Update 29.03.2023 Parlament
Update 21.03.2023 Datenschutzkommission / Parlament
Neues aus dem Verkehrsausschuss im Parlament:
Bundesgesetz, mit dem das Kraftfahrgesetz 1967 geändert wird (41. KFG-Novelle)
Puntk 5. Die Zulassungsstellen werden an das Unternehmensregister angebunden und die Daten der Zulassungsevidenz mit dem Unternehmensregister abgeglichen.
Da sollten doch die Alarmglocken aller Datenschützer läuten. Was sagen die Unternehmer zu den neuen Registerverknüpfungen zu ihren Kfz-Daten und Unternehmen?
Quelle: https://www.parlament.gv.at/dokument/XXVII/I/1974/fnameorig_1546071.html
Update Datenschutzbehörde Auf Anfrage von bkftv.at wurde mitgeteilt: Eine Auswertung des elektronischen Aktenverwaltungssystems der Datenschutzbehörde (ELAK) für das Jahr 2022 ergab, dass die Datenschutzbehörde zu der genannte Verordnung (BGBl. 258/2022 zur 10. Novelle zur PBStV) im Vorfeld nicht befasst wurde.
In Kraft: Ab 20. Mai 2023 werden neue Fahrzeugdaten abgefragt.
Neu an der personen- und firmenbezogenen Datenerfassung zu 5,1 Millionen Kfz-Haltern ist die Erfassung folgender neuer Datensätze (Datums) in Zusammenhang mit der Fahrzeug-Identifizierungsnummer:
die Fahrleistungen (gefahrene Kilometer)!
die Verbrauchsdaten (Treibstoffverbrauch)!
die Fahrzeug-Identifizierungsnummer (Besitzerzuordnung)!
QR-Code am Kfz-Gutachten auslesbar
Speicherung in BMK Datenbank
Datenweitergabe an die EU
Die gesetzliche Grundlage für diese Maßnahme ist vor mehr als einem Jahr am 30. Juni 2022 in Form einer ministeriellen Verordnung (BGBl. 258/2022) zur 10. Novelle zur PBStV (Prüf- und Begutachtungsstellenverordnung) im Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie (BMK) unter der grünen Frau Minister Gewessler erlassen worden. Verordnungen sind Rechtsakte der Ministerien, die von Verwaltungsbehörden erlassen werden und somit nicht im parlamentarischen Verfahren, durch den Gesetzgeber behandelt werden. Somit gibt es auch keine Begutachtung und es ist nicht möglich eine Stellungnahme dazu im Parlament abzugeben.
KFZ-Pickerl Begutachtungsplakettendatenbank – Staatsregister ausgelagert!
Auf der Internetseite des ÖAMTC ist unter „Neuerungen 2023 – Recht“ nachzulesen, dass ab 2. Februar 2023 das sogenannte „Pickerl & Gutachten“, mit einem neuen Layout versehen wird. Das schriftliche Gutachten erhält zusätzlich einen QR-Code. Mithilfe dieses QR-Codes kann eine elektronische Version des Gutachtens aus der staatlichen zentralen Begutachtungsplakettendatenbank online abgerufen werden. Dieses staatliche Register wird nicht vom Ministerium selbst betrieben, sondern ist an einen externen privaten Dienstleister ausgelagert. In einer aktuellen Anfragebeantwortung des BMK vom 2.1.2023 (12554/AB) gibt das Ministerium bekannt, dass derzeit 57! staatliche Register verarbeitet werden. Wie viele dieser Register an externe private Dienstleister ausgelagert sind, geht leider aus der Anfragebeantwortung nicht hervor.
