Obwohl es noch einige Zeit dauern dürfte, bis vollständig autonom fahrende Fahrzeuge das Strassenbild prägen werden, hat das automatisierte und letztlich autonome Fahren das Potenzial, die Mobilität fundamental zu revolutionieren. Neben den verbleibenden technologischen Herausforderungen bis zur Erreichung der vollständigen Automatisierung, drängen sich neben haftungsrechtlichen Aspekten gerade aus datenschutzrechtlicher Perspektive noch eine Vielzahl an Fragen auf.
Neue rechtliche Rahmenbedingungen
Das Parlament hat im März 2023 eine Teilrevision des Strassenverkehrsgesetzes vom 19. Dezember 1958 (SVG, SR 741.01) verabschiedet. Diese Änderung soll die Grundlage dafür bilden, dass das automatisierte Fahren in der Schweiz Realität werden kann, sobald die sicherheitstechnischen Anforderungen in einem ausreichenden Mass erfüllt sind. In der Gesetzesrevision werden dem Bundesrat verschiedene Regelungskompetenzen eingeräumt. Der Bundesrat hat hiervon bereits Gebrauch gemacht und die Verordnung über das automatisierte Fahren (AFV) im Oktober 2023 in die Vernehmlassung gegeben. Das Gesetz und die Verordnung sollen voraussichtlich im Verlauf des Jahres 2025 in Kraft treten.
Kern dieser Gesetzesrevision bildet die Frage, inwieweit die fahrzeugführende Person eines Fahrzeuges mit Automatisierungssystem von ihren Aufmerksamkeits- und Beherrschungspflichten befreit wird (vgl. dazu den neuen Art. 25b) und unter welchen Voraussetzungen führerlose Fahrzeuge im Strassenverkehr zugelassen werden.
Daneben finden sich im revidierten Strassenverkehrsgesetz auch Bestimmungen zu Fragen des Datenschutzes, die hauptsächlich den sog. «Fahrmodusspeicher» betreffen. Gemäss dem neuen Art. 25e Abs. 2 SVG müssen Fahrzeuge mit einem Automatisierungssystem mit einem Fahrmodusspeicher ausgerüstet sein, der gewisse Ereignisse aufzeichnet und mit einem Zeitstempel versieht. Dazu zählen namentlich die Aktivierung und Deaktivierung des Automatisierungssystems.
Mit dem Fahrmodusspeicher sollen gemäss bundesrätlicher Botschaft gewisse Parameter aufgezeichnet werden, um nachträglich feststellen zu können, ob zu einem bestimmten Zeitpunkt der Fahrzeugführer oder das Automatisierungssystem für ein bestimmtes Fahrverhalten verantwortlich war. Nach dem neuen Art. 25g Abs. 3 SVG dürfen die Daten des Fahrmodusspeichers für die Aufklärung von Unfällen oder für die Beurteilung von Widerhandlungen gegen die Strassenverkehrsvorschriften von den zuständigen Polizei-, Justiz- und Administrativbehörden ausgelesen und bearbeitet werden. Die Daten müssen von der zuständigen Behörde gelöscht werden, sobald sie nicht mehr erforderlich sind, spätestens aber sechs Monate nach Abschluss des Verfahrens. Auf Daten, die während Fahrten mit dem Fahrzeug von Dritten gespeichert werden, darf der Fahrzeughalter nach dem neuen Art. 25g Abs. 1 SVG nur zugreifen, wenn er ein berechtigtes Interesse geltend machen kann. Ein solches wäre etwa zu verneinen, wenn der Halter die Informationen dazu verwenden würde, um die Nutzungszeit des Fahrzeugs zu überprüfen.
Anwendbarkeit des allgemeinen Datenschutzrechts
Mit der Revision des Strassenverkehrsgesetzes wurde eine wichtige Grundlage dafür gelegt, damit das automatisierte Fahren in der Schweiz Realität werden kann. Mit dem Instrument des Fahrmodusspeichers werden die wichtigsten Handlungen und Vorkommnisse des automatisierten Fahrbetriebs dokumentiert. Dabei stellt das revidierte SVG in Art. 25e Abs. 2 die Regelung auf, dass der Fahrmodusspeicher gegen unbefugten Zugriff und Manipulation geschützt sein muss. Diese Daten des gesetzlich vorgesehenen Fahrmodusspeichers lassen jedoch nur in einem sehr begrenzten Ausmass Rückschlüsse auf den Halter bzw. den Fahrzeugführer zu. Es handelt sich dabei primär um Daten, die das technische Zusammenspiel von Fahrzeugführer und Automatisierungssystem betreffen. Neben der Datenerhebung durch den Fahrmodusspeicher ist das automatisierte Fahren untrennbar mit der Erhebung einer Vielzahl weiterer Daten verbunden, wobei auch Personendaten von Drittpersonen (wie Passanten und Beifahrer) betroffen sein können. So werden sämtliche Strassenverkehrsteilnehmer laufend durch Sensoren und Kameras des automatisierten Fahrzeuges erfasst.
