Telematik und Datenschutz in der EU

Der Markt für Telematik Geräte und -anwendungen floriert. Vernetzte Fahrzeugtechnologien und Telematik Dienste verschmelzen und prägen die Zukunft der Automobilindustrie – und unseres Lebens. Während diese Innovationen zweifellos unglaubliche Möglichkeiten und Vorteile bringen werden, betreten wir auch in Bezug auf Datensicherheit und Datenschutz Neuland.

Als Symbol der Wirtschaft des 20. Jahrhunderts ist das Automobil eines der Massenkonsumgüter, das hat die Gesellschaft als Ganzes beeinflusst. Mit dem Begriff der Freiheit werden Autos häufig mit als mehr als nur ein Transportmittel betrachtet.

Sie stellen in der Tat einen privaten Bereich dar, in dem können die Menschen eine Form der Entscheidungsautonomie genießen, ohne auf äußere Eingriffe zu stoßen. Heute, da sich die verbundenen Fahrzeuge in den Mainstream bewegen, entspricht eine solche Vision nicht mehr der Realität.

Die Flottenkonnektivität nimmt zu

Die Konnektivität im Fahrzeug nimmt rasch zu, von Luxusmodellen und Premiummarken bis hin zu hochvolumigen Modellen des mittleren Markts, und die Fahrzeuge werden zu massiven Datenknotenpunkten. Nicht nur Fahrzeuge, sondern auch Fahrer und Passagiere werden immer mehr vernetzt.

In der Tat sind in vielen Modellen, die in den letzten Jahren auf den Markt gebracht wurden, Sensoren und angeschlossene Bordgeräte integriert, die unter anderem die Motorleistung, die Fahrgewohnheiten, die besuchten Orte und möglicherweise sogar die Augenbewegungen des Fahrers, seinen Puls oder andere biometrische Daten zur Authentifizierung oder Identifizierung erfassen und aufzeichnen können.

Diese Datenverarbeitung findet in einem komplexen Ökosystem statt, das nicht auf die traditionellen Akteure der Automobilindustrie beschränkt ist, sondern auch durch das Auftauchen neuer Akteure der digitalen Wirtschaft geprägt wird. Diese neuen Akteure können Infotainment-Dienste wie Online-Musik, Straßenzustands- und Verkehrsinformationen anbieten oder Fahrassistenzsysteme und -dienste, wie z.B. den Autopiloten, anbieten.

Software, Aktualisierungen des Fahrzeugzustands und nutzungsabhängige Versicherung

Da die Fahrzeuge über elektronische Kommunikationsnetze miteinander verbunden sind, spielen die an diesem Prozess beteiligten Straßeninfrastrukturbetriebe und Telekommunikationsbetreiber auch eine wichtige Rolle bei der möglichen Verarbeitung der persönlichen Daten der Fahrer und Fahrgäste.

Darüber hinaus erzeugen die angeschlossenen Fahrzeuge immer größere Datenmengen, von denen die meisten als personenbezogene Daten angesehen werden können, da sie sich auf Fahrer oder Fahrgäste beziehen werden. Selbst wenn die von einem verbundenen Fahrzeug gesammelten Daten nicht direkt mit einem Namen, sondern mit technischen Aspekten und Merkmalen des Fahrzeugs verbunden sind, betreffen sie den Fahrer oder die Insassen des Fahrzeugs.

Die Verbreitung der IoT-Technologie bringt beispiellose Möglichkeiten mit sich. Es ist in der Tat recht einfach zu verstehen, warum die Telematik im Flottenmanagement unumgänglich geworden ist. Für kommerzielle Flotten bieten die Telematik Geräte der Automobilindustrie viele Vorteile.

Was ist die allgemeine Datenschutzverordnung in Europa?

Die Allgemeine Datenschutzverordnung (DSGVO) definiert Daten als personenbezogene Daten von Personen in der EU und wirkt sich auf ihre Verwendung im Sinne einer „Verarbeitung“ aus, die die Erhebung, Speicherung, Übermittlung oder Nutzung umfasst.

Persönliche Daten

Der Schlüssel in der DSGVO ist der Begriff der persönlichen Daten. Im Wesentlichen handelt es sich dabei um alle Daten, die mit einem identifizierbaren menschlichen Wesen in Verbindung gebracht werden können oder könnten. Dazu gehören Daten, die mit eindeutigen Identifikatoren wie Nummernschildern und/oder anderen Gerätekennungen abstrahiert werden könnten.