BKFTV.at hat am 11. Jänner 2023 eine Anfrage an das BMK und an die Datenschutzbehörde getellt. Bis Redaktionsschluss lag keine Antwort aus dem BMK vor. Die Datenschutzbehörde hat zumindest den Eingang und die Bearbeitung der Anfrage bestätigt. Da die ersten Gesetzesänderungen bereits mit 1. Februar 2023 in Kraft treten hat sich die Redaktion entschlossen mit dem Artikel online zu gehen. Sollten Stellungnahmen aus dem BMK und der Datenschutzbehörde einlangen erfolgt ein Update des Artikels.
ÖAMTC sieht Datenweitergabe an EU kritisch
Zitat ÖAMTC: „Ab 20. Mai 2023 muss im Zuge der §57a Begutachtung eine Erfassung der Fahrleistungen und Verbrauchsdaten von Fahrzeugen mit erstmaliger Zulassung ab 1. Jänner 2021 vorgenommen werden. Diese Daten werden inklusive Fahrzeug-Identifizierungsnummer an eine zentrale Datenbank des BMK (Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie) gesendet und von dort an die europäische Umweltagentur weitergeleitet. Erstes Ziel: Feststellung, ob die bei der Fahrzeuggenehmigung gemessenen Verbrauchswerte eingehalten werden. Der ÖAMTC sieht eine Weitergabe der Daten zusammen mit der Fahrzeug-Identifizierungsnummer kritisch.“
Verbrauchsdaten werden an europäische Umweltagentur weitergeleitet
ÖAMTC 30.11.23 – Krone.at: „Eine zweite Änderung wird im Frühjahr schlagend: Ab 20. Mai 2023 muss im Zuge der §57a-Begutachtung eine Erfassung der Fahrleistungen und Verbrauchsdaten von Fahrzeugen mit erstmaliger Zulassung ab 1. Jänner 2021 vorgenommen werden. Diese Daten werden inklusive Fahrzeug-Identifizierungsnummer an eine zentrale Datenbank des Verkehrsministeriums gesendet und von dort an die europäische Umweltagentur weitergeleitet. Erstes Ziel: Feststellung, ob die bei der Fahrzeuggenehmigung gemessenen Verbrauchswerte eingehalten werden.
Der ÖAMTC unterstützt das Vorhaben einer transparenten und vergleichbaren Darstellung der durchschnittlichen Verbräuche einzelner Fahrzeugmodelle, ist aber strikt gegen die Zuordnung einzelner Verbräuche zu rückverfolgbaren Fahrzeugdaten, wie der Fahrzeugidentifizierungsnummer.“
Verordnung der Ministerien ohne parlamentarisches Verfahren? (Begutachtung)
Die gesetzliche Grundlage für diese Maßnahme ist vor mehr als einem Jahr am 30. Juni 2022 in Form einer ministeriellen Verordnung (BGBl. 258/2022) zur 10. Novelle zur PBStV (Prüf- und Begutachtungsstellenverordnung) im Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie (BMK) unter der grünen Frau Minister Gewessler erlassen worden. Verordnungen sind Rechtsakte der Ministerien, die von Verwaltungsbehörden erlassen werden und somit nicht im parlamentarischen Verfahren, durch den Gesetzgeber behandelt werden. Somit gibt es auch keine Begutachtung und es ist nicht möglich eine Stellungnahme dazu im Parlament abzugeben.
Verordnung ohne Einbindung der Datenschutzbehörde?
Ohne parlamentarische Begutachtung bleibt der Datenschutz auf der Strecke zur Gesetzwerdung liegen. Keine Begutachtung durch die Datenschutzbehörde, keine Diskussion und öffentliche Bearbeitung durch alle betroffenen Behörden und Ministerien. Und vor allem vorbei an mehr als 5 Millionen Fahrzeughaltern die ab 1. Februar 2023 in einer neuen Registerdatenbank landen, ohne es zu wissen. Einzig der ÖAMTC machte auf seiner Internetseite auf die neue Regelung aufmerksam.
Neue fahrzeugbezogene personenbezogene Datensammlung im BMK
Neu an der personen- und firmenbezogenen Datenerfassung zu 5,1 Millionen Kfz-Haltern ist die Erfassung folgender neuer Datensätze (Datums) in Zusammenhang mit der Fahrzeug-Identifizierungsnummer:
- die Fahrleistungen (gefahrene Kilometer)!
