25. August 2017
Am 23.08.2018 hat Bundesminister Alexander Dobrindt im Kabinett den Bericht der Ethik-Kommission zum automatisierten Fahren vorgestellt. Der Bericht umfasst im Kern Leitlinien für die Programmierung automatisierter Fahrsysteme. Beschlossen wurde daraufhin, dass ein Maßnahmenplan zur Umsetzung der Ergebnisse des Berichts erstellt werden soll.
Dobrindt:
„Die Interaktion von Mensch und Maschine wirft in der Zeit der Digitalisierung und der selbstlernenden Systeme neue ethische Fragen auf. Das automatisierte und vernetzte Fahren ist die aktuelle Innovation, bei der diese Interaktion in voller Breite Anwendung findet. Die Ethik-Kommission im BMVI hat dafür absolute Pionierarbeit geleistet und die weltweit ersten Leitlinien für automatisiertes Fahren entwickelt. Diese Leitlinien setzen wir jetzt um – und bleiben damit international Vorreiter für die Mobilität 4.0.“
Kernpunkte sind:
- Das automatisierte und vernetzte Fahren ist ethisch geboten, wenn die Systeme weniger Unfälle verursachen als menschliche Fahrer (positive Risikobilanz).
- Sachschaden geht vor Personenschaden: In Gefahrensituationen hat der Schutz menschlichen Lebens immer höchste Priorität.
- Bei unausweichlichen Unfallsituationen ist jede Qualifizierung von Menschen nach persönlichen Merkmalen (Alter, Geschlecht, körperliche oder geistige Konstitution) unzulässig.
- In jeder Fahrsituation muss klar geregelt und erkennbar sein, wer für die Fahraufgabe zuständig ist: Der Mensch oder der Computer.
- Wer fährt, muss dokumentiert und gespeichert werden (u.a. zur Klärung möglicher Haftungsfragen).
- Der Fahrer muss grundsätzlich selbst über Weitergabe und Verwendung seiner Fahrzeugdaten entscheiden können (Datensouveränität).
Aus dem Bericht ist des Weiteren zu entnehmen, dass viele technische und personenbezogene Daten verarbeitet werden müssen, um ein autonomes Fahren überhaupt erst zu ermöglichen. Dabei treten nicht nur Mensch und Maschine in Kontakt, sondern eben auch technische Einrichtungen untereinander. Systeme innerhalb des Fahrzeugs werden mit neuen Systemen außerhalb des Fahrzeugs miteinander kommunizieren müssen. Um eine völlige Totalüberwachung aller Verkehrsteilnehmer zu vermeiden und um einen gewissen autonomen Handlungsspielraum im Straßenverkehr beizubehalten, ist es wichtig, dass Systeme datenschutzfreundlich gestaltet werden. Der Ausgleich zwischen Datensammlung und informationeller Selbstbestimmung wird in den nächsten Jahren eine noch wichtigere Rolle spielen als es bereits jetzt schon der Fall ist.
In diesem Zusammenhang stellt der Bericht beispielsweise klar: „Entsprechend dem datenschutzrechtlichen Grundsatz Privacy by Default sollten die Fahrzeuge zudem bereits bei Auslieferung datenschutzfreundliche Voreinstellungen besitzen, welche Erhebungen, Verarbeitungen und Nutzungen von nicht-fahrzeugsteuerungserheblichen Daten, sofern diese nicht absolut sicherheitsrelevant sind, unterbinden, bevor diese nicht durch den Fahrer aktiv freigegeben werden (…)“
14. Juli 2017
Der Konzeption von Art. 25 DSGVO liegt der Gedanke zugrunde, dass durch datenschutzfreundliche Technikgestaltung („Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) dem Datenschutz schon zu einem möglichst frühen Zeitpunkt Rechnung getragen werden soll. Die unrechtmäßige Verarbeitung oder ein Missbrauch von Daten soll damit möglichst schon präventiv verhindert werden. In Art. 25 Abs. 1 DSGVO werden dabei Grundsätze für das Privacy by Design und in Art. 25 Abs. 2 DSGVO die entsprechenden Grundsätze für das Privacy by Default normiert. In erster Linie richtet sich die Norm an die Verantwortlichen i.S.d. Art. 4 Nr. 7 DSGVO und nicht unmittelbar an die Hersteller von Produkten, Diensten und Anwendungen. Mittelbar soll sich aus Art. 25 Abs. 1 DSGVO jedoch auch für Hersteller und Entwickler eine datenschutzrechtliche Vorfeldwirkung ergeben und diese dazu ermutigt werden, datenschutzfreundliche Produkte, Systeme und Dienste anzubieten.
