Forschungsinformationssystem des BMVI

zurück Zur Startseite FIS

Datenschutz durch Anonymisierung und Pseudonymisierung

Erstellt am: 06.08.2017 | Stand des Wissens: 30.07.2018
Ansprechpartner
Technische Universität Hamburg, Institut für Logistik und Unternehmensführung, Prof. Dr. T. Blecker

Beim autonomen Fahren fallen nicht nur technische Daten der fahrzeuggebundenen Sensoren und der Infrastruktur sondern auch viele Daten an, die als personengebundene Daten aufzufassen sind. Mit diesen Daten sind Aussagen über Fähigkeiten des Fahrers, Fahrverhalten, Mobilitätsverhalten, soziale Interaktion, Umgebung des Fahrzeuges inklusive Informationen über Dritte (z. B. Aufenthalt an Orten) etc. möglich. Diese Daten sind für diverse Akteure interessant, z. B. Versicherungen, Kfz-Hersteller, Internet-Unternehmen, Strafverfolgungsbehörden, Verkehrszentralen, Flottenbetreiber etc. Manche der möglichen Nutzungsszenarien sind berechtigt oder sogar erforderlich, wie eine Datenerhebung zur Abstimmung mit anderen Verkehrsteilnehmern.
In Summe betrachtet besteht bei der Masse der potenziell zu erhebenden Daten aber die Gefahr der permanenten Überwachung und das Risiko eines erheblichen Grundrechtsverstoßes. Daher muss grundsätzlich immer geprüft werden, ob bestimmte Daten erforderlich sind. Diese Datensparsamkeit ist nach dem Bundesdatenschutzgesetz und der Datenschutz-Grundverordnung explizit zu gewährleisten [BDSG] [DSGVO] und eine der wichtigsten Methoden zum Schutz vor Datenmissbrauch. Vom Deutschen Verkehrsgerichtstag wurden im Jahr 2014 elf Grundsätze zum Datenschutz bei Fahrzeugdaten formuliert [VGT14]:

1. Einwilligung und Wahlfreiheit,
2. Rechtmäßigkeit und genaue Bestimmung des Zwecks der Datenverarbeitung,
3. Beschränkung der Erfassung,
4. Datenminimierung,
5. Beschränkung der Verwendung, Speicherung und Weitergabe,
6. Richtigkeit und Qualität,
7. Offenheit, Transparenz und Auskunft,
8. Individuelle Beteiligung und Zugriff,
9. Rechenschaftspflicht,
10. Informationssicherheit,
11. Erfüllung der Datenschutzanforderungen
Über diese Grundsätze hinaus ist nach dem Bundesdatenschutzgesetz (BDSG) und der Datenschutz-Grundverordnung (DSGVO) ein Datenschutz auch durch Anonymisierung und Pseudonymisierung möglich. Als Anonymisieren wird nach Paragraph 3 Artikel 6 BDSG a.F. das Verändern personenbezogener Daten verstanden, sodass Angaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden [BDSG]. Anonymisierte Daten sollen selbst von der Instanz, die die Anonymisierung durchgeführt hat, nicht mehr auf eine Person zurückzuführen sein [Knop15]. Pseudonymisieren ist nach Artikel 4 DSGVO eine spezifische Verarbeitung personenbezogener Daten damit diese ohne Hinzuziehung zusätzlicher Informationen, welche gesondert aufbewahrt werden, nicht mehr der Person zuzuordnen sind [DSGVO].
Der Vorteil von Pseudonymen gegenüber Anonymität ist, dass Daten in ein pseudonymes Profil zusammengeführt und gemeinsam genutzt werden können. Dabei schränkt jedoch das Verwenden von Pseudonymen die Datenverarbeitung ein. Durch ein Pseudonym kann auch ein rechtlich wirksames Geschäft durchgeführt werden, da die Handlung einem bestimmten Profil zugeordnet werden kann. Dieses Profil ist allerdings nicht mit einer Person verknüpft. So können beispielweise Online-Zahlungen über das Netzwerk im Auto abgewickelt werden, ohne dass personenbezogene Daten ausgespäht werden können [Knop15].
Sollte die Vermeidung der Aufzeichnung personenbezogener Daten nicht möglich sein, stellen Anonymisierung und Pseudonymisierung wichtige Ansätze zum Datenschutz dar. Anonymisierung und  Pseudonymisierung werden in der Art. 25 DSGVO als technische und organisatorische Maßnahmen explizit im Kontext der datenschutzfreundlichen Technikgestaltung und Auswahl der Voreinstellungen von technischen Systemen erwähnt [DSGVO]. Zu beachten ist jedoch, dass auch bei einer datenschutzfreundlichen Gestaltung autonomer Fahrzeuge internetfähige, intelligente Endgeräte (Smartphones) eine mittelbare Erhebung personenbezogener Daten (Standort, Bewegungsprofile, etc.) ermöglichen [VbW16].
Darüber hinaus kann eine Anonymisierung bei technisch unzureichender Umsetzung auch rückgängig gemacht werden. Wenn beispielsweise Standortdaten eines Fahrzeuges anonym aufgezeichnet werden, kann bei der Auswertung der Daten ein permanent verfügbarerer Abstellplatz (z. B. Garage) ermittelt werden, den das Fahrzeug regelmäßig nutzt und so z. B. über die Bewohner eines Hauses mit einem Führerschein auf den Halter geschlossen werden. Ähnliche Angriffe sind auch bei einer Pseudonymisierung möglich. Wenn beispielweise das Pseudonym für ein Fahrzeug aus dem Modell, der Farbe und einer zufälligen Nummer gebildet wird, könnte ein so gebildetes Pseudonym "Opel Astra schwarz 123" auf viele Nutzer zutreffen. Dagegen wäre das Pseudonym "Maserati neo-gelb 456" leicht einem bestimmten Halter zuzuordnen, wenn nur eine Stadt oder ein kleinerer Stadtteil als Untersuchungsgebiet betrachtet wird [JeGrLu16].
Ergänzend wird daher im Strategiepapier "Automatisiertes und vernetztes Fahren" der Bundesregierung formuliert, dass Automobilhersteller, Zulieferer und Dienstleister die Verschlüsselung der Daten und der Kommunikation sicherstellen müssen. Gleichzeitig soll in Bezug auf den Datenschutz geprüft werden, ob eine Zertifizierung eingeführt oder die Systeme durch eine externe Stelle kontrolliert werden sollen [JeGrLu16]. Der Datenschutz sollte zukünftig durch eine externe Institution sichergestellt werden und nicht nur auf Vertrauensbasis durch die Automobilindustrie erfolgen.
Ansprechpartner
Technische Universität Hamburg, Institut für Logistik und Unternehmensführung, Prof. Dr. T. Blecker
Zugehörige Wissenslandkarte(n)
Security Autonomes Fahren (Stand des Wissens: 09.10.2017)
https://www.forschungsinformationssystem.de/?475978
Literatur
[JeGrLu16] Meik Jensen, Nils Gruschka, Jens Lüssem Datenschutz im Fahrzeug der Zukunft: Vernetzt, Autonom, Elektrisch, veröffentlicht in Informatik 2016 - Lecture Notes in Informatics (LNI), Gesellschaft für Informatik, Bonn, 2016, Online-Referenz http://cs.emis.de/LNI/Proceedings/Proceedings259/441.pdf
[Knop15] Michael Knopp Pseudonym - Grauzone zwischen Anonymisierung und Personenbezug, veröffentlicht in Datenschutz und Datensicherheit - DuD, Ausgabe/Auflage 08, Wiesbaden, 2015/08/15, Online-Referenz doi:10.1007/s11623-015-0464-y, ISBN/ISSN 1862-2607
[VbW16] Vereinigung der Bayerischen Wirtschaft e. V. Automatisiertes Fahren - Datenschutz und Datensicherheit, Ausgabe/Auflage 3, München, 2016/08, Online-Referenz https://www.vbw-bayern.de/Redaktion/Frei-zugaengliche-Medien/Abteilungen-GS/Recht/2016/Downloads/Positionspapiere_3/vbw-Position-Automatisiertes-Fahren-Datenschutz-und-Datensicherheit-August-2016.pdf
[VGT14] o.A. 52. Deutscher Verkehrsgerichtstag: Empfehlungen, 2015
Rechtsvorschriften
[BDSG] Bundesdatenschutzgesetz
[DSGVO] Datenschutz-Grundverordnung

Auszug aus dem Forschungs-Informations-System (FIS) des Bundesministeriums für Verkehr und digitale Infrastruktur

https://www.forschungsinformationssystem.de/?473766

Gedruckt am Montag, 21. September 2020 14:48:32