Wenn jemand eine Person anhand der Daten identifizieren kann, müssen die Daten als persönliche Daten betrachtet werden, auch wenn die tatsächliche Identifizierung überhaupt nicht durchgeführt wird. Es ist wichtig zu beachten, dass das Vorhandensein persönlicher Daten nicht bedeutet, dass sie nicht verwendet werden können, sondern dass nur die DSGVO gilt und bestimmte Bedingungen erfüllt sein müssen.

Geschäftliche Erkenntnisse vs. persönliche Angelegenheiten

Es gibt zwei Kategorien von Daten, die getrennt behandelt werden müssen: Fahrzeugdaten und personenbezogene Daten. Kurz gesagt, diese Daten bieten einzigartige Einblicke in das Geschäft für ein effizientes Flottenmanagement. Beide sind entscheidend, aber aus unterschiedlichen Gründen.

Die Überwachung einer beweglichen Anlage durch GPS-Verfolgungsgeräte und die On-Board Diagnose können als Fahrzeugdaten betrachtet werden. Fahrzeugdaten können einen globalen Überblick über die gesamte Organisation bieten. Diese Daten werden zur Verbesserung der Sicherheit für Personal, Fahrzeuge und Fracht verwendet und können einen erheblichen Hebel gegenüber der Konkurrenz darstellen.

On-Board Dienste sind auch eine hervorragende Quelle für Sicherheitsmetriken. Durch die Analyse des Fahrerverhaltens kann die Gesamtsicherheit der Flotte erheblich verbessert werden. Aber – es scheint immer ein „aber“ zu geben – dies beinhaltet eine große Menge an persönlichen Daten.

Der Umgang mit Informationen, die sich auf die Fahrer, d.h. auf Privatpersonen, beziehen, ist jedoch aus mehreren Gründen ein sensibles Thema. Sie wirft auch eine Reihe von Fragen auf – Fragen, die noch nie zuvor in Bezug auf Speicherung, Verarbeitung und Schutz behandelt wurden.

Wer auch immer Eigentümer der Daten ist, kann entscheiden, wie und zu welchen Zwecken er sie verwendet – und die Informationen monetarisieren. Auf den ersten Blick würde die ganze Kontroverse darüber, wer die Daten verkaufen und das große Geld bekommen darf, verschwinden, wenn wir eine grundlegende Frage beantworten könnten: Wessen Daten sind das überhaupt?

Die Automobilhersteller argumentieren, dass die Daten dem Unternehmen gehören, das das Gerät besitzt, das die Daten produziert. Telekommunikations- und IT-Firmen sowie Akteure der Telematik-Dienstleistungsbranche könnten argumentieren, dass Daten der Einheit gehören, die die Technologie zur Extraktion und Verarbeitung von Daten bereitstellt.

Flottenmanager behaupten verständlicherweise, dass die Daten dem Unternehmen gehören, das sie erzeugt. An diesem Punkt können die Fahrer jedoch das eine oder andere hinzuzufügen haben.

Schlüsselelemente in der allgemeinen Datenschutzverordnung

Wie frühere Gesetze und Vorschriften zum Schutz der Privatsphäre zielt das DSGVO auf den Schutz der Interessen und Rechte von Einzelpersonen ab, während ihre Daten für verschiedene Zwecke verwendet werden, um ihnen zu dienen und den Interessen anderer zu dienen, zum wirtschaftlichen Nutzen oder zum öffentlichen Wohl. Das DSGVO ist daher für die Berücksichtigung im Arbeitsumfeld von großer Bedeutung.

Hier stellen wir einige der wichtigen neuen Elemente der DSGVO vor, die besondere Aufmerksamkeit von den Kunden erfordern. Die wichtigsten Änderungen in der neuen Verordnung, die in Kraft treten werden:

Schließlich spiegeln die Daten von oder über eine Person deren Identität, ihr Verhalten und ihre Präferenzen wider: Das ist es, was wir sind. Das DSGVO legt fest, dass der Einzelne im Voraus vollständig darüber informiert werden muss, was mit seinen Daten geschieht: welche Daten verwendet werden, warum sie verwendet werden, wie lange sie verwendet werden und von wem sie verwendet werden.

Darauf müssen sie auch Einfluss nehmen können, z.B. entweder durch die Erteilung einer Erlaubnis, durch einen Vertrag und, mit einigen Einschränkungen, dadurch, dass sie auf Anfrage die Nutzung ihrer Daten unterbinden können.

