Vom 28. September 2016
Deutscher Bundestag Drucksache 18/9897
18. Wahlperiode 28.09.2016
Kleine Anfrage
der Abgeordneten Renate Künast, Dr. Konstantin von Notz,
Stephan Kühn (Dresden), Luise Amtsberg, Matthias Gastel, Katja Keul,
Monika Lazar, Nicole Maisch, Irene Mihalic, Özcan Mutlu,
Hans-Christian Ströbele und der Fraktion BÜNDNIS 90/DIE GRÜNEN
Datenzugriff und Datenschutz bei digitalisierten und vernetzten Fahrzeugen
Moderne Fahrzeuge verfügen über bis zu 80 digitale Steuergeräte, die auch per-
sonenbeziehbare Daten und Informationen erheben, verarbeiten und nutzen, so-
wie einer Anzahl von bis zu 100 verschiedenen Sensoren (z. B. Positions-, Regen-,
Videosensoren). Die digitalen Steuergeräte und Sensoren generieren – oftmals in-
transparent für den Fahrzeughalter – selbsttätig große Menge von Daten und In-
formationen zur Umgebung, zur Fahrweise, aber auch direkt zum Zustand der
Fahrenden. So wird beispielsweise die Atemluft kontrolliert, der Herz- oder Pu-
pillenschlag überwacht oder der psychische Zustand per Sprachanalyse verfolgt
(vgl. insgesamt mit weiteren Nachweisen: Hornung/Goeble, CR 4/2015,
S. 265 ff., ferner Bundestagsdrucksache 18/6343).
Ebenfalls massiv ausgebaut wird die interne Konnektivität der Fahrzeuge, für ei-
nige Systeme wie die On-Board-Diagnose gibt es bereits herstellerübergreifende
Standards. Doch auch die externe Vernetzung von Fahrzeugen schreitet weiter
voran, bei der es um die Kommunikation des Fahrzeugs mit seiner Umgebung
geht. Bereits heute etabliert sind Positionsgeräte, die Standortdaten an andere
Fahrzeuge, Hersteller, Werkstätten usw. weitergeben, oftmals ohne Offenlegung
gegenüber den Fahrzeugbesitzern.
Auch wenn das sogenannte vollautonome oder hochautomatisiertes Fahren bis-
lang nur vereinzelnd auf Teststrecken erprobt wird, hat das Bundesministerium
für Verkehr und digitale Infrastruktur gleichwohl angekündigt, in Kürze gesetz-
liche Regelungen vorzulegen. Ziel ist es offenbar, die deutschen Hersteller, die
im internationalen Wettbewerb mit anderen Automobilanbietern stehen, aber
auch datensammelnde Unternehmen, rechtlich abzusichern.
Die Diskussion über den Umgang mit den Daten und Informationen derjenigen
bzw. über diejenigen, die das Fahrzeug nutzen, ist in vollem Gange, wobei die
Verwertung der anfallenden Daten und Informationen, wie etwa bei dem Versi-
cherungsmodell „Pay as you drive“ im Mittelpunkt der Diskussionen und sich
rasant entwickelnder Geschäftsmodelle zu stehen scheint.
Kommerzielle Verwertungsinteressen an den anfallenden Daten und Informatio-
nen haben nicht allein Fahrzeughersteller, Zulieferer, Werkstätten. Die dabei ent-
stehenden Bewegungsprofile sind sowohl für Versicherungen, Sicherheitsbehör-
den als auch diverse Aufsichtsbehörden von größtem Interesse. Besitzt das Fahr-
zeugt eine Verbindung zum Internet, was schon heute oftmals der Fall ist, kom-
men auch die Interessen großer Internetanbieter und deren Konzepte personali-
sierter Werbung zusätzlich ins Spiel.
Drucksache 18/9897 – 2 – Deutscher Bundestag – 18. Wahlperiode
Begehrlichkeiten, auf die im Zuge der weiteren Digitalisierung des Verkehrssek-
tors zunehmend anfallenden Daten und Informationen zuzugreifen, sind mannig-
faltig. Insgesamt entstehen vielfache neue Risiken der Erfassung und der miss-
bräuchlichen Nutzung von Daten und Informationen, auf die der Gesetzgeber an-
gemessen reagieren muss. Die Einsetzung einer unabhängig besetzten Ethik-
Kommission, die sich auch mit diesen zentralen Fragen der informationellen
Selbstbestimmung im digitalisierten Verkehrssektor zwingend beschäftigen
muss, ist daher grundsätzlich zu begrüßen. Sinnvoll erscheint es, die Ergebnisse
ihrer Arbeit abzuwarten, um sie in gesetzliche Regulierungsvorschläge einfließen
zu lassen.
