16032/J XXVII. GP
Eingelangt am 30.08.2023
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
ANFRAGE
der Abgeordneten Peter Schmiedlechner
an die Bundesministerin für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie
betreffend EU sammelt personifizierte Daten aus allen Autos
Jeder Autofahrer, der jetzt sein Auto in einer Werkstatt überprüfen lässt, gibt auch die Daten aus dem Fahrzeug bekannt. Die EU sammelt nämlich alle Daten über den tatsächlichen Treibstoffverbrauch, Stromverbrauch und übermittelt diese personalisiert (also einem Fahrzeugbesitzer zugeordnet) an die europäische Umweltagentur.
Was nach Umweltschutz klingt, ist eine unangemessene Überwachung. So werden genaue Daten über die Fahrgewohnheiten mit der sogenannten Fahrzeugidentifizierungsnummer (FIN) weitergegeben. Damit wurde der gläserne Autofahrer geschaffen. Diese Daten sind auch eine Goldgrube für viele Unternehmer.[1]
So sammeln Autos Daten
Der deutsche Automobilclub ADAC untersuchte, welche Daten ein modernes Auto heute sammelt – am Beispiel einer Mercedes B-Klasse: Etwa alle zwei Minuten werden die GPS-Position des Fahrzeugs sowie Statusdaten an das Mercedes-Backend übertragen (Kilometerstand, Verbrauch etc). Die Zahl der elektromotorischen Gurtstraffungen wird gespeichert (erlaubt Rückschlüsse auf den Fahrstil). Fehlerspeicher-Einträge werden teilweise mit Informationen über zu hohe Motordrehzahl abgelegt (Rückschlüsse auf Fahrstil). Gefahrene Kilometer auf Autobahnen, Landstraßen und in der Stadt werden getrennt gespeichert (Nutzungsprofil).
All diese Daten werden gesammelt und die EU – konkret die europäische Umweltagentur – bekommt diese zur Verfügung. Das wurde mit 20. Mai dieses Jahres anhand der EU-Verordnung 2021/392 vorgeschrieben. Hier ein Kommentar des Rechtsanwaltes Dr. Rainer Knyrim in der „Presse“:[2]
Ab 20. Mai müssen Werkstätten bei jeder „Pickerl“-Überprüfung (ausgenommen E-Autos) Treibstoffverbrauch und Kilometerleistung samt Zuordnung zum Besitzer der EU-Umweltagentur melden. Doch wo bleibt der Datenschutz?
Am 20. Mai erfolgt der letzte Schritt zur Befüllung einer neuen, riesigen EU -Datenbank zu Pkw-Verbrauchsdaten. Die EU verpflichtet Werkstätten ab dann zum Auslesen von Verbrauchs- und Kilometerdaten und Übermittlung in diese neue Datenbank bei jeder „Pickerl“-Überprüfung.
Die in der Öffentlichkeit weitgehend unbekannte Durchführungsverordnung 2021/392 der EU-Kommission vom 4.3.2021 regelt die Überwachung und Meldung von Daten zu den CO-Emissionen von Pkw und leichten Nutzfahrzeugen. Sie setzt eine Verordnung aus 2019 um, welche die Anforderungen an die CO-Emissionen neuer Fahrzeuge regelt, um die Treibhausgase einzudämmen. Konkret soll die Kommission die vom Hersteller angegebenen CO-Emissions-, Kraftstoff- oder Stromverbrauchswerte mit den tatsächlichen Werten im Betrieb vergleichen, um die Herstellerangaben zu überprüfen. Die nationalen Typengenehmigungsstellen sollen überdies in Stichproben prüfen, ob in den Fahrzeugen wieder „Schummelsoftware“ wie im VW-Abgasskandal installiert wurde.
Laut der Verordnung aus 2019 müssen die EU-Staaten jährlich sehr umfangreiche Zulassungsdaten übersenden. Diese werden gemeinsam mit der Fahrzeugidentifizierungsnummer jedes einzelnen Fahrzeugs übermittelt. Diese „FIN“ steht auch in jedem Zulassungsschein, und das Fahrzeug kann mit ihr dem aktuellen Zulassungsbesitzer zugeordnet werden. Damit ist sie personenbezogen und fällt unter die Datenschutz-Grundverordnung (DSGVO).
