Elektronikinnovationen-bei-Ford-1775937.html, Abruf am 20.12.2017. 41 Lüdemann, Connected Cars - Das vernetzte Auto nimmt Fahrt auf, der Datenschutz bleibt zurück, ZD 2015, 247 (249). 42 Brink/Eckhardt, Wann ist ein Datum ein personenbezogenes Datum? Anwendungsbereich des Datenschutzrechts, ZD 2015, 205 (211); EuGH, Urt. v. 19.10.2016 - C-582/14 - Adressen beim Besuch einer Internetseite, 842. 43 Teilweise finden sich die Bezeichnungen C2C/C2I für Car-to-Car/Car-to- Infrastructure, ohne dass damit ein inhaltlicher Unterschied verbunden wäre. Die Gesamtheit dieser Protokolle wird unter dem Akronym V2X bzw. C2X zusammengefasst, wobei X für »anything« (engl.: irgend etwas) steht. Datafizierung des Autofahrens 445 xen Tunneln mit mehreren Fahrspuren und Ausfahrten kann durch V2I Protokolle effektive Unterstützung finden, wenn GPS-Empfang schwierig oder unmöglich ist. Mobilitätskonzepte wie das Platooning, also eine Kolonnenfahrt, bei der das Führungsfahrzeug nachfolgende Fahrzeuge steuert, sodass diese vollautomatisch folgen,44 sind erst durch V2V- Kommunikation möglich. Hersteller verweisen gern darauf, es gehe um »rein technische Daten«, die keinerlei Informationen mit Personenbezug enthalten und somit datenschutzrechtlichen Vorschriften nicht unterliegen. Dies ist sicher für eine Vielzahl von Sensor- und Steuerungsdaten richtig.45 Einige Fahrzeugdaten indes lassen sich einer Person zuordnen, sodass eine Einzelfallbetrachtung erfolgen muss.46 IV. Wer fährt? Eine datenschutzrechtliche Betrachtung Die Speicherung von Positionsdaten samt Zeitstempel schreibt der neu eingeführte § 63a StVG vor. Über das Fahrzeug lassen sich die Positionsdaten auf jeden Fall einem Fahrzeughalter zuordnen, sodass es sich um personenbezogene Daten handelt.47 Durch die Zeitangabe kann der Halter den tatsächlichen Nutzer identifizieren. Wird ein Fahrtenbuch geführt, kann im Grunde jedermann die Standortdaten einer bestimmten Person zuordnen. Es liegt auf der Hand, dass hieraus Bewegungsprofile erstellt werden könnten. Aber auch Angaben zum Fahrstil lassen sich ableiten, etwa durch Errechnung der Durchschnittsgeschwindigkeit aus der verstrichenen Zeit zwischen zwei Wegpunkten. Die Datenaufzeichnungspflichten in § 63a StVG hat der Gesetzgeber bewusst lückenhaft ausgestaltet48 und wesentliche Fragen einer Rechtsverordnung des Bundesverkehrsministeriums vorbehalten, zu der § 63b StVG ermächtigt. Zur Rechtfertigung wird auf die Dynamik der Entwicklung im technischen wie rechtlichen Umfeld des automatisierten Fahrens und auf noch ausstehende »internationale Vorschriften« verwiesen. Die Regelung ist umstritten. Der Bundesrat hatte Regelungslücken ____________________ 44 Reiter/Methner, Datenschutz im Fahrzeug, InTer 2015, 29 (31). 45 Vgl. Weichert, Der Personenbezug von Kfz-Daten, NZV 2017, 507 (511). 46 Forgó (Fn. 7), S. 160 ff. 47 Weichert, (Fn 45), 510. 48 BT-Drucks. 18/11534: Stellungnahme des Bundesrates und Gegenäußerung der Bundesregierung, S. 15, zu Ziff. 13. Janusch Skubatz 446 ausgemacht und eine grundlegende Überarbeitung des Gesetzes verlangt.49 Unter den umfangreichen Änderungsvorschlägen des Bundesrates findet sich unter anderem die Forderung, Mindeststandards für Datenschutz und Datensicherheit im Zulassungsrecht zu verankern.50 Auch die Regelungstechnik scheint nicht durchdacht. Bemerkenswert ist zunächst, dass sich die Bundesregierung außer Stande sieht, einen Adressaten der Speicherpflicht gemäß § 63a Abs. 1 StVG auszumachen und zur Klärung der Sachlage internationale Vorschriften abwarten will.51 Jedenfalls solange sich der Vorschlag zur Einführung einer e-Person nicht durchsetzt, bleibt auch ein automatisiertes Fahrzeug eine Sache im Sinne von § 90 BGB; damit ist es kein Rechtssubjekt und scheidet als Normadressat aus. Bis zum Erlass der ergänzenden Rechtsverordnung ist die Vorschrift mithin nicht durchsetzbar,52 wenn der Normadressat nicht auf anderem Wege zu ermitteln ist. Offen bleiben nicht etwa ungeklärte Fragen des technischen Fortschritts, sondern rechtliche Vorgaben. 