Verantwortlichkeit und risikobasierter Ansatz

Wenn Sie als Unternehmen entscheiden, was mit den Daten von Einzelpersonen geschieht, müssen Sie sich dieser Verantwortung stellen und nachweisen können, dass Sie dies ordnungsgemäß tun und dabei die Rechte des Einzelnen sowie die DSGVO respektieren.

Bei allem, was Sie mit Daten tun, müssen Sie die Risiken für die betroffene Person berücksichtigen. Dies erfordert die Notwendigkeit, über eine Dokumentation zu verfügen, die Ihre Aktivitäten in Bezug auf Daten und die Gründe für die Verarbeitung dieser Daten belegt.

Das DSGVO sieht vor, dass ein (nebenberuflicher) Datenschutzbeauftragter ernannt wird, der dies überwacht, wenn Sie die im DSGVO dafür vorgesehene Schwelle erreichen (z.B. wenn Ihre Kerntätigkeit die Überwachung von Personen in großem Umfang umfasst).

Zentrale Anlaufstelle für Regulierungsbehörden

Das DSGVO wurde verfasst, um die bisherigen und unterschiedlichen Datenschutzgesetze in der EU zu vereinheitlichen. Das könnte als ein Plus für multinationale Unternehmen angesehen werden, insbesondere für solche, deren Fahrzeuge Grenzen überschreiten.

Es könnte auch bedeuten, dass Sie, wenn Sie ein multinationales Unternehmen in der gesamten EU betreiben, nur mit einer einzigen Regulierungsbehörde zu tun haben: der des Landes, in dem Ihre Hauptniederlassung liegt. Ebenso können Einzelpersonen mit der Regulierungsbehörde in ihrem eigenen Land in Verbindung treten.

Stärkere Sicherheitsanforderungen

Das DSGVO sieht vor, dass die Daten gegen jede Art von unbefugter Nutzung geschützt werden, basierend auf einer Bewertung der Sensibilität der Daten. Standortdaten werden als sensibel angesehen, da sie eine Menge über die Person preisgeben können. All dies erfordert technische und organisatorische Sicherheitsmaßnahmen, um die Risiken zu mindern.

Wenn diese Maßnahmen versagen und einen Sicherheitsvorfall verursachen, sieht das DSGVO vor, dass die Behörden je nach Schweregrad innerhalb von 72 Stunden benachrichtigt werden. Zu diesem Zeitpunkt sollten alle „Betroffenen“, d.h. Personen, mit denen diese Daten in Zusammenhang stehen, benachrichtigt werden, wenn davon ausgegangen wird, dass der Vorfall erhebliche Auswirkungen auf sie hat.

Geldbußen

Das DSGVO räumt den Datenschutzbehörden verschiedene Durchsetzungsbefugnisse ein. Eine dieser Befugnisse ist die Möglichkeit, im Falle der Nichteinhaltung Geldbußen zu verhängen. Die DSGVO sieht vor, dass solche Strafen bis zu 4 % der globalen jährlichen Einnahmen pro Vorfall betragen können, je nach Schwere des tatsächlichen Verstoßes gegen die DSGVO.

Weiter gefasste Elemente der allgemeinen Datenschutzverordnung, die aus dem früheren Recht bestehen bleiben. Das DSGVO sieht vor, dass personenbezogene Daten für einen oder mehrere vordefinierte Zwecke verwendet werden können.

Diese müssen spezifisch und klar beschrieben sein. Der Einzelne muss verstehen können, was ein Zweck bedeutet. Eine Person sollte in der Lage sein, die Frage zu beantworten: „Passt dieser Anwendungsfall tatsächlich in den Zweck?”

Geeignet für Zweck & Art, Volumen und Zeitbeschränkungen

Das DSGVO sieht vor, dass personenbezogene Daten in Bezug auf Art, Umfang und Dauer der Speicherung auf der Grundlage des definierten Zwecks „mit Rechten versehen“ werden. Deswegen erfordert die Verarbeitung personenbezogener Daten eine gut geschriebene, benutzerfreundliche Erklärung.

Wie ein Handbuch, nicht wie ein Vertrag. Natürlich muss die Erklärung den Personen zur Verfügung stehen, bevor Sie mit der Nutzung ihrer Daten beginnen, und auch für sie verfügbar bleiben.

Um personenbezogene Daten rechtmäßig verarbeiten zu können, benötigt das DSGVO insoweit eine gültige gesetzliche Grundlage. Für die Verarbeitung stehen sechs Rechtsgrundlagen zur Verfügung.