- die Verbrauchsdaten (Treibstoffverbrauch)!
- die Fahrzeug-Identifizierungsnummer (Besitzerzuordnung)!
- QR-Code am Kfz-Gutachten auslesbar
- Speicherung in BMK Datenbank
- Datenweitergabe an die EU
Der Staat und in weiterer Folge alle Zugriffsberechtigten, sowie staatlich angebundenen Dienststellen – wohl auch das Finanzamt – wissen ab 2021 über die gefahrenen Kilometer und den Spritverbrauch von über 5 Millionen Fahrzeugen Bescheid. Durch die Verknüpfung mit der Fahrzeug-Identifizierungsnummer ist nun auch der Personenbezug herzustellen. Interessant sind jedoch auch immer die „Ausnahmen“ zu solchen Regelungen. Was ist mit den Fahrzeugen der beiden Sicherheitsministerien BMLV und BMI, samt ihren Nachrichtendiensten?
Datenabfrage pseudoanonymisiert online möglich
Ein bundesweites Netz an ermächtigen Stellen mit zugriffsberechtigten geschulten Personen kann auf die Daten zugreifen. Der Zugriff auf diese staatliche personenbezogene Begutachtungsplakettendatenbank (Register) erfolgt über eine online KFZ-Gutachtenabfrage. Dazu benötigt der Abfragende lediglich:
- Kennzeichen des Fahrzeuges (öffentlich ersichtlich)
- Fahrzeugidentifikationsnummer (FIN) aus dem Typenschein oder Zulassungsschein
- Erstzulassungsdatum des Fahrzeuges aus dem Typenschein oder Zulassungsschein
Zitat vom Betreiber der Webplattform: „Durch die 36. KFG-Novelle ist es gemäß §57c Abs. 10 KFG möglich geworden, interessierten Personen diese Daten in Form pseudonymisierter Gutachten gegen einen angemessen Kostenbeitrag zu Verfügung zu stellen. Diese Gutachten enthalten alle im Rahmen der §57a Begutachtung erhobenen Mängel und Kilometerstände, jedoch keine personenbezogenen Daten.
Um Gutachten für ein bestimmtes Fahrzeug zu erwerben, benötigen Sie das Erstzulassungsdatum desselben sowie entweder dessen Kennzeichen oder dessen Fahrgestellnummer. Nach Eingabe dieser beiden Informationen auf der Suchseite erhalten Sie eine Liste aller jener Gutachten mit Erstelldatum, die dieser Kombination Erstzulassung/Kennzeichen bzw. Erstzulassung/Fahrgestellnummer entsprechen. Aus dieser Liste können Sie durch Markieren der entsprechenden Checkboxen auswählen, welche Gutachten Sie käuflich erwerben wollen.
Nach Durchführung des Kaufs erhalten Sie per Mail eine Bestellbestätigung, eine Rechnung sowie die erworbenen Gutachten als Pdf-File. Bitte beachten Sie, dass Sie um den Kauf durchführen zu können, mittels Anhaken einer Checkbox bestätigen müssen, dass mit der Ausführung des Vertrages vor Ablauf der Widerrufsfrist begonnen wird und daher das Recht auf Widerruf erlischt.“
Staatliches Register in privater Dienstleisterverantwortung
Betreiber dieses staatlichen personenbezogenen Registers ist nicht das BMK als zuständiges grünes Ministerium (Gewessler). Betrieben wird das Portal ausgelagert von der
ZBD Verwaltung GmbH & Co KG
A-1230 Wien, Perfektastraße 84
einem privaten Dienstleister des BMK.