1. Regelungsgehalt des § 63a StVG Die ereignisbasierte Speicherpflicht aus § 63a Abs. 1 StVG gilt für Kraftfahrzeuge, die der Legaldefinition aus § 1a StVG entsprechen, also derzeit für bedingt automatisierte Fahrzeuge gem. SAE Level 3. Zu speichern sind Positions- und Zeitangaben aus einem Satellitennavigationssystem. In der Regel werden es GPS-Daten sein, wobei die Zeitangabe zwingend aus der Satellitennavigation zu beziehen ist, um Manipulationen vorzubeugen und eine Vergleichbarkeit zu gewährleisten. Gespeichert wird zum Zeitpunkt einer Übergabe der Fahrzeugkontrolle zwischen Fahrer und Fahrautomatik, bei Übernahmeaufforderung an den Fahrer und bei einer technischen Störung. § 63a Abs. 4 StVG gibt auf, die Daten nach sechs Monaten zu löschen. Es handelt sich um eine Mindest- und zugleich Höchstspeicherfrist.53 Die starre Frist verlängert sich auf drei Jahre, wenn das Fahrzeug in einen Unfall gemäß § 7 Abs. 1 StVG verwickelt war. ____________________ 49 BT-Drucks. 18/11534, S. 2, Ziff. 3. 50 BT-Drucks. 18/11534, S. 2–11. 51 BT-Drucks. 18/11534, S. 15, zu Ziff. 13. 52 König, Gesetzgeber ebnet Weg für automatisiertes Fahren – weitgehend gelungen, NZV 2017, 249 (252). 53 König (Fn. 52), 252. Datafizierung des Autofahrens 447 Nach § 63a Abs. 2 StVG dürfen die Daten an die nach Landesrecht für die Ahndung von Verkehrsverstößen zuständigen Behörden auf deren Verlangen übermittelt werden. Die Gesetzesbegründung stellt klar, dass die Übermittlung der Daten nur zur Verfolgung entsprechender Gesetzes- übertretungen verlangt werden darf und deren Umfang durch das Aufklärungsinteresse begrenzt wird.54 Es handelt sich um einen datenschutzrechtlichen Erlaubnistatbestand; nach § 63a Abs. 2 S. 4 StVG bleiben die allgemeinen Datenschutzvorschriften anwendbar.55 Die Übermittlungspflichten ergeben sich unmittelbar aus den einschlägigen Regelungen der StPO und des OWiG.56 Demnach kommt ein solches Verlangen nur in Betracht, wenn der Fahrzeugführer seine Verantwortung für den vorgeworfenen Gesetzesverstoß mit Verweis auf die Fahrautomatik abstreitet. Der Umfang der Datenübermittlung ist zunächst auf das letzte Speicherdatum vor dem Zeitpunkt des Vorwurfs zu begrenzen. Die Übermittlungserlaubnis endet, wenn aus diesem Datum eindeutig hervorgeht, dass nicht der Fahrer die Fahrzeugkontrolle innehatte und er auch nicht eine Übernahmeaufforderung pflichtwidrig missachtet hat. Nicht eindeutig kann sich die Sachlage darstellen, wenn kurz vor dem Vorwurfszeitpunkt eine Übergabe der Fahrzeugkontrolle verzeichnet ist. Dann könnte die Übermittlung zeitlich vorgelagerter Speicherdaten zur weiteren Aufklärung verlangt werden. § 63a Abs. 3 StVG regelt eine Übermittlungspflicht des Fahrzeughalters an Dritte, wenn das Fahrzeug in einen Unfall gemäß § 7 Abs. 1 StVG verwickelt war und die Daten zur Geltendmachung, Befriedigung oder Abwehr von Rechtsansprüchen in Zusammenhang mit diesem Unfallereignis erforderlich sind. Der Anwendungsbereich bleibt somit beschränkt auf die Nachweisführung der Verantwortlichkeit für das Unfallereignis zur Abgrenzung von Fahrer- und Halterhaftung gegenüber der Produzentenhaftung. In der Regel wird es der Fahrer sein, der mit den Daten sein sorgfaltsgemäßes Verhalten nachweisen kann, um eine Ersatzpflicht gemäß § 18 Abs. 1 S. 2 StVG auszuschließen. Ein anderer Anwendungsbereich ist die Anspruchsbegründung des Fahrzeughalters gegenüber dem Hersteller, wenn die Fahrautomatik beim fahrerlosen Valet-Parking einen Scha- ____________________ 54 Stellungnahme des Bundesrates und Gegenäußerung der Bundesregierung, BT- Drucks. 18/11534, S. 16 zu Ziff. 11, lit. c. 55 Putzki, Datenaufzeichnung im automatisierten Fahrzeug, MMR-Aktuell 2017, 388288, Ziff. 5, beck-online. 