Die Datenbearbeitung ausserhalb der Minimalanforderungen im Fahrmodusspeicher bilden nicht unmittelbaren Gegenstand der SVG-Revision, weshalb das allgemeine datenschutzrechtliche Instrumentarium beizuziehen ist. Massgebend ist mangels spezialgesetzlicher Regelung primär das Bundesgesetz über den Datenschutz vom 25. September 2020 (DSG, SR 235.1) und die Datenschutzverordnung (DSV). In der Praxis wird auch der Datenschutz-Grundverordnung vom 27. April 2016 (EU 2016/679, DSGVO) eine grosse Bedeutung zukommen, weil sich zahlreiche Autohersteller in der Europäischen Union befinden und sich bei der Entwicklung der Fahrzeuge primär an diesem Regelwerk orientieren werden. Häufig werden in automatisierten Fahrzeugen Systeme von internationalen Herstellern eingesetzt, deren Datenverarbeitungseinrichtungen im Ausland liegen. In diesen Konstellationen müssen auch die Grundsätze der Datenübermittlung ins Ausland eingehalten werden (vgl. Art. 16 DSG).
Ebenfalls fehlen im neuen Strassenverkehrsgesetz Bestimmungen über die Nutzung der Daten im Rahmen von sog. Dual SIM-Karten, welche die Information aus dem Fahrzeug und/oder dem Fahrmodusspeicher an den Hersteller oder eine Garage übermitteln. Ein solcher Datenaustausch erfolgt weiterhin gemäss den Bestimmungen des Fernmeldegesetzes vom 30. April 1997 (FMG, SR 784.10) bzw. subsidiär nach dem DSG. Die Nutzung von Daten im Rahmen der Aufklärung von Unfällen richtet sich nach der Schweizerischen Strafprozessordnung vom 5. Oktober 2007 (StPO, SR 312.0).
Betroffene Daten
Betroffen sind neben den gesetzlich zwingend im Fahrmodusspeicher zu erfassenden Parametern potenziell eine Vielzahl von weiteren Daten, wobei jeder Schritt hin zum vollumfänglich autonomen Fahren mit einem Anstieg der betroffenen Datenmenge einhergeht. Erfasst werden die Daten primär durch Sensoren (z.B. Radar oder Light Detection and Ranging [LiDAR]), Kameras und den Einsatz der GPS-Technologie.
Betroffen sind zunächst Daten über den technischen Zustand des Fahrzeugs (wie z.B. Kraftstoffverbrauch oder Zustand der Bremsen). Daneben sind Daten zur Umgebung und zur Position des Fahrzeugs für das automatisierte Fahren unabdingbar. Dabei wird von den Kameras und Sensoren die komplette Umgebung erfasst, wozu neben Verkehrsschildern und Markierungen etwa auch Häuser, Radfahrer und Passanten zählen. Diese Daten können die Entscheidungsgrundlage dafür bilden, ob das Fahrzeug einem auf der Strasse liegenden Objekt ausweichen muss. Zu erwähnen sind auch Daten, die im Zusammenhang mit der Kommunikation zwischen Fahrzeugen bzw. zwischen Fahrzeugen und Infrastruktur anfallen (sog. vernetztes Fahren basierend auf (Dual-)SIM-Karten der Fernmeldediensteanbieter). Schliesslich können auch Daten über den Fahrzeugführer und dessen Verhalten und Präferenzen erhoben werden (z.B. zu bevorzugten Routen, Reisezeiten oder zum Aufmerksamkeitsgrad). Solche Daten können mitunter einen sehr persönlichen Einblick in die Verfassung des Fahrzeugführers, mithin seinem persönlichen Leben geben und es kann zu einem eigentlichen Profiling kommen (Art. 5 lit. f DSG). Verwendet der Fahrzeugführer wiederholt die gleichen Start- bzw. Zielpunkte können auch sog. Geolokalisationsdaten von Bedeutung sein. Gestützt auf diese sind z.B. Rückschlüsse und Vorhersagen in Bezug auf die persönlichen Vorlieben des Fahrzeugführers möglich. Es handelt sich dabei um sog. Geolokationsdaten. Einerseits können solche Daten vom Hersteller ausgewertet werden, um das Nutzererlebnis zu optimieren. Andererseits könnten Hersteller jedoch auch einen Anreiz haben, entsprechende Daten (z.B. für Garagen, Notfalldienste und evt. sogar Werbung) weiterzuverkaufen. Neben dem Fahrzeugführer können auch Beifahrer von Datenbearbeitungen betroffen sein, insbesondere durch Kameras im Fahrzeuginnenraum oder beim Einsatz von (Notfall-)Kommunikationssystemen.