Die jüngere Durchführungsverordnung sieht statt einer aggregierten und anonymisierten Datenbank für Stichprobenerhebungen jetzt eine individuelle Datensammlung über jeden (!) betroffenen Pkw in der EU vor.
Ab 20. Mai müssen alle Werkstätten, die
„Pickerl“-Überprüfungen durchführen, jedes Mal die Fahrzeugdaten über die sog.
On-Board-Diagnoseschnittstelle des Fahrzeugs auslesen und an die
Europäische Umweltagentur übermitteln. Es handelt sich bei Benzin-und
Dieselfahrzeugen um die FIN und die Summe des verbrauchten Kraftstoffs sowie
die zurückgelegten Kilometer über die gesamte Lebensdauer des
Fahrzeugs. Bei Plug-in-Hybridautos müssen zusätzlich Daten über
den Hybridbetrieb sowie die eingespeiste Strommenge übermittelt werden.
Reine Elektrofahrzeuge sind von den Verordnungen nicht betroffen.
20 Jahre lang gespeichert
Während Hersteller, Vertragshändler und Werkstätten die Daten nach der Übermittlung löschen müssen, speichert die Europäische Umweltagentur die Daten inklusive FIN 20 (!) Jahre lang.
Die Europäische Umweltagentur veröffentlicht jedes Jahr anonymisierte Statistiken über den durchschnittlichen Verbrauch und die durchschnittlichen CO-Emissionen sowie über die Differenz zwischen den Herstellerangaben und den gemessenen Werten. Bisher wurde von der Umweltagentur knapp eine Million Datensätze ausgewertet und die Abweichung als Statistik veröffentlicht (bei Diesel betrug sie +17 %, bei Benzin +24 % und bei Plug-ins +250 %).
Fraglich ist, wie die Schaffung einer so umfangreichen Datenbank über Verbrauch und Kilometerleistung jedes einzelnen Pkw in der EU den Grundprinzipien der DSGVO entspricht. Nach deren Grundsatz der Datenminimierung muss die Datenverarbeitung auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Warum nicht, wie in der VO aus 2019 angesprochen, Stichproben reichen, um die ohnehin nur anonymisierten Ergebnisse zu produzieren, erklären die Erwägungsgründe der Durchführungsverordnung nicht. Ebenso wenig, warum überhaupt Daten von Fahrzeugen von EU-Bürgern erhoben werden müssen, wo mittlerweile portable Emissionsmesssysteme verfügbar sind, die Behörden für Stichproben einsetzen könnten. Weiters ist fraglich, wie eine 20-jährige Speicherung der Daten inklusive FIN zum Grundsatz der Speicherbegrenzung der DSGVO passt. Die überlange Speicherdauer wurde auch vom EU-Datenschutzbeauftragten kritisiert, aber nicht gekürzt.
Dubioses Widerspruchsrecht
Um das datenschutzrechtliche Problem vermeintlich zu lösen, sieht die Durchführungsverordnung vor, dass die Autofahrer der Datenerfassung widersprechen können. Allein durch ein Opt-out-Recht der Betroffenen sind aber auch verfassungsrechtliche Bedenken gegen die Durchführungsverordnung nicht einfach wegzuwischen. Das Grundrecht auf Datenschutz ist verfassungsrechtlich geschützt, und dies kann nur durch eine aktive Zustimmung der Betroffenen durchbrochen werden, nicht durch bloßes Opting-out. Eingriffe staatlicher Behörden dürfen nach § 1 DSG nur aufgrund von Gesetzen erfolgen, die aus den in Art 8 EMRK (Achtung des Privat- und Familienlebens) genannten Gründen notwendig sind. Diese sind etwa die nationale Sicherheit, öffentliche Ordnung oder das wirtschaftliche Wohl des Landes. Es geht also um sehr „massive“ Interessen. Ob die Publikation statistischer Werte darunter fällt, bleibt fraglich.