56 Schmid/Wessels, Event Data Recording für das hoch- und vollautomatisierte Kfz – eine kritische Betrachtung der neuen Regelungen im StVG, NZV 2017, 357 (360). Janusch Skubatz 448 den verursacht. Der Halter bleibt aus § 7 Abs. 1 StVG gegenüber einem Dritten ersatzpflichtig und kann sich beim Hersteller schadlos halten, sowie den eigenen Schaden geltend machen. Als Anspruchsgrundlage kommt § 426 Abs. 2 S. 1 BGB zur Anwendung.57 § 63a Abs. 5 StVG schließlich erlaubt die Übermittlung der Daten in anonymisierter Form zu Zwecken der Unfallforschung in Zusammenhang mit einem Unfallereignis gemäß § 7 Abs. 1 StVG. Im Folgenden geht es um die Anforderungen, denen eine Rechtsverordnung gemäß § 64b StVG genügen muss, damit die Lücken der gegenwärtigen Regelung geschlossen werden. Lösungsvorschläge resultieren aus einer Gesamtschau des technisch Sinnvollen, des Praktikablen und des rechtlich Gebotenen. 2. De lege ferenda – Anforderungen an eine Rechtsverordnung im Sinne der Ermächtigung des § 63 b StVG In § 63b StVG findet sich die Ermächtigung des Bundesministeriums für Verkehr und digitale Infrastruktur , im Benehmen mit der Beauftragten für den Datenschutz und die Informationsfreiheit zur Durchführung von § 63a StVG Rechtsverordnungen zu erlassen. Inhaltlich erstreckt sie sich auf den Adressaten der Speicherpflicht nach § 63a Abs.1 StVG, auf die technische Ausgestaltung und Ort des Speichermediums sowie die Art und Weise der Speicherung und auf Maßnahmen zur Sicherung der gespeicherten Daten gegen unbefugten Zugriff bei Verkauf des Kraftfahrzeugs.58 Auf diesem Wege sollen die offen gebliebenen Fragen geregelt werden. a) Normadressat des § 63a Abs. 1 StVG Bei Lichte betrachtet kommen als Adressaten der Speicherpflicht letztlich nur entweder der Hersteller (bzw. Importeur) oder der Fahrzeughalter in Frage. Für den Halter spricht, dass er Adressat der Übermittlungspflicht aus § 63a Abs. 3 StVG ist, die Daten einen Personenbezug zum Halter ____________________ 57 Siebert/Gaden, Automatisiertes Parken – Teil 2, InTer 2016, 194 (199). 58 Fraglich ist, warum der Gesetzgeber Sicherungsmaßnahmen nur bei Verkauf des Kraftfahrzeugs für notwendig erachtet. Wie oben festgestellt, handelt es sich um personenbezogene Daten, die vom Datenverantwortlichen auch sonst gegen unbefugten Zugriff zu sichern sind. Datafizierung des Autofahrens 449 aufweisen und er das »Ob« der Fahrzeugnutzung sowie die Nutzerauswahl kontrolliert. Es gibt aber eine Reihe weiterer Gesichtspunkte zu bedenken. Moderne Kraftfahrzeuge gestatten in gewissem Umfang die Nachrüstung bordeigener Software durch Apps. Dies betrifft vor allem den Bereich des sog. Infotainment, also Unterhaltung und Information, bspw. Verkehrsinformationen für das Navigationssystem oder Streaming-Dienste zur Wiedergabe von Bild- und Tonmedien. Bislang ist kein Fall bekannt, in dem der Käufer eines Serienfahrzeugs die Software für Kernfunktionen der Fahrzeugsteuerung selbst hätte wählen oder beeinflussen können. Es steht wohl auch nicht zu erwarten, dass die Fahrzeughersteller bei der Systemgestaltung dem Käufer bei der Auswahl von Softwarekomponenten für die werkseitig integrierte Automatisierung von Fahrfunktionen freie Hand überlassen. Das scheitert schon an fehlenden Standards. Die Hersteller forschen und entwickeln im Wettbewerb und bringen ihre Lösungen als proprietäre Technologien auf den Markt; deren gesetzlich vorgeschriebener Bestandteil wird die Aufzeichnung der Ereignisse gem. § 63a StVG sein. Für die Typgenehmigung und Zulassung muss schließlich der Hersteller eine Übereinstimmung mit den einschlägigen gesetzlichen Vorgaben dokumentieren; hierzu zählen für Fahrzeuge mit automatisierten Fahrfunktionen auch die vorausgesetzten Speicherfunktionen. Teleologisch ist die Formulierung »Kraftfahrzeuge gem. § 1a speichern« insoweit als