Mit der voranschreitenden Digitalisierung und Vernetzung des Verkehrssektors
entstehen zugleich gravierende IT-Sicherheitsrisiken, die sich damit nicht allein
auf das einzelne Fahrzeuge und Insassen, sondern auf die Sicherheit des Verkehrs
insgesamt auswirken können. Beispiele hierfür sind verschiedene Hacks und die
Möglichkeit der Fremdsteuerung verschiedener Fahrzeuge. Die auch mit der Di-
gitalisierung einhergehende Möglichkeit der Manipulierbarkeit der Software von
Fahrzeugen gegenüber aufsichtsbehördlichen Kontrollverfahren sowie die Ver-
siegelung bis hin zu einer „black box“, an Stelle von Transparenz und Prüfbarkeit,
stellt die überkommenen Prüfungsverfahren als auch den Regelungsrahmen zum
Schutz von Allgemeininteressen und Persönlichkeitsrechten zusätzlich infrage.
Aus Sicht der Fragesteller können intelligente Verkehrsnetze wachsende Ver-
kehrsströme bewältigen helfen und damit wichtige öffentliche Interessen beför-
dern, so dass Förderung und Forschung durchaus gerechtfertigt erscheinen. Auf
die zahlreichen Potentiale der Digitalisierung des Verkehrsbereichs macht die
Bundesregierung in ihrer „Strategie Intelligente Vernetzung“ (vgl. Bundestags-
drucksache 18/6022) aufmerksam, ohne jedoch angemessen zu berücksichtigen,
dass Schutzmechanismen für die Verbraucherinnen und Verbraucher und die Be-
achtung des Grundrechts auf informationelle Selbstbestimmung zwingende Vo-
raussetzungen sind, um die vielfältigen Potentiale tatsächlich nutzbar zu machen.
Trotz der bereits seit Jahren beforschten und diskutierten Dynamik dieser Ent-
wicklung fehlt es bis heute an der Übernahme der Schutzverantwortung für IT-
Sicherheit und Datenschutz durch die Bundesregierung. Die Formulierungen der
„Strategie Intelligente Vernetzung“ bleiben vielmehr allgemein und unspezifisch,
zahlreiche Vorschläge und Anregungen aus dem eigens eingerichteten Runden
Tisch Automatisiertes Fahren werden bislang ebenfalls nicht aufgegriffen.
Wir fragen die Bundesregierung:
1. Teilt die Bundesregierung die Auffassung, dass die Gemeinsame Erklärung
der Datenschutzbehörden des Bundes und der Länder und des Verbandes der
Automobilindustrie e. V. (VDA) einen ersten, hinsichtlich der Kooperation
der Industrie überfälligen, aber längst nicht hinreichenden Schritt zur Schaf-
fung der notwendigen Rechtssicherheit für den Datenschutz darstellt?
2. Teilt die Bundesregierung die Auffassung, wonach mit der Anbindung von
KFZ an das Internet dem Grunde nach das gesamte Spektrum datenschutz-
rechtlicher Fragen aufgeworfen werden, die im Internet ohnehin bereits be-
stehen, und wenn nein, warum nicht?
3. Welche gesetzgeberischen Maßnahmen sind von der Bundesregierung und
dem Bundesministerium für Verkehr und digitale Infrastruktur in diesem Be-
reich geplant, und in welcher Form sind hier die Zuständigkeiten zwischen
dem Bundesministerium des Inneren und dem Bundesministerium für Ver-
kehr und digitale Infrastruktur aufgeteilt?
Deutscher Bundestag – 18. Wahlperiode – 3 – Drucksache 18/9897
4. Bezieht sich der geplante Entwurf von Bestimmungen im Straßenverkehrs-
gesetz zum verpflichtenden Einbau von „Black boxes oder Chips“ (www.
handelsblatt.com/politik/deutschland/autonomes-fahren-wir-koennen-uns-
kein-weiteres-zoegern-leisten/13891736.html) auf unterschiedliche Stufen
der möglichen Automatisierung, und werden dementsprechend weiter diffe-
renzierende Regelungen vorgelegt?
5. Welchen konkreten Regelungsrahmen sieht die „Dobrindtsche“ black box
(siehe Frage 4) hinsichtlich der Speicherdauer, des Speicherumfanges sowie
der Zugänglichkeit unter welchen Bedingungen für welche öffentlichen
und/oder nichtöffentlichen Stellen vor?
6. Wurde in das konkrete Verfahren der Gesetzeserstellung bereits die Bundes-
beauftragte für den Datenschutz und die Informationsfreiheit mit einbezogen
und um Stellungnahme gebeten, und wenn nein, warum nicht?