Diskriminierende Wirkung
Die aktuelle Regelung spaltet die Bevölkerung überdies diskriminierend in zwei Gruppen: die einen, die sich die noch immer teuren reinen E-Autos leisten können, die nie in die Datenbank kommen, die anderen, deren Daten standardmäßig erfasst werden, wenn sie nicht aktiv widersprechen.
Die Durchführungsverordnung hält ausdrücklich fest, dass die Hersteller, Vertragshändler und Werkstätten die Fahrzeughalter über die Datenerhebung informieren müssen. Eine kurze Online-Recherche bei einigen bekannten Autoherstellern hat bei diesen bisher nur in wenigen Fällen eine entsprechende Information gezeigt. Der ÖAMTC etwa ist aber, wie eine Rückfrage ergab, vorbereitet: Oliver Schmerold, Direktor des ÖAMTC: „Auch wenn die Sinnhaftigkeit dieser umfassenden Datenerhebung fraglich ist, hat der ÖAMTC seine Stützpunkte natürlich auf diese neue EU-Verpflichtung vorbereitet.“ Andrej Prosenc, im ÖAMTC für die Umsetzung der Verordnung zuständiger Experte, erklärt dazu: „Alle unsere Mitglieder werden in den Stützpunkten per Aushang über diese Datenverarbeitung informiert und können ihren Widerspruch mit Unterschrift in einem neuen Textfeld auf dem §57a-Gutachten festhalten. Die Daten werden dann nicht übermittelt.
In diesem Zusammenhang richtet der unterfertigte Abgeordnete an die Bundesministerin für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie folgende
Anfrage
1. Können private Daten aus den Fahrzeugen ausgelesen werden?
2. Wer benützt die Daten, welche an die europäische Umweltagentur weitergeleitet werden?
3. Werden die Autobesitzer über die abgesaugten Daten informiert?
4. Werden die Autobesitzer über die abgesaugten Daten, welche an Dritte weitergegeben werden, informiert?
5. Wo kann man sich informieren, welche Daten zu der eigenen Person und zu dem eigenen Auto gesammelt wurden, von welchen Behörden diese gesammelt wurden und an welche Behörden diese weitergeleitet werden?
6. Wo kann man sich informieren, welche Daten zu der eigenen Person und zu dem eigenen Auto an Dritte (hier vor allem an Unternehmen) weitergegeben wurden?
7. Wie kann man sich informieren, was Dritte mit den Daten zur eigenen Person und zu dem eigenen Fahrzeug machen?
8. Unter welchen Bedingungen müssen Dritte die Daten zur eigenen Person und zu dem eigenen Fahrzeug löschen?
9. Wenn eine Person mit der Weiterleitung der Daten aus dem eigenen Fahrzeug nicht einverstanden ist, wie kann sie sicherstellen, dass diese auf keinen Fall weitergegeben werden oder eingesehen werden können?
10. Warum ist es notwendig, dass die fahrzeugbezogenen Daten 20 Jahre(!) gespeichert bleiben?
11. Entspricht die Schaffung einer so umfangreichen Datenbank über Verbrauch und Kilometerleistung jedes einzelnen PKW in der EU den Grundprinzipien der DSGVO?
12. Welche Strafen sind vorgesehen, falls eine Werkstatt die Fahrzeugbesitzer nicht über die Weitergabe der fahrzeugbezogenen Daten informiert?
13. Welche Strafen sind vorgesehen, falls eine Werkstatt Daten des Fahrzeugbesitzers weitergibt, obwohl der Besitzer des Fahrzeugs dies untersagt hat?
14. Welche Strafen sind vorgesehen, falls eine Werkstatt Daten des Fahrzeugbesitzers weitergibt, obwohl der Besitzer des Fahrzeugs nicht ausdrücklich einverstanden war?
15. Wurden alle Konsumenten über die neue EU-Regelung informiert?
16. Welche Kampagnen hat das Bundesministerium durchgeführt, um die Fahrzeugbesitzer auf die neue Regelung der EU aufmerksam zu machen?