LfDI Dr. Stefan Brink: „Wir begrüßen das Vorgehen des Unternehmens, sich bei der Anpassung an die neue Rechtsmaterie des TTDSG unsere Expertise einzuholen. Das ist gut für das Unternehmen, für die Kund_innen und auch für uns selbst: Das Unternehmen agiert auf der Höhe der Zeit. Kund_innen wissen, dass ihre Daten nicht beliebig behandelt werden, sondern dass ihr Recht auf informationelle Selbstbestimmung gestärkt wird. Wir führen unseren Beratungsansatz als Ermöglicher des datenschutzfreundlichen Einsatzes von neuen Technologien konsequent fort und zeigen auf, dass Datenschutz und Digitalisierung zusammengehören und – nur – zusammen funktionieren.“
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat die Dr. Ing. h.c. F. Porsche AG (Porsche AG) konstruktiv beraten, um datenschutzrechtliche Fragen im Zusammenhang mit der Umsetzung des neuen Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) zu klären. Das TTDSG trat am 1. Dezember 2021 in Kraft. Seitdem gilt es für den Stuttgarter Sportwagenhersteller, die neuen gesetzlichen Anforderungen u.a. beim vernetzten Fahren umzusetzen und dabei den Interessen der Kund_innen gerecht zu werden.
Das TTDSG setzt die e-Privacy-Richtlinie um und dient unter anderem dem Schutz von Endeinrichtungen, die an das öffentliche Telekommunikationsnetz (in der Regel das Internet) angeschlossen sind. Es soll Rechtsklarheit im Hinblick auf das Speichern von und den Zugriff auf Informationen in Endeinrichtungen bringen. Der Anwendungsbereich des TTDSG erfasst alle Geräte mit Internetanschluss, wie Smartphones, Computer, Smart-TVs und andere Internet-of-Things (IoT)-Geräte sowie auch vernetzte Fahrzeuge, da diese über das Internet Informationen übermitteln können. Dies gilt sowohl für personenbezogene wie auch nicht personenbezogene Daten.
Praktisch bedeutet dies, dass u.a. das Speichern von Informationen und der Zugriff auf Daten, die im vernetzten Fahrzeug gespeichert sind, nur zulässig sind, wenn Nutzer_innen auf Grundlage von klaren und umfassenden Informationen eingewilligt haben. Ausnahmen für die Einwilligung bestehen nur dann, wenn der Zugriff unbedingt erforderlich ist, um beispielsweise Telemediendienste zu erbringen, die von Nutzer_innen ausdrücklich gewünscht sind oder der alleinige Zweck der Speicherung bzw. des Zugriffs die Durchführung einer Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist.
LfDI Dr. Stefan Brink zum neuen TTDSG: „Das Gesetz stärkt die Rechte der Bürger_innen und setzt – lange überfällig – die Vorgaben des europäischen Rechts in Deutschland um. Allerdings stellt es viele Unternehmen vor ganz erhebliche Umsetzungsprobleme – nicht zuletzt Anbieter aus der Automobilbranche.“
„Durch den weiten Anwendungsbereich des Begriffes ‚Endeinrichtung‘ wird das TTDSG auch zum Thema für die Automobilindustrie“, betont Christian Völkel, Chief Privacy Officer bei der Porsche AG. „Unser Datenschutzmanagementsystem ermöglicht es uns auf gesetzliche Anpassung adäquat zu reagieren. Dabei ist der Ansatz für uns nicht neu, für bestimmte Ausleitungen aus dem Fahrzeug eine Einwilligung der Kunden einzuholen. Bei Porsche stehen die Kund_innen im Mittelpunkt. Deshalb gehört es zu unserer Datenschutzstrategie, datengetriebene Innovationen, den ethischen Umgang mit Daten und die Einhaltung gesetzlicher Vorgaben zu verbinden. Dazu gehört auch, Datenverarbeitungen im Fahrzeugkontext zu steuern, etwa indem wir Auswahloptionen in einem Privacy Menü bereithalten. Erfreulich für Porsche ist, dass die Kund_innen der Marke im Umgang mit Daten ein hohes Vertrauen aussprechen und damit auch Einwilligungen gerne geteilt werden.“
Um das TTDSG umzusetzen, hat die Porsche AG ein ressortübergreifendes Projekt durchgeführt. „Zunächst mussten wir sämtliche Sachverhalte evaluieren, in denen Daten aus dem Fahrzeug geleitet oder in das Fahrzeug gespeichert werden, und auf ihre TTDSG-Anforderungen prüfen. Für all jene Datenverarbeitungen, die nicht unter die Ausnahme des § 25 Abs. 2 TTDSG gefasst werden konnten, haben wir praktikable Lösungsansätze erarbeitet, um dem Einwilligungserfordernis des TTDSG zu entsprechen.“
Im Rahmen dieses Projektes hat die Porsche AG den LfDI konsultiert. „Bei unserer Prüfung haben sich einige Rechtsfragen gestellt, insbesondere im Hinblick auf die Auslegung der Ausnahmetatbestände nach § 25 Abs. 2 TTDSG und bei Multi-User-Situationen bei Diensten im vernetzten Fahrzeug“, so Christian Völkel.
LfDI Stefan Brink: „Das neue TTDSG ist eine besonders umfangreiche Rechtsmaterie. Die intensive und sorgfältige Prüfung des Regelwerkes ist daher geboten. Wir haben das Unternehmen gerne beraten und dabei mitgewirkt, das Gesetz für das Unternehmen und die Kund_innen zu erschließen.“
Der LfDI teilt die Auffassung, dass der Begriff des Telemediendienstes im Fahrzeugkontext weit auszulegen ist. Letztlich muss es der Porsche AG auch nach Inkrafttreten des TTDSG weiterhin möglich sein, ihren Kund_innen gebuchte Connect-Dienste und das Fahrzeug mit all seinen erworbenen Funktionalitäten bereitzustellen. Dies entspricht auch dem Kund_innenwunsch und ist damit als „ausdrücklich erwünscht“ im Sinne des Gesetzes anzusehen. Der LfDI betont in diesem Kontext, dass für einen solchen Kund_innenwunsch eine niedrigere Schwelle als bei einer Einwilligung gelten müsse. Jede_r Porschefahrer_in hat durch den Privacy Mode im Fahrzeug zudem die Möglichkeit, jedwedes Senden und Empfangen von Daten des Fahrzeugs direkt und unkompliziert zu deaktivieren (oder auch zu reaktivieren).
Zudem ist inzwischen allgemein erkannt, dass Fahrzeughersteller teils auf Informationen im Fahrzeug zugreifen oder solche speichern müssen, um eine rechtliche Verpflichtung zu erfüllen und dass in diesen Konstellationen der Zugriff nicht von einer Einwilligung abhängig gemacht werden kann. Einen Anwendungsfall stellt etwa das Absetzen eines automatischen „112-Notrufs“ nach der eCall-Verordnung dar. Dabei übermittelt das Fahrzeug im Fall eines Unfalls automatisiert Informationen zum genauen Unfallort, zur Anzahl der Insassen sowie weitere Fahrzeugdaten. Künftig werden die Hersteller aber (u.a.) auch verpflichtet, Software-Updates zur Abwehr von Cyberangriffen bereitzustellen.
Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de
Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.