Datenschutz bei der Digitalisierung der Mobilität

Florian Sackmann

doi:10.5771/9783748907312

Datenschutz bei der Digitalisierung der Mobilität

Eine sektorspezifische Analyse der Leistungsfähigkeit und des Weiterentwicklungsbedarfs der Datenschutzordnung

Reihe: Recht der Informationsgesellschaft

Band 43 1. Auflage 2020

Kein Zugriff

doi.org/10.5771/9783748907312
ISBN print: 978-3-8487-6652-9
ISBN online: 978-3-7489-0731-2
Nomos, Baden-Baden Nomos, Baden-Baden

Im Shop erwerben

Zusammenfassung

Die Entwicklung zu einer „Mobilität 4.0“ hat großes Potential. Dem wirtschaftlichen und gesellschaftlichen Mehrwert steht jedoch das steigende Risiko eines „gläsernen Menschen“ gegenüber, dessen tägliche Bewegungen nachvollziehbar werden. Auf dieses Risiko muss das Recht zeitnah zur technischen Entwicklung Antworten geben. Die Arbeit identifiziert zunächst in einer Realweltanalyse die besonderen Herausforderungen für den Schutz der Privatsphäre, die sich durch eine datengetriebene Mobilität stellen. Auf der Basis des geltenden Rechts werden Lösungsmöglichkeiten entwickelt und Defizite der geltenden Datenschutzordnung herausgearbeitet. Daraus wird schließlich der aktuelle legislative Handlungsbedarf ermittelt. Da die Mobilität als Querschnittsphänomen eine Vielzahl von Lebensbereichen betrifft, können die Erkenntnisse auch für andere Teilaspekte der Digitalisierung nutzbar gemacht werden.