Das Schweizerische Datenschutzrecht kommt nur zur Anwendung, wenn Personendaten bearbeitet werden (Art. 2 Abs. 2 DSG). Bei Personendaten handelt es sich um alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (Art. 5 lit. a DSG), wobei der Begriff der Personendaten weit zu verstehen ist. Im Bereich des automatisierten Fahrens liegt ein Personenbezug vor, sofern die Daten Rückschlüsse auf den Fahrzeugführer, Beifahrer oder andere Verkehrsteilnehmer ermöglichen. In Bezug auf den Fahrzeugführer kann es etwa zu einem Personenbezug kommen, wenn die Mobilitätsdaten mit dem Kennzeichen, der Fahrgestellnummer oder mit den Angaben aus dem Nutzerkonto verknüpft werden. Dies ist wohl in der Regel der Fall, da bei neuen Fahrzeugen eine solche Registrierung notwendig ist.
Denkbar ist auch, dass besonders schützenswerte Personendaten betroffen sind, bei deren Bearbeitung erhöhte Anforderungen zu beachten sind (Art. 5 lit. c DSG). Dies ist namentlich der Fall, wenn die Bild- oder Videoaufzeichnungen besonders schützenswerte Informationen enthalten. Zu denken ist ferner daran, dass sich das Fahrzeug nur mittels zuvor hinterlegten Fingerabdrucks, Gesichtserkennung oder Spracherkennung öffnen lässt. Solche Massnahmen zur eindeutigen Identifikation des Fahrzeugführers setzen die Erfassung von physischen bzw. physiologischen Merkmalen eines Individuums voraus und fallen deshalb unter die Kategorie der biometrischen Daten (Art. 5 lit. c Ziff. 4 DSG). Sofern Kameras oder Sensoren aus Sicherheitsgründen im Fahrzeuginnern Daten zur Aufmerksamkeit oder zur Fahrfähigkeit des Fahrzeugführers erfassen (z.B. zum Alkoholisierungsgrad, Medikamenten- oder Drogeneinfluss), kann unter Umständen auch die Kategorie der Daten über die Gesundheit (Art. 5 lit. c Ziff. 2) betroffen sein.
Bestimmung des Verantwortlichen
Eine Herausforderung kann im Bereich des automatisierten Fahrens die Feststellung des Verantwortlichen für die jeweilige Datenbearbeitung sein (vgl. Art. 5 lit. j DSG). Zu denken ist zunächst an den Hersteller, der durch die technische Ausgestaltung des Fahrzeugs darüber entscheidet, welche Daten zur Ermöglichung des automatisierten Fahrens erhoben werden. Als Verantwortlicher kommt infrage ausserdem der Halter, der Fahrzeugführer und schliesslich der Händler, der das entsprechende Fahrzeug verkauft. In derartigen Konstellationen kann der gesetzlich ausdrücklich vorgesehene Tatbestand der gemeinsamen Verantwortlichkeit («zusammen mit anderen») Anwendung finden. So etwa wenn der Fahrzeugführer (neben dem Hersteller) über die Erhebung, Speicherung und Weiterbearbeitung von Kameraaufzeichnungen zumindest mitbestimmen kann und diese z.B. im Nachhinein abspielen kann.