Gemäß Punkt 6 sieht das DSGVO auch vor, dass personenbezogene Daten ohne Einverständniserklärung verarbeitet werden können, wenn Sie ein berechtigtes Interesse daran haben.

Typischerweise bezieht sich dies auf die Aufdeckung von Betrug, Missbrauch, Sicherheitsfragen und Geschäftsanalysen. Dies kann auch für das Arbeitsumfeld gelten und sich auf Situationen beziehen, die nicht durch den Arbeitsvertrag abgedeckt sind, wie z.B. die verschiedenen Zwecke, für die die Fahrzeugtelematik eingesetzt wird.

Doch in diesen Fällen sollten nur die für den Zweck erforderlichen Mindestdaten erhoben werden (um die Auswirkungen auf das Recht auf Privatsphäre des Einzelnen zu minimieren) und es sollte sichergestellt werden, dass diese Datenerhebung mit dem DSGVO übereinstimmt.

Das DSGVO räumt Einzelpersonen Rechte ein, wenn ihre Daten verarbeitet werden. Das DSGVO sieht den Zugang zu den Daten vor und ermöglicht es den betroffenen Personen, die Daten einzusehen und eine Kopie davon zu erhalten. Wenn die Daten unrichtig sind, können sie eine Berichtigung beantragen.

Diese Personen haben auch das Recht, eine maschinenlesbare Kopie der Daten zu erhalten und ihre Daten zu löschen, wenn sie diese erhalten haben und aufgrund ihrer Zustimmung oder im Zusammenhang mit der Ausführung eines Vertrages verwendet wurden.

Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit mit guten Sicherheitsmaßnahmen

Personenbezogene Daten müssen nach dem DSGVO sicher aufbewahrt werden. Das heißt, gut geschützt gegen unbefugten und unrechtmäßigen Zugriff, Nutzung und Verlust.

Nach dem DSGVO muss dies auf der Grundlage einer Risikobeurteilung geschehen, die laufend zu geeigneten technischen und organisatorischen Maßnahmen führt. Dies sind die technischen und organisatorischen Maßnahmen, die man zu diesem Zweck durchführen und aufrechterhalten muss.

Persönliche Daten: Sorgfältiger Umgang

Trotz Lücken gibt es beträchtliche gesetzgeberische Anstrengungen, um mit der technologischen Entwicklung Schritt zu halten. Wenn es um die rechtlichen Aspekte der Datenverarbeitung geht, ist nicht das Eigentum, sondern der Zugang am wichtigsten.

Was das Eigentum betrifft, so ist die Grenze zwischen den Rechten an geistigem Eigentum und dem Urheberrecht verwischt. Um die Sache noch frustrierender zu machen, wird das Ganze noch komplizierter, wenn es um persönliche Daten geht: Die Rechte des Einzelnen unterliegen strengen Datenschutzbestimmungen.

Jede Organisation, die Daten von in der EU ansässigen Personen verarbeitet, muss die Bestimmungen der Allgemeinen Datenschutzverordnung (DSGVO) der EU beachten, unabhängig davon, wo sich ihre Sitze, Hauptsitze, Büros oder Server befinden.

Und die DSGVO interessiert sich nicht im Geringsten für Eigentumsfragen: Die Eigentumsrechte sind nicht einmal in der Präambel definiert. Das einzige Ziel der Verordnung ist es, die mit den Daten von Personen verbundenen Rechte zu definieren und zu verwalten.

Die Überwachung der Aktivitäten und des Verhaltens der Fahrer zur Vorhersage und Vermeidung von Unfällen – und damit die Verbesserung der Effizienz der Flotte und der Sicherheit des Personals – klingt nach einem ausreichend unschuldigen und rationalen Interesse beider Beteiligten, d.h. der Fahrer und der Flottenleitungen. Es ist auch offensichtlich, warum das Thema so heikel ist.

Die Vor- und Nachteile der Verfolgung der Aktivitäten der Fahrer liegen jedoch außerhalb des Rahmens dieses Artikels. Wir wollen damit sagen, dass diese Informationen dem Datenschutz unterliegen und rechtliche Konsequenzen nach sich ziehen.

European Diesel Card Limited, Trading Address: Unit 1, Floor 1-4, Chalfont Square, Old Foundry Road, Ipswich, IP4 2A, United Kingdom
Lang - de-de
Lang substr - de