Kapitel Ausklappen | EinklappenSeiten
1–20 Titelei/Inhaltsverzeichnis 1–20
21–22 A. Einführung 21–22
23–29 B. Gegenstand, Ziele und Methodik der Arbeit 23–29
- I. Begriffe
  - 1. Digitalisierung
    - a) Begriff der Digitalisierung
    - b) Weitere Begriffe im Zusammenhang mit der Digitalisierung
  - 2. Mobilität
  - 3. Digitalisierung der Mobilität
  - 4. Wesentliche Begriffe im Datenschutzrecht
    - a) Personenbezogene Daten und betroffene Person
    - b) Datenverarbeitung
    - c) Verantwortlicher
    - d) Betroffene Person
- II. Gegenstand der Arbeit und Forschungsziele
- III. Gang der Untersuchung und Methodik
30–54 C. Analyse des Forschungsgegenstandes anhand von Fallstudien 30–54
- I. Auswahl repräsentativer Phänomene und Systematisierung nach Verkehrsträgern
- II. Der individuelle Straßenverkehr
  - 1. Das „Smart Car“
    - a) Grundlagen
    - b) Datenverarbeitende Prozesse
      - aa) Daten aus dem Fahrzeugumfeld
      - bb) Daten aus dem Fahrzeuginnenraum sowie aus fahrzeugeigenen Systemen
      - cc) E-Call-Systeme als Einstieg in die Vernetzung
    - c) Datenschutzrechtliche Relevanz der verarbeiteten Daten
    - d) Spezifische Probleme
  - 2. Autonomes/automatisiertes Fahren
    - a) Grundlagen
    - b) Datenverarbeitende Prozesse
    - c) Datenschutzrechtliche Relevanz der verarbeiteten Daten
    - d) Spezifische Probleme
  - 3. Car2X-Kommunikation
    - a) Grundlagen
    - b) Datenverarbeitende Prozesse
    - c) Datenschutzrechtliche Relevanz der verarbeiteten Daten
    - d) Spezifische Probleme
  - 4. Verkehrsflussanalyse
    - a) Grundlagen
    - b) Datenverarbeitende Prozesse
    - c) Datenschutzrechtliche Relevanz der verarbeiteten Daten
    - d) Spezifische Probleme
  - 5. Automatisierte Mautabrechnung
    - a) Grundlagen
    - b) Datenverarbeitende Prozesse
    - c) Datenschutzrechtliche Relevanz der verarbeiteten Daten
    - d) Spezifische Probleme
  - 6. Abrechnungssysteme bei E-Tankstellen
    - a) Grundlagen
    - b) Datenverarbeitende Prozesse
    - c) Datenschutzrechtliche Relevanz der verarbeiteten Daten
    - d) Spezifische Probleme
  - 7. Telematiktarife bei der Kfz-Versicherung
    - a) Grundlagen
    - b) Datenverarbeitende Prozesse
    - c) Datenschutzrechtliche Relevanz der verarbeiteten Daten
    - d) Spezifische Probleme
  - 8. Mitfahrzentralen
    - a) Grundlagen
    - b) Datenverarbeitende Prozesse
    - c) Datenschutzrechtliche Relevanz der verarbeiteten Daten
    - d) Spezifische Probleme
  - 9. Free-floating Carsharing
    - a) Grundlagen
    - b) Datenverarbeitende Prozesse
    - c) Datenschutzrechtliche Relevanz der verarbeiteten Daten
    - d) Spezifische Probleme
- III. Digitale Dienste im öffentlichen Personenverkehr
  - 1. Grundlagen
  - 2. Datenverarbeitende Prozesse
  - 3. Datenschutzrechtliche Relevanz der verarbeiteten Daten
  - 4. Spezifische Probleme
- IV. Digitale Dienste im Luftverkehr
  - 1. Grundlagen
  - 2. Datenverarbeitende Prozesse
  - 3. Datenschutzrechtliche Relevanz der verarbeiteten Daten
  - 4. Spezifische Probleme
- V. Seamless-Mobility als das Verschmelzen der Verkehrsträger durch digitale Plattformen
  - 1. Grundlagen
  - 2. Datenverarbeitende Prozesse
  - 3. Datenschutzrechtliche Relevanz der verarbeiteten Daten
  - 4. Spezifische Probleme
- VI. Zusammenfassung und datenschutzrechtliche Herausforderungen der Entwicklung
55–168 D. Untersuchung der gegenwärtigen datenschutzrechtlichen Rahmenbedingungen 55–168
- I. Die Problemlage im Mobilitätssektor
- II. Grundlagen der Datenschutzordnung
  - 1. Grundrechtliche Vorprägung