Praktisch von Bedeutung war die Bestimmung des Verantwortlichen im Zusammenhang mit dem «Wächtermodus» (Sentry Mode) des Autoherstellers Tesla. Mit diesem Feature sollen Einbrüche oder Diebstähle verhindert werden. Als Teil dieser Überwachungsfunktion wurde ursprünglich die Umgebung automatisch mit Kameras gefilmt, sobald sich Personen in einer bestimmten Distanz zum parkierten Fahrzeug befanden. Ähnlich wie bei Dash-Cams besteht bei einem solchen Vorgehen das Problem, dass die entsprechenden Aufnahmen ohne Einwilligung und Information der betroffenen Personen erfolgen, weshalb diese Funktion aus datenschutzrechtlicher Sicht in verschiedenen Ländern als unzulässig eingestuft wurde. Verschiedene Tesla-Fahrer wurden aufgrund der Verwendung dieser Funktion sogar gebüsst. Tesla stellte sich dabei stets auf den Standpunkt, die Kontrolle über die im Wächter-Modus erfassten Daten liege beim Fahrer. Demgegenüber sahen die Tesla-Fahrer den Autohersteller in der Verantwortung. Das Unternehmen hat aufgrund von Datenschutzbedenken das Sicherheitssystem in einigen Ländern kürzlich dahingehend angepasst, dass der Sentry Mode nur noch aktiviert wird, wenn gleichzeitig auch das Fahrzeug berührt wird. Neu ist die Funktion zudem auch standardmässig deaktiviert und muss vom Fahrzeugnutzer aktiv eingeschaltet werden. Strafverfolgungsbehörden in der Schweiz nutzen die mit dem Sentry Mode aufgezeichneten Bilder auch für Delikte, die nicht im Zusammenhang mit dem aufzeichnenden Fahrzeug stehen.
Datenschutzrechtliche Rechtfertigungsgründe
Auch nach der Schaffung der gesetzlichen Grundlagen zur Ermöglichung des automatisierten Fahrens im SVG bleiben mit Blick auf die datenschutzrechtlichen Rechtfertigungsgründe noch Fragen offen. Die neuen SVG-Bestimmungen wurden gemäss Botschaft primär zur Erhöhung der Verkehrssicherheit und der Steigerung der Effizienz des Verkehrssystems erlassen. Diese Bestimmungen könnten grundsätzlich als gesetzlicher Rechtfertigungsgrund für Datenbearbeitungen bei automatisierten Fahrzeugen in Frage kommen. Den Interessen der Verkehrssicherheit und der Steigerung der Effizienz des Verkehrssystems steht allerdings der Schutz der Persönlichkeit der betroffenen Personen gegenüber.
Der Gesetzgeber hat mit den neuen Bestimmungen im Strassenverkehrsgesetz deutlich zum Ausdruck gebracht, dass er das automatisierte Fahren in der Schweiz ermöglichen will. Da sich das automatisierte Fahren nicht ohne die Erhebung von gewissen Daten sicher betreiben lässt, anerkennt der Gesetzgeber damit zumindest implizit eine Datenbearbeitung im dafür erforderlichen Umfang. Dazu zählen Daten, die für die Orientierung und die Steuerung der automatisierten Fahrzeuge zwingend erforderlich sind. Mangels ausdrücklicher gesetzlicher Regelung zum zulässigen Umfang der Datenbearbeitung können sich in der Praxis jedoch Abgrenzungsprobleme ergeben. Gerade die Frage, welche Bearbeitung von Personendaten noch dem Primärzweck der Verkehrssicherheit und Verkehrssteuerung entspricht, dürfte nicht immer eindeutig sein. Festhalten lässt sich bereits heute: Je weiter sich die Datenbearbeitung vom eigentlichen Primärzweck (Verkehrssicherheit und Steigerung der Effizienz in Verkehrssystemen) entfernt, desto eher ist der Verantwortliche gehalten, die Datenbearbeitung auf einen anderen Rechtfertigungsgrund abzustützen.
Gerade für weitergehende Datenbearbeitungen dürfte deshalb auch dem Rechtfertigungsgrund der Einwilligung durch die betroffene Person eine grosse Bedeutung zukommen. Diese muss «nach angemessener Information» und «freiwillig» erteilt werden. Sind besonders schützenswerte Personendaten betroffen, ist gar eine ausdrückliche Einwilligung erforderlich (Art. 6 Abs. 7 lit. a DSG). Die Verantwortlichen werden hier Vorkehrungen zu treffen haben, um zu gewährleisten, dass sich die Einwilligung auf den tatsächlichen Fahrzeugführer erstreckt. Dies kann gerade bei einem Abweichen von Fahrzeughalter- und Fahrzeugführereigenschaft (wie z.B. bei Geschäftsfahrzeugen) für zusätzliche Herausforderungen sorgen.