7. Wurde in das konkrete Verfahren der Gesetzeserstellung bereits das Bundes-
amt für die Sicherheit in der Informationstechnik mit einbezogen und zur
Stellungnahme aufgefordert, und wenn nein, warum nicht?
8. Ist die Bundesregierung auch hinsichtlich vernetzter Autos in die Arbeit des
Düsseldorfer Kreises eingebunden, und wenn ja, in welcher Form (bitte auf
entsprechenden Beschluss o. Ä. verweisen)?
9. Wird die Bundesregierung im Rahmen der Vorlage einer Neuregelung des
Straßenverkehrsgesetzes, wie am Runden Tisch entsprechend vorgetragen,
eine gesetzliche Regelung mit aufnehmen, welche Vorkehrungen zur Daten-
sicherheit und den Schutz sowohl der Fahrzeuginsassen als auch der weiteren
Verkehrsteilnehmer vor dem Missbrauch von Daten zur Bedingung der Zu-
lassung von Kraftfahrzeugen und deren Anhänger macht, und wenn nein,
warum nicht?
10. Wird die Bundesregierung im Rahmen der geplanten Erweiterung des Stra-
ßenverkehrsgesetzes die regelmäßigen Untersuchungen und Prüfungen von
Fahrzeugen zur Gewährleistung der Verkehrssicherheit um den Prüfungs-
punkt Datensicherheit gesetzlich erweitern und dabei zugleich auch die An-
forderungen an die Untersuchungsstellen als auch der Zentralen Stelle mit
einbeziehen, und wenn nein, warum nicht?
11. Wird die Bundesregierung bei der geplanten Regelung zur Ermöglichung as-
sistierten Fahrens gemäß den Vorgaben der Europäischen Datenschutz-
grundverordnung und der bestehenden gesetzlichen Bestimmungen zur Ge-
währleistung von Privacy by Design und Sparsamkeit bei der Verarbeitung
personenbezogener Informationen und Daten (§ 3a des Bundesdatenschutz-
gesetzes – BDSG) Bestimmungen in die Straßenverkehrszulassungsordnung
(StVZO) mit aufnehmen, wonach speziell Fahrzeuge mit automatisierten
Fahrfunktionen und/oder Assistenzfunktionen so gebaut und ausgerüstet sein
müssen, dass ihr verkehrsüblicher Betrieb niemanden schädigt oder mehr als
vermeidbar gefährdet, belästigt oder behindert, und wenn nein, warum nicht?
12. Wie bewertet die Bundesregierung Vorschläge bzw. wird sie diese in ihr Ge-
setzesvorhaben aufnehmen, wonach in der Straßenverkehrszulassungsord-
nung die Verpflichtung zum Bau datensicherer und die Einhaltung daten-
schützender Bestimmungen taugender Fahrzeuge aufzunehmen ist, und
wenn nein, weshalb nicht?
Drucksache 18/9897 – 4 – Deutscher Bundestag – 18. Wahlperiode
13. Teilt die Bundesregierung die Auffassung, wonach die Entwicklung Anlass
gibt, bereits in der Straßenverkehrszulassungsordnung explizite Verpflich-
tungen aufzunehmen, dass alle für die Sicherheit wichtigen elektronischen
Bauteile, Komponenten und Funktionen bei Störungen nicht nur die betroffe-
nen Fahrerinnen und Fahrer informieren, sondern auch zur Überprüfung über
die elektronische Fahrzeugschnittstelle verfügbar sein müssen, und wenn
nein, warum nicht?
14. Teilt die Bundesregierung die Auffassung u. a. des Deutschen Verkehrssi-
cherheitsrates e. V., wonach fehlerhafte Aktionen/Reaktionen hochauto-
matisierter Fahrfunktionen nicht der Fahrerin oder dem Fahrer angelastet
werden dürfen, und wenn nein, warum nicht?
15. Besteht nach Auffassung der Bundesregierung Regelungsbedarf hinsichtlich
der Frage, inwiefern Hersteller, ihre Zulieferer, Entwickler oder Fahrer selbst
für durch fehlerhafte Software herbeigeführte Unfälle und Schäden haften
müssen, und wenn nein, warum nicht?
16. Welche Rolle sollen nach Auffassung der Bundesregierung Versicherungen
bei Schadensfällen (siehe Frage 13) spielen und auf Basis welcher Daten und
welcher Datenquellen sollten Versicherungen Unfallhergänge rekonstruieren
und auswerten dürfen?