technische Ausstattungsverpflichtung im Sinne einer Zulassungsvorschrift zu verstehen, die sich an Hersteller richtet.59 Unter systematischen Aspekten hat der Gesetzgeber zu automatisierten Fahrfunktionen stets zunächst die Zulassungsvorgaben und anschließend darauf aufbauende Pflichten für die Nutzer geregelt. Dies trifft auch hier zu. Die Datenaufzeichnungspflicht, die ursprünglich breiter angelegt werden sollte, soll der Abgrenzung der Verantwortlichkeiten zwischen Hersteller und Fahrzeughalter bzw. Nutzer dienen. Wo Nutzerpflichten adressiert sind, hat die Bundesregierung stets den Hinweisen zur Klarstellung der Adressaten zugestimmt und die Normen entsprechend formuliert. Zwar spricht die Gesetzesbegründung davon, dass der Adressat der Speicherpflicht noch nicht festgeschrieben werden könne, weil man nicht mit einer nationalen Regelung den laufenden, internationalen Abstimmungen in die Parade fahren wolle. Gleichwohl beziffert die Gesetzesbegründung Anschaffungskosten für »Datenauslesegeräte für die Ermittlung der Daten aus dem Speichermedium« bei ____________________ 59 Ähnl. Schmid/Wessels (Fn. 56), 359. Janusch Skubatz 450 den Behörden.60 Offenbar geht der Gesetzgeber von einer werksseitigen Integration auf der Grundlage internationaler Standards aus, die ein Auslesen der gespeicherten Ereignisdaten herstellerübergreifend ermöglichen sollen. Nach Sinn und Zweck der Vorschrift kommt somit nur der Hersteller als Adressat in Betracht. Alles andere wäre praxisfern. Warum der Gesetzgeber sich mit dessen Benennung so schwer tut, dass er dies im Wege der Verordnung nachholen lassen möchte, bleibt ein Rätsel. b) Speichervorgang und Speichermedium: Online oder Offline? Nach dem Ort des Speichermediums muss unterschieden werden zwischen einer Speicherung im Fahrzeug, häufig als Offline-Speicherung bezeichnet, und Überlegungen, man könne die Speicherung auf Servern von Hersteller, Importeur, Händlern, Werkstätten oder in einer »Cloud« ausführen, im Folgenden übergreifend als »Online-Speicherung« bezeichnet. Abweichend von ihrem weiten Bedeutungsspektrum werden die Begriffe Offline und Online in diesem Zusammenhang in dem Sinne verstanden, dass der Speichervorgang bei Offline-Speicherung unabhängig von einer bestehenden Datenverbindung ist, während bei Online-Speicherung die Daten vom Fahrzeug über eine Datenverbindung auf einen Speicher außerhalb des Fahrzeugs übertragen werden und die Speicherung erst abgeschlossen ist, wenn dieser externe Speicher die erfolgreiche Ablage der Daten an das Fahrzeug zurückmeldet. Die technischen Voraussetzungen für eine Online-Speicherung wären fahrzeugseitig gegeben, denn die Nutzung der ab April 2018 für EU- Neufahrzeuge vorgeschriebenen eCall-Infrastruktur im Fahrzeug ist zulässig für eCall-fremde Zusatzdienste.61 Diejenigen, die meinen, damit sei alles geklärt, verkennen jedoch, dass Adressat der Übermittlungspflicht gem. § 63a Abs. 3 StVG der Fahrzeughalter ist. Je nach Ausgestaltung würde eine Speicherung durch Dritte einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 ff. DSGVO bedingen. Ein solcher Vertragsschluss wäre, rein praktisch gesehen, im Rahmen des Ersterwerbs vom Hersteller oder Importeur beim Vertragshändler wohl noch im Verkaufsvorgang handhabbar. Für die Variante Werkstatt müsste ____________________ 60 Entwurf eines Gesetzes zur Änderung des Straßenverkehrsgesetzes, BT- Drucks. 