    - a) Bipolares Verhältnis im öffentlichen Bereich
    - b) Multipolarer Grundrechtskonflikt im nichtöffentlichen Bereich
  - 2. Ausdifferenzierung im Unionssekundärrecht und Ergänzung durch das nationale Recht
    - a) Das Mehrebenensystem der einfachgesetzlichen Datenschutzordnung
    - b) Zweiteilung in allgemeine und bereichsspezifische Regelungen
    - c) Keine Differenzierung zwischen öffentlichen und nichtöffentlichen Verantwortlichen in der DS-GVO
    - d) Differenzierung zwischen öffentlichen und nichtöffentlichen Verantwortlichen im nationalen Recht
- III. Normbezogene Analyse des Rechtsrahmens
  - 1. Relevante allgemeine und bereichsspezifische Normen
    - a) DS-GVO als zentrales Normenwerk im Datenschutzrecht mit punktuellen nationalen Ergänzungen
    - b) Relevanz des bereichsspezifischen Telekommunikationsdatenschutzrechts
    - c) Relevanz des bereichsspezifischen Telemediendatenschutzrechts
    - d) Geringe Zahl mobilitätsspezifischer Datenschutznormen
    - e) Zwischenfazit
  - 2. Räumlicher Anwendungsbereich der Datenschutzordnung
    - a) Räumlicher Anwendungsbereich der DS-GVO
      - aa) Niederlassung innerhalb der EU
        (1) Begriff der Niederlassung
        (2) Verarbeitung im Rahmen der Tätigkeit einer Niederlassung
        (3) Zusammenfassung
      - bb) Keine Niederlassung innerhalb der EU
        (1) Angebot von Waren und Dienstleistungen in der Union
        (a) Kriterien für Mobilitätsdienstleister
        (b) Grenzüberschreitende Angebote
        (c) Schutzlücken bei reiner Durchfahrt
        (2) Verhaltensbeobachtung
        (3) Keine Beschränkung auf Internetsachverhalte
        (4) Zwischenfazit
    - b) Räumlicher Anwendungsbereich der nationalen Datenschutzgesetze innerhalb der Datenschutzordnung
      - aa) Heterogenität durch inkohärente nationale Begleitgesetzgebung
        (1) Heterogenität der nationalen Regelungen schon beim Anwendungsbereich
        (2) Heterogenität der ergänzenden Regelungen zu den Informationspflichten
        (3) Zwischenfazit
      - bb) Weitere Ausdifferenzierung des Normensystems durch Landesrecht
        (1) Abgrenzung zwischen nichtöffentlichen und öffentlichen Verantwortlichen besonders im Nahverkehr erforderlich
        (2) Anwendbares Landesrecht
        (3) Heterogenität der Betroffenenrechte besonders problematisch
        (a) Inhaltlich divergierende Landesvorschriften zu den Betroffenenrechten
        (b) Folgen insbesondere für den ÖPNV
        (4) Zwischenfazit
      - cc) Videoüberwachung öffentlicher Verkehrsflächen als Beispiel für datenschutzrechtliche „Kleinstaaterei“
        (1) Relevanz ausländischen Rechts
        (2) Bundes- und Landesrecht
        (3) Allgemeines und bereichsspezifisches Recht
        (4) Anwendungsvorrang der DS-GVO bei unionsrechtswidrigem nationalem Recht
        (5) Vielzahl unterschiedlicher Regelungen bei vergleichbarer Interessenlage
      - dd) Zusammenfassung und Bewertung
    - c) Exkurs: weltweite Standards
  - 3. Sachlicher Anwendungsbereich: Personenbezug von Daten (Art. 2 DS-GVO)
    - a) Grundlagen
    - b) Personenbezug bei der individuellen motorisierten Mobilität
      - aa) Besondere Problemlage und Meinungsstand
        (1) Abgrenzung reiner Sachdaten
        (2) Differenzierung zwischen personen- und fahrzeugbezogenen Daten wenig sachgerecht
      - bb) Erforderlichkeit eines schutzzweckorientierten Verständnisses
      - cc) Personenbezug für wen?
        (1) Grundlagen
        (2) Analyse des Gesetzeswortlauts
        (3) Teleologische Auslegung als wesentliches Kriterium