Über Schnittstellen sind u.a. folgende Stellen und Behörden angebunden:
- Bundesministerium für Verkehr, Innovation und Technologie (BMVIT)
- Bundesministerium für Finanzen
- Revisionsbehörden der Bundesländer
- Begutachtungsplakettenausgabestellen
- Organe der Bundespolizei
- Bundesanstalt für Verkehr
- Zulassungsstellen für die von ihnen verwalteten Nummernkreise
Die Übermittlung der im jeweiligen Einzelfall relevanten Daten beruht auf einer gesetzlichen Grundlage bzw. zur Erfüllung eines Vertragsverhältnisses. Darüber hinaus erfolgt die Übermittlung an folgende Kategorien von Übermittlungsempfänger:
- Banken
- Rechtsvertreter
- Wirtschaftstreuhänder, Wirtschaftsprüfer und Steuerberater
- Gerichte
- Zuständige Verwaltungsbehörden
- Inkassounternehmen
- Fremdfinanzierer
- Vertrags- und Geschäftspartner
- Versicherungen
- Statistik Österreich
- Transportunternehmen
- Lieferanten
Was hat diese Entwicklung mit Datenschutz zu tun?
Der Landesbeauftragte für den Datenschutz Niedersachsen dazu. Sehr viel: „Schon zum jetzigen Zeitpunkt werden in einem durchschnittlichen Kfz dutzende Datenkategorien erhoben und verarbeitet. Das Kfz der Zukunft wird – in jeder seiner Entwicklungsstufen – massive Datenströme verarbeiten. Nicht nur die Datenmenge und die Übertragungsgeschwindigkeit, sondern auch die Anzahl an erhobenen personenbezogenen Daten wird enorm ansteigen. Hierbei muss man sich klarmachen, dass das vernetzte Kfz wie kaum ein anderes Produkt in der Lage sein wird, ein umfassendes Persönlichkeitsprofil zu erstellen: Tagesrhythmus, Bewegungsprofile, emotionale Komponenten (vorausschauender oder abrupter Fahrer?), Körpergröße (Sitzeinstellungen), Anzahl an Mitfahrern (Anzahl geschlossener Gurte), Telefonlisten, Musikgeschmack… Aus der Zusammenlegung mehrerer Profile ließen sich sodann gemeinsame Treffen herauslesen etc.
Wem „gehören“ alle diese Fahrzeugdaten?
Sind die Daten anonymisiert und damit in keiner Weise, auch nicht durch Verknüpfungen, rückverfolgbar, so dürfen sie ohne Einschränkung genutzt werden. Ein Beispiel wären Fehlermeldungen, die vom Hersteller anonymisiert für Statistikzwecke und Produktverbesserungen verwendet werden.
Anders ist es bei personenbezogenen Daten, die im Zusammenhang mit dem Kfz anfallen. Daten sind dann personenbezogen, wenn sie sich auf eine „bestimmte Person“ oder zumindest auf eine „bestimmbare Person“ beziehen. Eine Person ist dann „bestimmbar“, wenn sie z.B. über die Fahrgestellnummer oder weiteres Zusatzwissen identifizierbar ist. In diesen Fällen liegen also „personenbezogene Daten“ vor. Damit gilt in diesen Fällen das Bundesdatenschutzgesetz (BDSG). Das BDSG wiederum enthält eine klare Aussage: Die Daten „gehören“ dem Betroffenen. Auf das Kfz bezogen: Die Daten „gehören“ dem Fahrer bzw. Halter des Kfz.
Dem BDSG unterfallen insbesondere auch „rein technische Daten“, die auf den ersten Blick „weniger interessant“ erscheinen, aber personenbeziehbar sind. Beispielsweise erscheint die Anzahl der Bremsvorgänge auf den ersten Blick „weniger spannend“. Auf einen konkreten Zeitraum bezogen gibt diese Information jedoch Aufschluss darüber, ob der – identifizierbare – Fahrer ein Stadtfahrer ist oder ob er auf dem Land wohnt etc. Sofern diese Informationen ohne Zeitbezug gespeichert werden und regelmäßig wieder überschrieben werden, lassen sie sich zumindest durch ein enges Ausleseintervall einem konkreten Zeitraum zuordnen. Somit könnten bereits mit relativ wenigen Informationen einfache Persönlichkeitsprofile gebildet werden.
