Der Fortschritt kommt und bringt komplexe Rechtsfragen: Freie Fahrt für auto­nome Fahr­zeuge?

Was sich nach Science-Fiction anhört, soll auf deutschen Straßen bald Realität sein. Im Juli 2021 ist das Gesetz zum autonomen Fahren in Kraft getreten, das die Teilnahme selbstfahrender KFZ am öffentlichen Straßenverkehr in zuvor festgelegten Betriebsbereichen ermöglicht und unter Änderung des Straßenverkehrsgesetzes (StVG) die technischen und organisatorischen Anforderungen an die Erteilung einer entsprechenden Betriebserlaubnis regelt. 

Nun hat der Bundesrat am 20. Mai 2022 der vom Bundesministerium für Digitales und Verkehr (BMDV) entworfenen Autonome-Fahrzeuge-Genehmigungs- und-Betriebs-Verordnung (AFGBV) zugestimmt, die diese Anforderungen konkretisiert und damit den Weg für die Anwendung des Gesetzes in der Praxis ebnet. 

Ganz ohne menschliche Kontrollinstanz sollen die autonomen KFZ jedoch nicht auskommen. Erforderlich ist eine sogenannte technische Aufsicht, eine natürliche Person, die den Betrieb eines oder mehrerer Fahrzeuge – von außerhalb – überwacht und erforderlichenfalls in die autonomen Fahrfunktionen eingreifen kann. Der Aufwand für eine Betriebserlaubnis wird Privatpersonen regelmäßig überfordern. Das Gesetz zum autonomen Fahren richtet sich damit primär an öffentliche sowie private Personenbeförderer und Logistikunternehmen. 

Freie Fahrt für autonome Fahrzeuge – so scheint es. Doch datenschutzrechtliche Vorgaben und umfassende Datenbereitstellungspflichten machen das autonome Fahren auch weiterhin zu einem rechtlich komplexen Unterfangen. 

Verkehrssicherheit und Datenschutz brauchen die richtige Balance

Gemäß § 4 Abs. 1 Nr. 4 AFGBV darf durch den Betrieb des autonomen KFZ weder die Sicherheit und Leichtigkeit des Straßenverkehrs beeinträchtigt noch Leib und Leben von Personen gefährdet werden. Damit dies gelingt, sind selbstfahrende Fahrzeuge allerdings auf die Verarbeitung großer Mengen personenbezogener Daten angewiesen. Nur so lässt sich das Verhalten der anderen Verkehrsteilnehmer bestmöglich vorhersagen, um risikoadäquat reagieren und Unfälle vermeiden zu können. 

Die AFGBV stellt gleich mehrfach klar, dass dabei die Datenschutz-Grundverordnung (DSGVO) und spezialgesetzliche datenschutzrechtliche Vorschriften, etwa die ePrivacy-Richtlinie, einzuhalten sind. Hier offenbart sich das Spannungsverhältnis zwischen den Vorgaben des Datenschutzes und der Verkehrssicherheit.

Als vertrackt gestaltet sich bereits die Suche nach einer praktikablen Rechtsgrundlage für die Datenverarbeitung. Gerade in Hinblick auf andere Verkehrsteilnehmer kommt die Verarbeitung aufgrund einer datenschutzrechtlichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder die Verarbeitung zur Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b DSGVO) nur selten in Betracht. Die nach Art. 6 Abs. 1 lit. f DSGVO bzw. – im Falle sensibler Daten – nach Art. 9 Abs. 2 lit. g DSGVO erforderliche Interessenabwägung ist mit Bedacht durchzuführen, zumal regelmäßig auch Daten von Kindern betroffen sein werden und die DSGVO der Verarbeitung zum Zwecke automatisierter Entscheidungsfindung skeptisch gegenübersteht steht. 

Konfliktpotenzial birgt auch der in Art. 5 Abs. 1 lit. a DSGVO verankerte Transparenzgrundsatz. So ist im Einzelfall zu klären, ob und wenn ja, wie die Informationspflichten des Art. 13 DSGVO gegenüber anderen Verkehrsteilnehmern umsetzen sind. Erforderlich ist schließlich bei sämtlichen Verarbeitungsprozessen eine Gratwanderung zwischen der straßenverkehrsrechtlich geforderten Verkehrssicherheit und der von Art. 5 Abs. 1 lit. c DSGVO verordneten Datensparsamkeit. 