18/11300, S. 2 E.3 lit b. 61 Lüdemann (Fn. 41), 248. Datafizierung des Autofahrens 451 jedes neu erworbene Fahrzeug mit Automatisierungsfunktionen zunächst in eine entsprechend ausgestattete Werkstatt gebracht werden, um den Datenverarbeitungsvertrag zu schließen und die entsprechenden Ausrüstungen zu installieren bzw. das Fahrzeug mit den Servern zu verbinden. Konsequenterweise wäre herstellerseitig eine Sperre vorzusehen, die eine Inbetriebnahme der Fahrautomatik ohne entsprechende Ausrüstung verhindert. Damit die Online-Speicherung beim Weiterverkauf nicht zur Luftnummer wird, muss dann noch der Gebrauchtwagenverkäufer an der Ecke künftig Verträge zur Auftragsdatenverarbeitung makeln und der Verkauf muss mit dem Speicher-Dienstleister abgestimmt werden, um unberechtigten Datenzugriff zu vermeiden. Das ist sicher vorstellbar. Ob sich diese Idee durchsetzen wird darf indes bezweifelt werden. Neben hohen bürokratischen Hürden sprechen auch technische Aspekte gegen eine Online-Speicherung. So besteht eine Abhängigkeit von der Netzabdeckung, denn Mobilfunkversorgung ist noch immer nicht flächendeckend verfügbar. Die Daten müssten also lokal sicher zwischengespeichert und bei ausreichend stabiler Verbindung auf die Server übermittelt werden. Im Falle eines Unfalls stellt sich dann womöglich die Frage, ob der Datenbestand auf den Servern letztgültig ist. Eine Auslesemöglichkeit für den lokalen Zwischenspeicher müsste zusätzlich geschaffen werden; beim Abgleich des Zwischenspeichers mit den servergespeicherten Daten wäre sicherzustellen, dass es nicht zu Überschreibungen kommt. Ein weiteres Problem tritt hinzu, sobald eine Übermittlung gemäß § 63a Abs. 3 StVG ausgelöst wird. Auch ohne inhaltlichen Zugriff auf die Daten würde der Auftragsverarbeiter Kenntnis erlangen von entsprechenden Unfällen mit Drittbeteiligung, denn der Fahrzeughalter würde die Übermittlung beauftragen und dazu auch Empfängerdaten angeben müssen. Es kommt zur Interessenkollision, wenn der Hersteller oder Importeur, in der vorliegenden Konstellation möglicher Anspruchsgegner aus Produzentenhaftung, gleichzeitig der Auftragsdatenverarbeiter wäre, der die Beweisdaten speichert. Nachzuweisen wären technische und organisatorische Maßnahmen, die sachlich wie personell eine strikte Trennung der Datenaufzeichnungssysteme von den übrigen Systemen und Geschäftszweigen sicherstellen. Angesichts dieser Aufwände bleibt die Frage nach dem Nutzen im Vergleich zur Speicherung im Fahrzeug selbst. Neben unbegrenztem Speicherplatz bei Online-Speicherung ist sicherlich die Unabhängigkeit des Datenzugriffs vom physikalischen Zugriff auf das Fahrzeug zu nennen – vorausgesetzt, die Daten befinden sich auf dem letzten Stand. Die ständige Online-Verfügbarkeit der Daten birgt jedoch Gefahren und erfordert um- Janusch Skubatz 452 fangreich dokumentierte Zugriffsregeln. Die Verwaltung von Equipment- Identifikatoren und die Umschreibung von Speicherkonten bei Fahrzeugverkauf (wer überwacht das?) erzeugen weiteren Aufwand. Zusätzliche Dienstleistungskapazitäten wären durch die Betreiber für Aufträge zur Datenübermittlung vorzuhalten, deren Anzahl und Häufung im Vorfeld nicht abzuschätzen ist. Neben dem Kostenaufwand für die erstmalige Schaffung der Voraussetzungen entstünden laufende Betriebskosten für die Speicherlösung, denen ersichtlich keine Wertschöpfung gegenübersteht. Es ist kaum anzunehmen, dass Fahrzeugkäufer bereit wären, laufende Gebühren für ein Datenspeicher-Abonnement zu entrichten. Insbesondere auf dem Gebrauchtwagenmarkt hätten solche Fahrzeuge einen Verkaufsnachteil in einem preissensitiven Marktsegment. Das erklärte Ziel, Akzeptanz für die Technologie zu schaffen, wäre in Gefahr. Eine Online-Speicherung wirft also zahlreiche Probleme auf, die gelöst werden müssten, sofern diese Option realisiert werden soll. Demgegenüber ist eine Offline-Speicherung der Daten im Fahrzeug weitaus einfacher umzusetzen. c) Von A nach B – die Übermittlung der Daten Zu Datenformat und Übermittlungsweg findet man in den neuen Normen und den Gesetzesmaterialien nichts, außer dass die Gesetzesbegründung Kosten zur Anschaffung von Auslesegeräten für Polizeidienststellen beziffert, was auf direktes Auslesen durch eine physische Verbindung schlie- ßen lässt. Wünschenswert, aber nicht zwingend, ist eine Implementierung des