Ein weiteres Beispiel: Fahrprofile, die durch Erfassen der Lenkbewegung (Kurven) und der Geschwindigkeit (Landstraße? Autobahn?) gebildet werden können, könnten mit Landkarten abgeglichen und so einem Start- und Endziel zugeordnet werden. Auf diese Weise könnten aus nicht-geobezogenen Daten die Geobezüge (Standortdaten) nachträglich generiert werden.
Die Begehrlichkeiten für solche potentiellen Datensammlungen sind groß. Kreditkartenfirmen, Scoringunternehmen, potentielle Arbeitgeber, Versicherungen… die Liste von möglichen Interessenten ließe sich problemlos fortsetzen.
Das BDSG sorgt dafür, dass personenbezogene Fahrdaten nicht zu einem „freien Wirtschaftsgut“ werden: Gemäß § 4 Abs. 1 BDSG dürfen diese Daten nur dann genutzt werden, wenn entweder eine gesetzliche Regelung dies erlaubt oder wenn der Betroffene (Fahrer/Halter) durch Einwilligung bzw. Vertrag wirksam zugestimmt hat.“
Entschließungsantrag mit Verdacht Datenverkauf seit 2019 in Bearbeitung
Interessant zum Bereich „Datensicherheit“ ist ein Entschließungsantrag vom 30.1.2019, der laut Parlamentsinternetseite immer noch unter „staatlich geführte Begutachtungsplakettendatenbank (609/A(E)“ mit dem Status – Beratung noch nicht aufgenommen – im Verkehrsausschuss des Parlaments in Bearbeitung steht. Das Kraftfahrgesetz soll zum 36. Mal erneuert werden. In diesem Rahmen soll auch beschlossen werden, dass der Zugriff auf die Begutachtungsplakettendatenbank, die von der ZBD Verwaltung GmbH & Co KG (kurz: „ZBD“) zentral verwaltet wird, an „jede interessierte Person“ verkauft werden darf. Hinter der ZBD stehen drei Privatunternehmen – die Schilcher & Sohn GmbH und CO KG, die ZBD Verwaltung GmbH und die Georg Ebinger Gesellschaft m.bH. Die Tatsache, dass Privatunternehmen Daten verwalten und verkaufen dürfen, die der Staat verpflichtend erhebt, ist untragbar, heißt es in dem Entschließungsantrag.
2015 wurde beschlossen, die existierende Begutachtungsplakettendatenbank durch eine Erhöhung des Pickerl-Preises von € 1,46 auf € 1,90 zu finanzieren. Die Entwicklungs- und Instandhaltungskosten einer webbasierten Plattform nach z.B. britischem Vorbild (https://www.gov.uk/check-mot-status) rechtfertigt keinesfalls, dass die ZBD pro Zugriff auf die Datenbank Kosten erheben darf – egal, wie hoch der Betrag auch sein mag. Abseits davon ist in der Gesetzesnovelle nirgendwo geregelt, wieviele Datensätze man kaufen bzw. einsehen darf. Die ZBD könnte mit Großinteressentlnnen wie z.B. Versicherern, Automobilclubs oder Automobilherstellern Daten-Flatrates aushandeln – Summe X für unbegrenzten Zugriff auf die Datenbank. Durch einen Abgleich mit den jeweils eigenen Datenbanken können Großinteressentlnnen so Profile über ihre Klientinnen erstellen. Die angekündigte Pseudonymisierung der personenbezogenen Daten wäre somit außer Kraft gesetzt. Fraglich ist außerdem, was mit den gespeicherten Daten im Falle einer Insolvenz der ZBD passiert, oder das Unternehmen durch die Inhaberinnen verkauft wird. Laut bestehendem Kraftfahrgesetz darf die Begutachtungsplakettendatenbank von den ermächtigten Plakettenherstellern geführt werden. Sollte sich ein Unternehmen aus dem Ausland als Plakettenhersteller bewerben und die Ermächtigung bekommen, hat es das Recht, Begutachtungsdaten, die in Österreich verpflichtend erhoben werden, aus dem Ausland zu verwalten und zu verkaufen.