        (4) Relativer Ansatz mit strenger Risikoorientierung als sachgerechte Lösung
        (5) Auswirkungen auf die Bewertung von Fahrzeugdaten
        (a) Datenverarbeitung außerhalb des Fahrzeugs
        (b) Datenverarbeitung innerhalb des Fahrzeugs
      - dd) Personenbezug hinsichtlich welcher Person?
        (1) Identifizierbarkeit des Halters und Eigentümers
        (2) Identifizierbarkeit des Fahrers
        (3) Identifizierbarkeit mitreisender Personen
        (4) Identifizierbarkeit fahrzeugexterner Personen
        (5) Schlussfolgerung: rechtliche Zugriffsmöglichkeit kein hinreichendes Kriterium
        (6) Erforderlichkeit korrespondierender weiter Zulässigkeitstatbestände
        (7) Zwischenfazit
      - ee) Zwischenfazit
    - c) Die Staudatenanalyse als Beispiel für die Anonymisierung von Mobilitätsdaten
      - aa) Begriff der Anonymisierung
      - bb) Technischer Hintergrund der Staudatenanalyse
      - cc) Die Anonymisierung bei der Staudatenanalyse
      - dd) Zwischenfazit
    - d) Personenbezug bei Diensten im öffentlichen Nah- und Fernverkehr
      - aa) Identifizierbarkeit durch Netzwerkkennung des Nutzergerätes
      - bb) Identifizierbarkeit bei Diensten mit Entgeltabrechnung
    - e) Die Bedeutung der Haushaltsausnahme im Mobilitätssektor
      - aa) Grundlagen
      - bb) Mitfahrzentralen als Anwendungsbeispiel
      - cc) Zwischenfazit
    - f) Zwischenfazit
  - 4. Der Verantwortliche (Art. 4 Nr. 7, 28 DS-GVO)
    - a) Komplexe Struktur der Beteiligten als mobilitätsspezifisches Problem
    - b) Plattformanbieter oder Verkehrsdienstleister als Verantwortlicher?
      - aa) Verantwortlicher und Auftragsverarbeiter
      - bb) Gemeinsame Verantwortlichkeit
      - cc) Differenzierung beim Grad der Verantwortlichkeit
    - c) Das Beispiel des Verkehrs- und Tarifverbunds
    - d) Der Verantwortliche beim Kfz
      - (1) Beteiligte an der Datenverarbeitung
      - (2) Verantwortlichkeit der Beteiligten
      - (3) Halter und Hersteller als zentrale Akteure
      - (4) Herausgehobene Stellung des Fahrzeugherstellers
      - (5) Zwischenfazit zum Verantwortlichen beim Kfz
    - e) Zwischenfazit
  - 5. Rechtmäßigkeit der Verarbeitung (Art. 6 DS-GVO)
    - a) Bedeutung der gesetzlichen Zulässigkeitstatbestände für Mobilitätsdienste
    - b) Zulässigkeit einiger exemplarischer Anwendungsbeispiele
      - aa) Datenverarbeitung im Zusammenhang mit dem digitalisierten Automobil
        (1) Telekommunikationsdatenschutzrecht für die car2x-Kommunikation
        (2) Verarbeitung von Daten des Halters oder Fahrzeugführers
        (a) Durchführung eines Vertrages mit der betroffenen Person
        (b) Gesetzliche Verpflichtung
        (c) Interessensabwägung
        (3) Verarbeitung von Mitfahrerdaten
        (4) Verarbeitung von Daten fahrzeugexterner Personen
        (a) Grundlagen und Besonderheiten
        (b) Sicherheitsrelevante Anwendungen
        (c) Sonstige Anwendungen
        (5) Zwischenfazit
      - bb) Verkehrsflussanalyse
        (1) Daten des Vertragspartners des Anbieters
        (2) Daten von sonstigen betroffenen Personen
        (3) Ergebnis
      - cc) Mautabrechnung
      - dd) Abrechnungssysteme von E-Tankstellen
        (1) Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO als Willensbetätigung der betroffenen Person
        (2) Das duale System der Zulässigkeitstatbestände am Beispiel der E-Tankstellen
      - ee) Telematiktarife in der Kfz-Versicherung
      - ff) Beförderungsentgeltabrechnung im öffentlichen Personenverkehr
      - gg) Free-floating Carsharing