eigentlichen Transfervorganges dergestalt, dass der Endbenutzer die Übermittlung der gespeicherten Daten in den Fällen der § 63a Abs. 2 und 3 StVG selbst durchführen kann. Denkbar wäre aber auch eine entsprechende Werkstattleistung. Gelungene Automatisierungstechnologie vorausgesetzt sind jedoch eher niedrige Fallzahlen zu erwarten. Angesichts von Ausstattungs-, Schulungs- und Personalaufwand für die Bereithaltung entsprechender Kapazitäten sollte die Wirtschaftlichkeit einer werkstattbasierten Lösung im Auge behalten werden, um die Fahrzeughalter nicht mit übermäßig hohen Fallkosten zu belasten. Datenschutzrechtliche Aspekte bei der Überlassung von Empfängerdaten des Anspruchstellers an die Werkstatt sind ebenfalls zu bedenken. Die besseren Argumente sprechen daher für eine von jedermann durchführbare Übermittlung. Der Vorgang könnte durch physische oder Punkt-zu-Punkt (P2P) Verbindung, Nahbereichsfunk wie Bluetooth oder WLAN, oder online über das Internet vonstattengehen. Datafizierung des Autofahrens 453 Offline kommt eine unmittelbare Überspielung auf Datenträger wie USB-Stick in Frage. Entsprechende Schnittstellen gehören bereits weitgehend zur Grundausstattung. Denkbar ist auch eine Auslesung über die OBD-Schnittstelle, wobei allerdings ein spezieller Diagnosestecker erforderlich ist. Die Übermittlung der Daten könnte ebenso an eine Smartphone-App erfolgen, die P2P über Bluetooth, WLAN oder Kabel mit dem Fahrzeug verbunden ist. Eine App könnte auch online über das Internet die Daten auslesen; schließlich sind moderne Fahrzeuge vielfach bereits mit dem Internet verbunden und über eigene Apps ansteuerbar.62 Auf diese Weise wäre die Übermittlung besonders komfortabel direkt an ein Endgerät des Empfängers oder über E-Mail möglich. Es muss sichergestellt sein, dass der Zugriff auf die im Fahrzeug gespeicherten Daten nur durch den Halter ausgelöst werden kann. Für eine online-Übermittlung bietet sich die Nutzung der vorhandenen eCall-Funkmodule an. Damit Unbefugte keinen Zugriff erhalten, der Übermittlungsempfänger wiederum nicht physisch am Fahrzeug zugegen sein muss, könnte die Übermittlung über ein herstellereigenes oder herstellerübergreifendes Portal in einem dreischrittigen Verfahren erfolgen. In Schritt 1 würde im Fahrzeug ein Einmal-Code generiert, der dem Übermittlungsempfänger mitzuteilen ist. Im zweiten Schritt gibt er diesen Code am Portal ein und generiert damit einen Anfrage-Token sowie einen neuen Einmal-Code zur Übermittlung an den Halter. Im letzten Schritt gibt der Fahrzeughalter den erhaltenen Einmal-Code in den Bordcomputer ein und wählt das Zeitfenster, aus welchem die Ereignisdaten übermittelt werden sollen. Das Fahrzeug generiert einen verschlüsselten Datensatz und hinterlegt diesen zum Download im Anfrage-Konto, welches in Schritt 2 am Portal erzeugt wurde und mittels Anfrage-Token zu entschlüsseln ist. Vorzuziehen ist ein Verfahren, das möglichst einfach vom Endbenutzer durchführbar ist und keine spezielle Hardware erfordert. Damit bleiben die Daten dort gespeichert, wo sie anfallen. Eine Übermittlung erfolgt nur in einem der normierten Fälle durch den Fahrzeughalter. d) Datensicherung – Schutz vor unbefugtem Zugriff Der letzte Regelungsbereich, den der Gesetzgeber für die Rechtsverordnung identifiziert hat, betrifft die Sicherung der gespeicherten Daten vor ____________________ 62 Beispiel: SMART. Janusch Skubatz 454 unbefugtem Zugriff beim Fahrzeugverkauf. Durch den Halterwechsel ändert sich der Normadressat der Übermittlungspflicht aus § 63a Abs. 3 StVG. Dieser muss möglicherweise Daten übermitteln, die vor dem Fahrzeugerwerb gespeichert wurden, im Falle des § 63a Abs. 4 2. Halbsatz für einen Zeitraum bis zu drei Jahren. Um unbefugten Zugriff auf personenbezogene Daten auszuschließen, muss die Speicherung und Übermittlung von vornherein derart ausgestaltet sein, dass der