EU Leitlinien 01/2020 zur Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen
Mit der ständig zunehmenden Anzahl von Sensoren, die in vernetzten Fahrzeugen eingesetzt werden, besteht ein sehr hohes Risiko einer übermäßigen Erhebung von Daten im Vergleich zu dem, was zur Erreichung des Zwecks erforderlich ist. 500-seitige Betriebsanleitungen neuer vernetzter Autos, samt komplexer Datenschutzrichtlinien oder auch schon die 40-seitige EU Leitlinien 01/2020 für vernetzte Auto überfordern einen durchschnittlichen Autobesitzer.
Daten im Zusammenhang mit vernetzten Fahrzeugen werden als personenbezogene Daten betrachtet
Sofern es möglich ist, Kfz-Daten mit einer oder mehreren identifizierbaren Personen zu verknüpfen wird von personenbezogenen Kfz-Daten gesprochen. Dazu gehören technische Daten über die Bewegungen des Fahrzeugs (z. B. Geschwindigkeit, zurückgelegte Strecke) sowie über den Fahrzeugzustand (z. B. Temperatur des Motorkühlmittels, Motordrehzahl, Reifendruck). Bestimmten Daten, die von vernetzten Fahrzeugen erzeugt werden, sollte aufgrund ihrer Sensibilität und/oder potenziellen Auswirkungen auf die Rechte und Interessen der betroffenen Personen ebenfalls besondere Aufmerksamkeit gewidmet werden. Gegenwärtig hat der EDSA drei Arten personenbezogener Daten ermittelt, denen Fahrzeug- und Ausrüstungshersteller, Dienstleister und sonstig Verantwortliche besondere Beachtung schenken sollten:
- Standortdaten
- biometrische Daten
- Alle besonderen Datenkategorien gemäß Artikel 9 DSGVO)
- Daten, die Straftaten oder Verkehrsvergehen aufdecken könnten
Fahrzeuge, sondern auch Fahrer und Insassen werden immer stärker vernetzt. Tatsächlich sind in vielen Modellen, die in den vergangenen Jahren auf den Markt gekommen sind, Sensoren und vernetzte Bordgeräte integriert, die unter anderem die Motorleistung, die Fahrgewohnheiten, die besuchten Orte und möglicherweise sogar die Augenbewegungen des Fahrers, seinen Puls oder biometrische Daten erheben und erfassen können, um eine natürliche Person eindeutig zu identifizieren. Darüber hinaus generieren vernetzte Fahrzeuge immer größere Datenmengen, von denen die meisten als personenbezogene Daten betrachtet werden können, da sie sich auf Fahrer oder Insassen beziehen.
„Schutz personenbezogener Daten“ bereits in der Phase der Produktgestaltung
Es ist sicherzustellen, dass den Fahrzeugnutzern gemäß Erwägungsgrund 78 DSGVO Transparenz und Kontrolle in Bezug auf ihre Daten gewährleistet wird.Seit dem 31. März 2018 müssen alle neuen Fahrzeugtypen der Klassen M1 und N1 (Personenkraftwagen und leichte Nutzfahrzeuge) über ein auf dem 112-Notruf basierendes bordeigenes eCall-System verfügen.4,5 Bereits im Jahr 2006 hatte die Artikel-29-Datenschutzgruppe ein Arbeitsdokument mit dem Titel „Eingriffe in den Datenschutz und die Privatsphäre im Rahmen der Initiative eCall“ angenommen.6 Darüber hinaus hat die Artikel-29-Datenschutzgruppe, wie bereits erwähnt, im Oktober 2017 eine Stellungnahme zur Verarbeitung personenbezogener Daten im Zusammenhang mit kooperativen intelligenten Verkehrssystemen (C-ITS) angenommen. Jegliche Verarbeitungsvorgänge personenbezogener Daten, die im Anschluss an die vorgenannten Verarbeitungsvorgänge erfolgen, einschließlich der Verarbeitung personenbezogener Daten, die durch den Zugriff auf Informationen im Endgerät gewonnen werden, bedürfen einer Rechtsgrundlage gemäß Artikel 6 DSGVO, um rechtmäßig zu sein.