      - hh) Luftverkehr
      - ii) Datenverarbeitung bei integrierten Seamless-Mobility-Angeboten
    - c) Bewertung
  - 6. Probleme der Einwilligung, Art. 7 DS-GVO
    - a) Allgemeine Erwägungen zum Institut der Einwilligung im Kontext digitaler Mobilitätsdienste
      - aa) Einwilligung als verfassungsrechtlich notwendiges Institut
      - bb) Gefahr der Überforderung im Mobilitätssektor
    - b) Einwilligung im Mobilitätssektor
      - aa) Einwilligung gegenüber Verkehrsanbietern
      - bb) Einwilligung gegenüber Mobilitätsplattformanbietern
      - cc) Einwilligung beim vernetzten Fahrzeug
        (1) Der Einwilligende
        (2) Freiwilligkeit der Einwilligung
        (3) Formelle Wirksamkeitsvoraussetzungen der Einwilligung
    - c) Zusammenfassung und Fazit
  - 7. Standortdaten, Bewegungsprofile (Art. 4 Nr. 1 DS-GVO)
    - a) Standortdaten als besondere Herausforderung für die Privatsphäre
    - b) Begriffe und anwendbares Recht
    - c) Einfachgesetzliche Vorgaben
      - aa) Bereichsspezifisches Recht: Telekommunikations-Datenschutz von Standortdaten
      - bb) Allgemeines Datenschutzrecht
    - d) Grundrechtliche Implikationen im Mehrebenensystem
      - aa) Grundlinien der verfassungs- und unionsprimärrechtlichen Rechtsprechung zu Standortdaten
      - bb) Datenmacht als grundrechtliches Problem
    - e) Zwischenfazit
  - 8. Automatisierte Entscheidungen und Profiling (Art. 22 DS-GVO)
  - 9. Technischer Datenschutz und Datensicherheit
    - a) Normative Grundlagen
    - b) Herausforderungen für die Technikgestaltung im Mobilitätssektor
    - c) Wichtige Einzelfragen der Technikgestaltung in Fahrzeugen
      - aa) Grundlegende Datensicherheitsmaßnahmen
      - bb) Erforderlichkeit laufender Updates
    - d) Zwischenfazit
  - 10. Betroffenenrechte und Informationspflichten (Art. 12 bis 19 DS-GVO)
    - a) Die Bedeutung der Betroffenenrechte bei Mobilitätsanwendungen
      - aa) Recht auf Auskunft
      - bb) Recht auf Berichtigung
      - cc) Recht auf Löschung
      - dd) Das Widerspruchsrecht
        (1) Das Widerspruchsrecht im System der Zulässigkeitstatbestände
        (2) Die Bedeutung des Widerspruchsrechts im Mobilitätskontext
        (3) Herausforderungen in der praktischen Umsetzung
      - ee) Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO)
    - b) Die Erfüllung der Informationspflichten im Mobilitätskontext
      - aa) Grundlegendes zu den Informationspflichten im Mobilitätskontext
      - bb) Informationspflichten gegenüber dem Fahrer eines vernetzten Kraftfahrzeugs
      - cc) Informationspflichten gegenüber Mitreisenden in einem vernetzten Kraftfahrzeug
      - dd) Informationspflichten gegenüber Fahrgästen im öffentlichen Personenverkehr
      - ee) Informationspflichten gegenüber zufällig erfassten Personen
    - c) Zwischenfazit
  - 11. Datenportabilität, Art. 20 DS-GVO
    - a) Grundlagen und Rechtsnatur der Vorschrift
    - b) Anspruchsvoraussetzungen
      - aa) Bereitstellen personenbezogener Daten
        (1) Personenbezogene Daten des Anspruchstellers
        (2) Bereitstellen durch die betroffene Person
      - bb) Verarbeitung aufgrund Einwilligung oder Vertrag
      - cc) Automatisiertes Verfahren
      - dd) Ausschluss des Anspruchs in bestimmten Fällen
        (1) Beeinträchtigung der Rechte und Freiheiten Dritter
        (2) Wahrnehmung öffentlicher Aufgaben
      - ee) Abdingbarkeit des Anspruchs
    - c) Anspruchsinhalt
      - aa) Allgemeines
      - bb) Datenherausgabe und Behinderungsverbot
      - cc) Direktübermittlung
    - d) Zwischenfazit