Fahrzeughalter keine Einsicht in die gespeicherten Daten erhalten und gleichzeitig seiner Übermittlungspflicht nachkommen kann. Die Speicherung muss verschlüsselt erfolgen und die Daten dürfen nicht vom Halter entschlüsselbar sein, gleichwohl sind sie im Übermittlungsfall für den Übermittlungsempfänger lesbar zu machen. Damit wäre gleichzeitig ein Problem gelöst, welches der Gesetzgeber nicht erwähnt: die Sicherung der gespeicherten Daten vor unbefugtem Zugriff während der Haltedauer des Fahrzeugs. V. Fazit und Ausblick Die Aktualisierung des StVG hat einen rechtlichen Rahmen für das bedingt automatisierte Fahren auf SAE Level 3 geschaffen, welcher den Fahrer in die Funktion des allzeit bereiten »fallback-ready user« zwingt. Damit fährt der Gesetzgeber auf Sicht. Zwar gehen Experten davon aus, dass die Technologie für vollautomatisiertes und autonomes Fahren über einen Zeitraum von bis zu fünfzig Jahren63 aller Wahrscheinlichkeit nach inkrementell eingeführt werden wird.64 Doch die Entwicklung verläuft nicht linear.65 Schon heute können sich Einwohner aus dem Großraum Phoenix, Arizona in den Vereinigten Staaten für das »Early Driver« Programm an- ____________________ 63 Interview mit Matthias Lutz-Bachmann, Mitglied der Ethik-Kommission, ZEIT-Online v. 22.06.2017, abrufbar unter http://www.zeit.de/gesellschaft/ 2017-06/ethikkommission-regierung-autonomes-fahren-verantwortungmatthias-lutz-bachmann, Abruf am 12.12.2017. 64 Wagner (Fn. 1), S. 7. 65 So auch Udo di Fabio, Vorsitzender der Ethik-Kommission zum automatisierten Fahren, anlässlich der Vorlage des Kommissionsberichts, BMVI - Pressekonferenz: Ethik-Kommission zum automatisierten Fahren legt Bericht vor v. 20.=6.2017, abrufbar unter http://www.bmvi.de/SharedDocs/DE/Presse mitteilungen/2017/084-dobrindt-bericht-der-ethik-kommission.html, Abruf am 19.12.2017. Datafizierung des Autofahrens 455 melden.66 Nach vier Millionen autonom gefahrener Kilometer67 beabsichtigt Waymo, Ausgründung von Googles »self-driving car project«, 600 vollautomatisierte Fahrzeuge für den Alltagsgebrauch an interessierte Personen abzugeben. In Schweden hat Volvo begonnen, Familien mit automatisierten Fahrzeugen auszustatten.68 Ab einem Automatisierungsgrad des Level 4 ist das Fahrzeug in der Lage, einen »risikominimalen Zustand« herbeizuführen, ohne jeden Eingriff eines menschlichen Fahrers. Nach Ansicht einiger ist dies schon de lege lata zwingende Vorgabe für einen Betrieb auf öffentlichen Straßen, um den Zustand einer steuerungslosen Fahrt zu vermeiden.69 Die Fallback-Funktion wird dadurch systemimmanent, ein Fallback-User entbehrlich. Das vermeintlich modernste Straßenverkehrsgesetz der Welt wird womöglich bald ein Update benötigen.70 Für die Speicherung von Ereignisdaten gemäß § 63a StVG ist eine Vielzahl von Lösungen denkbar und es ist nicht klar, warum der Gesetzgeber zentrale Fragen wie den Adressaten der Speicherpflicht durch Rechtsverordnung regeln will, wenn ohne diese Festlegung das Gesetz wirkungslos ist. Auch bei den Vorgaben zu Speichermedium und Sicherung der Daten hätte eine gesetzliche Festlegung der Mindestvoraussetzungen für Rechtssicherheit bei Herstellern wie Verbrauchern sorgen können. Eine ergänzende Rechtsverordnung, aufbauend auf den gesetzlichen Mindestvorgaben, wäre ein flexibles Instrument um die Standards entsprechend dem technischen Fortschritt oder internationalen Vereinbarungen flexibel zu justieren. Besonderes Augenmerk ist zu richten auf Konstellationen, in denen Halter und Fahrer nicht nur verschiedene Personen sind, sondern sich überhaupt nicht kennen oder in einem wirtschaftlichen Abhängigkeitsverhältnis stehen. Zu denken ist einerseits an gewerbliche Fahrzeugvermieter ____________________ 66 Krafcik, Apply to be part of Waymo’s early rider program, Medium v. 25.04.2017, abrufbar unter https://medium.com/waymo/apply-to-be-part-ofwaymos-early-rider-program-5fd996c7a86f, Abruf am 12.12.2017. 