Einwilligung durch Verantwortlichen beim Fahrzeugbesitzer notwendig
Da der Verantwortliche, der eine Einwilligung zur Speicherung oder zum Zugriff auf Informationen gemäß Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation einholen will, die betroffene Person dabei über alle Zwecke der Verarbeitung informieren muss, einschließlich jeglicher Verarbeitung, die im Anschluss an die vorgenannten Verarbeitungsvorgänge erfolgt (d. h. die „nachfolgende Verarbeitung“), ist eine Einwilligung gemäß Artikel 6 DSGVO im Allgemeinen die am besten geeignete Rechtsgrundlage, um eine Verarbeitung personenbezogener Daten im Anschluss an diese Vorgänge zu erfassen (soweit der Zweck der anschließenden Verarbeitung von der Einwilligung der betroffenen Person erfasst wird, siehe Randnummern 53 und 54 der vorliegenden Leitlinien). Die Einwilligung wird daher wahrscheinlich sowohl für die Speicherung und den Zugriff auf bereits gespeicherte Informationen als auch für die nachfolgende Verarbeitung personenbezogener Daten die Rechtsgrundlage bilden.
Indirekt identifizierbare Daten und Metadaten in Fahrzeugen
Viele der Daten, die von einem vernetzten Fahrzeug erzeugt werden, beziehen sich auf eine natürliche Person, die identifiziert oder identifizierbar ist, und stellen somit personenbezogene Daten dar. Zu den Daten gehören beispielsweise direkt identifizierbare Daten (z. B. die vollständige Identität des Fahrers) sowie indirekt identifizierbare Daten wie die Detailangaben der zurückgelegten Fahrten, die Fahrzeugnutzungsdaten (z. B. Daten über den Fahrstil oder die zurückgelegte Strecke) oder die technischen Daten des Fahrzeugs (etwa zum Verschleiß von Fahrzeugteilen), die anhand von Querverweisen zu anderen Dateien und insbesondere anhand der Fahrzeug-Identifizierungsnummer (VIN) einer natürlichen Person zugeordnet werden können. Personenbezogene Daten in vernetzten Fahrzeugen können auch Metadaten wie beispielsweise den Wartungsstatus des Fahrzeugs enthalten. Mit anderen Worten fallen daher alle Daten, die einer natürlichen Person zugeordnet werden können, in den Geltungsbereich der vorliegenden Leitlinien.
Videomaterial – Parkkamerasystemen
Fahrzeuge sind zunehmend mit Bildaufzeichnungsgeräten (z. B. mit Parkkamerasystemen oder Dashcams) ausgestattet. Da es hier um die Frage des Filmens öffentlicher Orte geht, die eine Bewertung des einschlägigen Rechtsrahmens erfordert, der von Mitgliedstaat zu Mitgliedstaat unterschiedlich ist, fällt diese Datenverarbeitung nicht in den Geltungsbereich der vorliegenden Leitlinien.