Während sich die Einholung der Einwilligung beim Halter bzw. Fahrzeugführer noch relativ gut bewerkstelligen lässt, ist dies bei anderen Verkehrsteilnehmern wie z.B. Passanten und Beifahrern nicht möglich. In diesen Fällen kann das Instrument der Anonymisierung Abhilfe schaffen, indem die Gesichter von Passanten verpixelt werden. Zu beachten ist dabei jedoch, dass mit der Verpixelung auch die Information über die Blickrichtung des Fussgängers verloren geht, die wertvolle Hinweise über dessen Absichten im Verkehr liefern kann. Datenschutzrechtlich unproblematisch sind hingegen für Systeme, die lediglich mit Sensoren arbeiten, die nur abstrakt erkennen, dass es sich beim erfassten Objekt um einen Menschen handelt.
Nur eine geringe Bedeutung zukommen dürfte hingegen dem Rechtfertigungsgrund des überwiegenden privaten Interesses bzw. des Vertrages (vgl. Art. 31 Abs. 2 lit. a DSG). Der Rechtfertigungsgrund des Vertrages setzt einen Vertragsschluss zwischen dem Hersteller und der betroffenen Person voraus und kann damit in Bezug auf andere Verkehrsteilnehmer, die keine Vertragsparteien sind, nicht angerufen werden. Zudem bezieht sich der Rechtfertigungsgrund des Vertragsschlusses lediglich auf Daten, um Vertragsrisiken zu reduzieren. Mangels unmittelbarer Verbindung zum Vertragsschluss kann sich der Hersteller damit nicht auf diesen Rechtfertigungsgrund abstützen, um beispielsweise Bewegungsprofile des Fahrzeugführers zu erstellen. Gegenüber einem Schädiger (z.B. bei einem Parkschaden) kommt jedoch unter Umständen ein überwiegendes privates Interesse infrage (Schutz des Eigentums). Hier kann die Datenbearbeitung beispielsweise gerechtfertigt sein, um einen eigenen Schadenersatzanspruch durchzusetzen.
Ausblick und Fazit:
Der Schweizer Gesetzgeber hat mit der Revision des Strassenverkehrsgesetzes die rechtlichen Grundlagen für den Einsatz von automatisierten Fahrzeugen im Strassenverkehr geschaffen, womit die Hauptverantwortung jetzt bei den Automobilherstellern liegt. Das automatisierte Fahren ist untrennbar mit der Erfassung einer Vielzahl von Daten verbunden, wozu auch besonders schützenswerte Personendaten zählen können. Nebst technologischen Fragen werden damit gerade auch Fragen des Datenschutzes in Zukunft ein Schlüsselfaktor für das Vertrauen in das automatisierte und schliesslich autonome Fahren sein. Mit zunehmendem Automatisierungsgrad der Fahrzeuge ist mit einem weiteren Anstieg der betroffenen Datenmenge zu rechnen. Immer wichtiger werden damit technische Schutzmassnahmen zur Verhinderung von Cyberangriffen und Vorkehrungen zur Gewährleistung der Datensicherheit. Für zusätzliche Impulse sorgen dürfte auch der (in grossen Teilen ab dem Jahr 2025 anwendbare) EU Data Act, worin insbesondere das Datenzugangsrecht klar geregelt ist (vgl. grundlegend zum Data-Act auch den Beitrag von Martin Schirmbacher/Marcus Czempinski «Her mit den Daten! Was der Data Act verlangt»). Zur Stärkung des öffentlichen Vertrauens in das automatisierte Fahren könnten inskünftig überdies auch Zertifizierungen nach dem Datenschutzgesetz eine wichtige Rolle spielen. Bei der Entwicklung automatisierter Fahrzeuge gilt es die richtige Balance zwischen dem Interesse der Verkehrssicherheit und den zahlreichen Aspekten des Datenschutzes zu finden. Es bleibt abzuwarten, wie gut es der Automobilindustrie gelingen wird, diesem Spannungsfeld zu begegnen und gleichzeitig das Potenzial dieser neuen Technologie vollumfänglich auszuschöpfen.
Quellen
- Änderung des Strassenverkehrsgesetzes (SVG) vom 17. März 2023 (Schlussabstimmungstext, BBl 2023 791)
- Botschaft zur Änderung des Strassenverkehrsgesetzes vom 17. November 2021, BBl 2021 3026
- Bundesgesetz vom 25. September 2020 über den Datenschutz (DSG, SR 235.1)
- Schweizerischen Strafprozessordnung vom 5. Oktober 2007 (StPO, SR 312.0)
- Fernmeldegesetz vom 30. April 1997 (FMG, SR 784.10)
- Verordnung über den Datenschutz (Datenschutzverordnung, DSV)
- Datenschutz-Grundverordnung vom 27. April 2016 (DSGVO, EU 2016/679)
- Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung vom 13. Dezember 2023 (Data Act, EU 2023/2854)