67 Krafcik, Waymo’s fleet reaches 4 million self-driven miles, Medium v. 27.11.2017, abrufbar unter https://medium.com/waymo/waymos-fleet-reaches- 4-million-self-driven-miles-b28f32de495a, Abruf am 12.12.2017. 68 Swedish families help Volvo Cars develop autonomous drive cars, Volvo Pressemitteilung v. 12.12.2017, abrufbar unter https://www.media.volvocars. com/global/en-gb/media/pressreleases/217555/swedish-families-help-volvocars-develop-autonomous-drive-cars, Abruf am 12.12.2017. 69 Arzt/Ruth-Schumacher (Fn. 20), 90. 70 Ähnlich Müller (Fn. 8), 61. Janusch Skubatz 456 und Leasinggesellschaften, andererseits an den Beschäftigten- Datenschutz. Die spezifischen Vorgaben des § 26 BDSG-neu binden die Erlaubnis zur Verarbeitung personenbezogener Daten im und nach dem Beschäftigungsverhältnis an die Erforderlichkeit dieser Verarbeitung für Zwecke des Beschäftigungsverhältnisses. Schon bisher haben die Aufsichtsbehörden eine lückenlose Überwachung durch Ortungsmöglichkeiten kritisch gesehen und sowohl die Zweckbindung als auch Speicherfristen restriktiv gehandhabt.71 Die erheblich längeren Speicherfristen des § 63a Abs. 4 StVG stehen hierzu in Widerspruch. Es sollte vermieden werden, durch die Hintertür der gesetzlichen Speicherpflicht den gewerblichen Haltern Zugang zu einer Erstellung von Bewegungs- und Verhaltensprofilen ihrer Kunden oder Beschäftigten zu ermöglichen. Gelingen kann dies mit einer kryptografisch gesicherten Herstellerlösung, die den Halter und andere Nichtberechtigte, den Hersteller eingeschlossen, vom Datenzugriff ausschließt. Als Speicher kommt vernünftigerweise nur ein lokales Speichermedium im Fahrzeug oder eine private Cloud des Fahrzeughalters in Betracht. Im letzteren Fall bleibt das Problem der lückenhaften Netzabdeckung und damit ein Erfordernis für zusätzliche lokale Zwischenspeicherung mit Abgleichmechanismen. Vorzugswürdig ist daher ein im Fahrzeug integriertes Speichermedium zur lokalen Aufzeichnung der Daten. Der Schutz vor unbefugtem Zugriff kann durch Verschlüsselung sichergestellt werden. Wird die lokale, verschlüsselte Speicherung mit einem herstellerübergreifend einheitlichen Verfahren zur sicheren Online-Übermittlung kombiniert, kann ein hoher Grad an Flexibilität und Datensicherheit bei gleichzeitig geringen Implementierungsaufwänden erreicht werden. ____________________ 71 Vgl. 40. Jahresbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (Berichtsjahr 2017) v. 16.03.2018, S. 61 f.

Chapter Preview

References

Zusammenfassung

Das Internet ist Faktor und Produkt des fundamentalen Wandels, den die Gesellschaft und ihr Recht gegenwärtig erleben. Wie weit und wie tief dies reicht, steht mittlerweile im Zentrum öffentlicher Aufmerksamkeit. Die Beiträge des vorliegenden Bandes setzen sich aus interdisziplinärer und aus rechtlicher Perspektive mit Grundsatz- und Querschnittsproblemen, mit einem breiten Spektrum an bereichsspezifischen Fragen und mit Zukunftsthemen auseinander. Dazu zählen unter anderem „Hate Speech“, Meinungsäußerungen von Arbeitnehmern in Sozialen Netzwerken, die Shareconomy und die Geschäftsmodelle von AirBnB und Uber, Finanzierungsmechanismen im Web, das „Bezahlen mit Daten“ und Adblocker, neue Formen der Musik und Urheberrechte, die Datafizierung des Autofahrens oder Visionen weiterer Technisierung und Vernetzung, wie sie die Stichworte der „Augmented Reality“, der „Smart Lenses“ oder der „Cyborgs“ liefern.

Mit Beiträgen von

Marion Albers, Urs-Vito Albrecht, Mats Andresen, Jonas Benedikt Böhme, Frédéric Döhl, Christian Frerix, Mathias Hong, Ioannis Katsivelas, Lea Köttering, Janina Lehmann, Konstanze Marx, Holger Morgenstern, Karl-Nikolaus Peifer, Lasse Ramson, Anna Schimke, Robin Schneller, Thomas Schwenke, Janusch Skubatz, Rüdiger Spendel, Frank Steinicke, Vanessa Zoltkowski.