  - 12. Rechtsdurchsetzung und Sanktionsregime
    - a) Administrativstrukturen
    - b) Öffentlich-rechtliches Sanktionsregime
    - c) Privatrechtliche Durchsetzungsmechanismen
      - aa) Materielle Ansprüche
      - bb) Prozessuale Besonderheiten
      - cc) Unternehmensinterne Datenschutz-Compliance
    - d) Zwischenfazit
- IV. Ergebniszusammenfassung: Bewertung des Rechtsrahmens de lege lata
169–198 E. Rechtssystematische Analyse und legislativer Anpassungsbedarf 169–198
- I. Leistungsfähigkeit und Defizite der Datenschutzordnung im Mobilitätssektor
  - 1. Konflikt zwischen Technikoffenheit und Rechtssicherheit als Paradox
  - 2. Strukturelle Überforderung der betroffenen Personen im Datenschutzalltag
    - a) Die Selbstbestimmung als Kernprinzip des deutschen Datenschutzverständnisses
    - b) Die informierte Einwilligung in Alltagssituationen als Illusion
    - c) Umfangreiche Informationspflichten als unnötige bürokratische Hindernisse
      - aa) Keine bessere Informiertheit durch Informationspflichten
      - bb) Mustertexte mit Akzeptanzproblemen und fraglichem Nutzen
  - 3. Niedriges generelles Vollzugsniveau als Hemmnis für individuelle Datenschutzrechtskonformität
  - 4. Normative und institutionelle Komplexität im Rechtsrahmen
  - 5. Spezifika digitaler Mobilitätsdienste als Herausforderung für tradierte prozessuale Wirkmechanismen zur Schaffung von Rechtssicherheit
    - a) Keine wirksame Kontrolle der Vorlagepflicht
    - b) Kurze Innovationszyklen als Problem
  - 6. Zwischenfazit
- II. Lösungsansätze für den Mobilitätssektor
  - 1. Überlegungen zur Schaffung von Dateneigentumsrechten als drohende Fehlentwicklung
  - 2. Tatsächlicher legislativer Anpassungsbedarf
    - a) Modifikation und Reduktion von Informations- und Dokumentationspflichten als wirksamste Maßnahme des Bürokratieabbaus
      - aa) Zugänglichkeit statt Aufdringlichkeit als Schlüssel zu einer sachgerechten Informationsbereitstellung
      - bb) Informationspflichten inhaltlich flexibler und anpassungsfähiger gestalten
      - cc) Weniger Einwilligungsfälle erfordern geringere Informationsdichte
    - b) Weitere Rechtsharmonisierung durch Reduktion der Öffnungsklauseln
    - c) Weitere Stärkung des exekutiven und judikativen Vollzugs
      - aa) Bündelung der nationalen Verwaltungskompetenz auf Bundesebene
      - bb) Einführung eines Gutachtenverfahrens vor dem EuGH
    - d) Regulierung der Marktmacht durch Informations- und Datenhoheit
  - 3. Zwischenfazit
- III. Übertragbarkeit der sektoralen Erkenntnisse auf die Datenschutzordnung im Allgemeinen
  - 1. Horizontale Bedeutung der identifizierten Defizite
    - a) Komplexes Normensystem und Rechtsunsicherheit
      - aa) Komplexität im Mehrebenensystem als generelles Problem und zusätzliche Komplexität durch bereichsspezifische Normen in anderen Sektoren
      - bb) Kurze Innovationszyklen als allgemeines Phänomen der Digitalisierung
    - b) Bürokratie als allgemeines Defizit der Datenschutzordnung
  - 2. Verallgemeinerungsfähigkeit der Lösungsvorschläge
    - a) Weiterer Harmonisierungsbedarf in der Datenschutzordnung
    - b) Bürokratieabbau als sektorübergreifender Reformbedarf
    - c) Stärkung des exekutiven und judikativen Vollzugs als generelle Notwendigkeit
    - d) Marktmachtregulierung als sektorübergreifende Herausforderung
  - 3. Zwischenfazit
199–202 F. Gesamtfazit: Die Datenschutzordnung als leistungsfähiges Rechtsregime mit weiterem Optimierungspotenzial 199–202
203–211 Schrifttumsverzeichnis 203–211

Durchsuchen Sie das Werk

Geben Sie ein Keyword in die Suchleiste ein