Privacy by Design (Art. 25 Abs. 1 DSGVO)
Privacy by Design wird dabei von der Erkenntnis geleitet, dass sich im digitalen Zeitalter die rechtlichen Vorgaben des Datenschutzrechts dann am besten umsetzen und wahren lassen, wenn sie bereits in den neuen technischen Entwicklungen berücksichtigt und in sie integriert werden. Die Befolgung des Datenschutzes soll zur festen Komponente bei der Entwicklung neuer Technologien und Systeme werden. Im Idealfall führt datenschutzfreundliche Technikgestaltung präventiv dazu, dass datenschutzrechtliche Verstöße verhindert und das Vertrauen der Nutzer in die Technologien und Systeme gestärkt wird. Um einen solchen Datenschutz durch Technik umzusetzen, verpflichtet Art. 25 Abs. 1 DSGVO den Verantwortlichen i.S.d. Art. 7 Nr. 7 DSGVO dazu, geeignete technische und organisatorische Maßnahmen umzusetzen. Bei dieser Umsetzung bietet Art. 25 Abs. 1 DSGVO dem Verantwortlichen sodann eine Abwägungsmöglichkeit. Umstände wie der Stand der Technik, die Implementierungskosten und die Risiken für die Rechte und Freiheiten natürlicher Personen können mit in die Abwägung einbezogen werden. Als eine beispielhafte Maßnahme für Privacy by Design nennt Art. 25 Abs. 1 DSGVO die Pseudonymisierung. Auch wenn Anonymisierung und Maßnahmen zur Datenminimierung nicht ausdrücklich in Art. 25 Abs. 1 DSGVO genannt sind, sind sie als beispielhafte Maßnahmen für Privacy by Design anzuführen.
Privacy by Default (Art. 25 Abs. 2 DSGVO)
Hinter dem Schlagwort Privacy by Default verbirgt sich eine besondere Form des Datenschutzes durch Technik. Durch vom Verantwortlichen vorzunehmende technische Voreinstellungen soll sichergestellt werden, dass grundsätzlich nur die personenbezogenen Daten erhoben und verarbeitet werden, die für den konkreten Zweck auch tatsächlich erforderlich sind. Die technischen Voreinstellungen sollen also an dem Grundsatz der Datenminimierung ausgerichtet werden. Zum einen soll dadurch das ausufernde Datensammeln eingeschränkt werden. Zum anderen soll dadurch aber auch ein Schutz derjenigen Nutzer bewirkt werden, die die Auswirkungen von Verarbeitungsvorgängen mittels moderner Technologie nicht voll erfassen und deswegen auch nur seltener selbst datenschutzfreundliche Voreinstellungen vornehmen. Umsetzungsbeispiele für Privacy by Default können beispielsweise darin bestehen, dass Online-Browser besuchten Webservern automatisch mitteilen, dass die Nutzer nicht getrackt werden möchten oder das in technischen Verarbeitungsprozessen Daten möglichst schnell pseudonymisiert werden. Eine unzulässige Entmündigung der Nutzer ist in datenschutzfreundlichen Voreinstellungen nicht zu sehen. Nutzer, die auf den Schutz ihrer personenbezogenen Daten etwa keinen Wert legen, können die Voreinstellungen jederzeit nach ihren Vorstellungen ändern.
Das Thema der nächsten Woche ist der 3. Teil des Bereichs Datenschutz im Unternehmen