Car-Forensics: Digitale Forensik im Kontext von Fahrzeugvernetzung, eCall, KFZ-Unfalldatenschreibern und Smartphone-Kopplung – V 5.0 – Buchempfehlung
Die zunehmende Vernetzung von Fahrzeugen untereinander (Car2Car), mit Smartphones (Car2Phone) und zentralen Infrastrukturen (Car2Infrastructure) sowie optional bzw. verpflichtend in Kfz zu implementierende Erweiterungen – wie Unfalldatenschreiber und z.B. das System eCall – sind unter IT-Sicherheitsaspekten und Datenschutzbetrachtungen nach wie vor weitestgehend unerforscht. Die Speicherung und der Austausch von Fahrzeug- und Bewegungsdaten wecken Begehrlichkeiten bei Polizei und Justiz, Versicherungen und Dienstleistern, aber auch bei Kriminellen. Die Forschungsarbeit Car-Forensics soll einen ersten Überblick liefern, was technisch im Bereich der digitalen forensischen Auswertung der in den Kfz verbauten bzw. extern mit den Fahrzeugen gekoppelten IT-Systemen bereits möglich und zukünftig denkbar ist. In diesem Kontext werden auch die einschlägigen Rechtsvorschriften beleuchtet. Im praktischen Teil der Forschungsarbeit wurde recherchiert und exemplarisch geprüft, welche Schnittstellen die verschiedenen Systeme besitzen, die forensisch angesprochen bzw. ausgewertet werden können.
Buchtipp:
Seminarempfehlung – www.academy.fraunhofer.de
Moderne Kfz speichern immer mehr Daten. Diese Daten sind für die Strafverfolgung wichtig und bieten ein Einfallstor für Manipulationen. Dieses Seminar zeigt Ihnen, welche Daten in welchen Steuergeräten abgelegt sind und wie diese ausgelesen werden können. Dabei werden verschiedene Arten der Datenakquise vorgestellt. In einem Kfz sind sehr viel mehr Daten gespeichert als ein einfacher Werkstatttester vorgibt. Lernen Sie Manipulationen im Kfz nachzuweisen und typische Spuren im Fahrzeug aufzudecken. In modernen Kraftfahrzeugen werden immer mehr elektronische Steuergeräte verbaut. Diese Steuergeräte erhalten immer mehr Einfluss auf das Fahrverhalten und werden auch immer anfälliger für Manipulationen. Gleichzeitig speichern die Steuergeräte immer mehr Daten über das Fahrverhalten oder Umweltbedingungen. Diese Daten spielen in der Aufklärung von Straftaten eine große Rolle. Wenn Manipulationen an der Fahrzeugelektronik möglich sind, müssen solche Manipulationen auch aufgedeckt werden können.
Quellen:
https://www.cybersicherheit.fraunhofer.de/de/kursangebote/it-forensik/car-forensik.html
Infografik „Data and the connected car“ (Daten und das vernetzte Fahrzeug) des Future of Privacy Forum; https://fpf.org/wp-content/uploads/2017/06/2017_0627-FPF-Connected-Car-Infographic-Version-1.0.pdf
https://www.oeamtc.at/thema/vorschriften-strafen/neuerungen-2023-55715741
https://www.ris.bka.gv.at/eli/bgbl/II/2022/258
https://portal.kfzgutachten.at/
https://www.zbd.co.at/datenschutzerklaerungen/
https://portal.kfzgutachten.at/Home/Gdpr
https://www.parlament.gv.at/PAKT/VHG/XXVI/A/A_00609/index.shtml#tab-Uebersicht
https://docplayer.org/81400633-Zentrale-begutachtungsplakettendatenbank-mittwoch.html
Für alle Firmen, Institutionen, Personen und überhaupt „Jeden und „Alles“ gilt die Unschuldsvermutung. (hu) ++ende++
Herbert Unger – freier Journalist bei bkftv.at herbert.unger@bkftv.at oder 06645344908 Meine Artikel: https://bkftv.at/author/hu/ Schreiben Sie mir zum Thema Vertrauliche Kommunikation über: Threema ID hcclnoname: WUU3ZJJV Signal-Messenger oder persönliche Treffen: Face-to-Face |