Bewegungsdaten lassen weitreichende Rückschlüsse zu

Mit § 1g StVG führt das Gesetz zum autonomen Fahren eine Vorschrift ein, welche die anlassbezogene Speicherung von Fahrzeugdaten durch die Fahrzeughalter regelt. Ausgelöst wird die Speicherpflicht durch das Auftreten gewisser Gefahrensituationen, wie einem Eingreifen durch die technische Aufsicht, (Beinahe-)Unfällen, Ausweichmanövern oder sonstigen Störungen im Betriebsablauf. Zu speichern sind neben der Fahrzeugidentifikationsnummer auch Positionsdaten, Daten zu Umwelt- und Wetterbedingungen, zur Geschwindigkeit und Daten zum technischen Status des Fahrzeugs. Die gesammelten Daten sollen dem Kraftfahrt-Bundesamt als Grundlage zur Überwachung des sicheren Betriebs des KFZ dienen. 

Neben § 1g StVG existieren weitere Pflichten zur Bereitstellung von Mobilitätsdaten, wie jene nach der jüngsten Novelle des Personenbeförderungsgesetzes (PBefG). Gemäß § 3a PBefG sind Unternehmen, die Personenbeförderungsleistungen anbieten, verpflichtet, unter anderem dynamische Mobilitätsdaten, wie Standortdaten oder Echtzeitdaten zur Auslastung, an einen nationalen Zugangspunkt zu übermitteln. Dieser nationale Zugangspunkt gewährt Behörden, Unternehmen sowie Privatpersonen, zentral Zugang zu den Echtzeitdaten, um eine effizientere und damit auch nachhaltiger Nutzung der vorhandenen Infrastruktur zu ermöglichen. 

Doch die Bereitstellung von Mobilitätsdaten birgt datenschutzrechtliche Tücken. So sind Standortdaten laut dem Europäischen Datenschutzausschuss (EDSA) als besonders sensibel einzustufen, da sie vielfältige Rückschlüsse auf den privaten Lebensbereich erlauben. Ferner können die für die Übermittlung an verschiedene Stellen notwendigen Schnittstellen die Resilienz gegenüber Cyberangriffen schwächen. Die Verpflichteten müssen Datenschutz- und Datenzugangsmanagement entsprechend aufeinander abstimmen.

Ausblick: Weitere Vorgaben in Sichtweite

Die dargestellten Bereitstellungspflichten bilden nur den Anfang eines gesetzgeberischen Prozesses, um den Zugang zu und die Nutzung von Fahrzeugdaten breitflächig zu regulieren. So möchte die Bundesregierung laut dem Koalitionsvertrag ein Mobilitätsdatengesetz schaffen, das Fahrzeugdaten mittels eines Treuhandmodells für eine Vielzahl privater und öffentlicher Akteure nutzbar macht. 

Eine ähnliche Zielsetzung verfolgt der am 23. Februar 2022 veröffentliche Entwurf für einen Data Act, der es Nutzern vernetzter Produkte, wozu auch Fahrzeuge gehören, ermöglichen soll, Zugang zu den von ihnen erzeugten Daten zu erhalten und diese mit Dritten zu teilen. Friktionen mit dem Datenschutz und dem Schutz von Betriebs- und Geschäftsgeheimnissen sind vorprogrammiert. 

Mit dem am 21. April 2021 veröffentlichten Kommissionsentwurf für eine KI-Verordnung (KI-VO) deutet sich ein weiterer Regelungsbaustein an. Die KI-VO soll als weltweit erster Rechtsakt sektorübergreifend Rahmenbedingungen für die Entwicklung, Verwendung und den Vertrieb von KI-Systemen schaffen. KI-Systeme, die im Straßenverkehr zum Einsatz kommen, unterliegen nach dem Entwurf umfangreichen Anforderungen, etwa im Hinblick auf die Widerstandsfähigkeit des Systems im Falle von Störungen oder Cyberangriffen oder die Qualität der verwendeten Trainings-, Validierungs- und Testdatensätze. Die Vorgaben der KI-VO sollen künftig im Rahmen der Typengenehmigung von KFZ Berücksichtigung finden. 

Ausweislich der Gesetzesbegründung dient das Gesetz zum autonomen Fahren lediglich als Zwischenlösung bis zu einer Harmonisierung auf EU-Ebene. Es bleibt zu hoffen, dass der EU-Gesetzgeber die Gelegenheit nutzt, um Datenschutz, Datenzugang und Verkehrssicherheit besser zu verzahnen, denn KI-VO und Data Act werden die Beteiligten vor weitere Herausforderungen stellen.

Dr. Christoph Werkmeister LL.M. (Cambridge) ist Partner und globaler Co-Leiter der Daten- und Technologiepraxis von Freshfields Bruckhaus Deringer und Lehrbeauftragter für Daten- und KI-Recht an den Universitäten Düsseldorf und Bonn.

Caspar Alexander Weitz ist Wissenschaftlicher Mitarbeiter bei Freshfields Bruckhaus Deringer.