17. Wird die Bundesregierung auf europäischer Ebene darauf hinwirken, dass im
Rahmen des laufenden Verfahrens zur Änderung der Richtlinie 2007/46/EG
über die Genehmigung von Kfz, Systemen und selbständigen technischen
Einheiten grundlegende Anforderungen an Datensicherheit und Datenschutz
wie der Schutz vor Hacking/unbefugten Zugriffen, die Sicherheit bereits er-
fasster Daten, die Feststellung, Meldung und der Umgang mit Hackingan-
griffen und unbefugten Zugriffen sowie die Ermöglichung der Kontrolle über
Datenerfassungen, Datenübermittlungen, Datenspeicherungen und Daten-
nutzungen mit aufgenommen werden, und wenn nein, warum nicht?
18. Unterstützt die Bundesregierung Forderungen, wonach in der EU-Verord-
nung 2007/46 (COM 2016/31 final) auch entsprechende Strafbestimmungen
für Verstöße gegen Vorgaben der Datensicherheit und des Datenschutzes im
Fahrzeug mit aufgenommen werden, und wenn nein, warum nicht?
19. Wirkt die Bundesregierung im Verfahren um die Verordnung 2007/46 darauf
hin, dass bezüglich unterschiedlicher Fahrzeugtypen Transparenz für Ver-
braucher geschaffen wird, etwa in Gestalt standardisierter Graphiken, in wel-
chem Umfang diese Datensicherheits- und Datenschutzmaßnahmen erfüllt
werden, und wenn nein, warum nicht?
20. Wirkt die Bundesregierung darauf hin, dass Typgenehmigungen von Fahr-
zeugen und technische Überprüfungen in der Verordnung 661/2009 derart
miteinander verknüpft werden, dass die allgemeinen Konstruktionsanforde-
rungen nicht nur die Einhaltung von Datensicherheit und Datenschutz ge-
währleisten, sondern zugleich auch die Überprüfung dieser Anforderungen
in den vorgeschriebenen technischen Prüfungen ermöglicht wird, und wenn
nein, warum nicht?
21. Wird die Bundesregierung oder wirkt die Bundesregierung bereits darauf
hin, dass im Rahmen der EU-PTI-Richtlinie 2014/45/EU Änderungen dahin-
gehend aufgenommen werden, dass zukünftig bei den vorgesehenen techni-
schen Prüfungen auch Anforderungen an den Schutz der Verkehrsteilnehmer
vor dem Missbrauch von im Verkehr anfallenden Daten sowie Anforderun-
gen an die Datensicherheit insgesamt mit überprüft werden können, und
wenn nein, warum nicht?
Deutscher Bundestag – 18. Wahlperiode – 5 – Drucksache 18/9897
22. Teilt die Bundesregierung die Auffassung des Bundesministers für Verkehr
und digitale Infrastruktur, Alexander Dobrindt, wonach zukünftig „Daten-
reichtum statt Datensparsamkeit“ als Devise gelten müsse (www.heise.de/
newsticker/meldung/Zwei-Jahre-digitale-Agenda-Cloud-hoert-sich-an-wie-
Stehlen-3314846.html), und teilt sie die Auffassung, dass diese Devise zu-
mindest im Hinblick auf den Umgang mit personenbezogenen Daten und In-
formationen nicht der geltenden Rechtslage entspricht (§ 3a BDSG)?
23. Wird die Bundesregierung im Rahmen der Umsetzung der Vorgaben der Da-
tenschutzgrundverordnung den geltenden Grundsatz datenschutzrechtlicher
Datensparsamkeit streichen?
24. Wurde im Rahmen der Ressortabstimmung zum ersten Entwurf eines Um-
setzungsgesetzes zur EU-Datenschutz-Grundverordnung (ABDSG) bereits
die Planungen des Bundesverkehrsministeriums mit einbezogen, und wenn
ja, in welcher Hinsicht?
25. Handelt es sich bei den geplanten Regelungen des Straßenverkehrsgesetzes
aus Sicht der Bundesregierung um bereichsspezifische Datenschutzbestim-
mungen, und wenn ja, in welchem Umfang finden darauf nach Auffassung
der Bundesregierung die Bestimmungen der Datenschutzgrundverordnung
Anwendung?
26. In welcher Form sollen die in verbauten Softwares eingesetzten Algorithmen
auf ihre Sicherheit und Rechtmäßigkeit überprüft werden, und teilt die Bun-
desregierung die Auffassung, dass die Verkehrssicherheit betreffende Algo-
rithmen durch die Hersteller gegenüber den zuständigen Aufsichtsbehörden
offengelegt werden müssen und nicht unter das Geschäftsgeheimnis fallen?
27. Welche Daten werden nach Kenntnis der Bundesregierung von Telematik-
boxen im Zusammenhang mit Telefonica Digital Instance Services Servers
erhoben, und was geschieht mit diesen Daten?
Berlin, den 28. September 2016
Katrin Göring-Eckardt, Dr. Anton Hofreiter und Fraktion
Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com
Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de
anzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de