Bereits heute ist absehbar, dass die Digitalisierung immer tiefer in die Kernbereiche der Fahrzeuge vordringt, und vor allem Software und deren Updates die Eigenschaften und den Funktionsumfang definieren. Fahrzeughersteller sind so in der Lage beispielsweise Fahrerassistenzsysteme oder kostenpflichtige Zusatzfunktionen im Fahrzeug online zu aktivieren oder zu deaktivieren.
Um sicherzustellen, dass sich nur Fahrzeuge im Straßenverkehr mit korrekter und zuverlässig arbeitender Software bewegen, muss dies zukünftig auch geprüft werden, vor allem im Hinblick auf eine vollumfängliche Sicherheit, Umweltverträglichkeit und Konformität zum Datenschutz. Diese technologische Weiterentwicklung im Fahrzeugbau bedingt die Weiterentwicklung der Prüf- und Bewertungsverfahren für die Genehmigung von Fahrzeugen und für deren technische Überwachung (Hauptuntersuchung) über den gesamten Lebenszyklus. Die TÜV, als im Auftrag des Staates agierende Organisationen, sehen dies als eine vordringliche Aufgabe unserer Gesellschaft.
Als Grundlage muss der digitale Fernzugriff über drahtlose Schnittstellen ermöglicht werden
Grundlage für die TÜV zur Weiterentwicklung der technischen Prüf- und Bewertungsverfahren ist der diskriminierungsfreie und unabhängige Zugang zu originären Fahrzeugdaten des Software-basierten Fahrzeuges auch durch einen digitalen Fernzugriff über drahtlose Schnittstellen. Genehmigungsrelevante Softwareupdates der Fahrzeughersteller und die dazugehörenden Informationen müssen den TÜV und den Genehmigungsbehörden zur Verfügung gestellt werden.
Dazu gehören insbesondere Diagnosedaten – also Informationen zu Steuergeräten und -varianten, Fehlercodes sowie Schnittstellenfunktionen zum Auslesen von Daten sowie zur Ansteuerung von Funktionen. Die Anforderung des Datenzugriffs besteht momentan auch bei der Regelung zur Datenverarbeitung im Kraftfahrzeug inklusive einer Fahrmodusdatenaufzeichnung (DSSAD) für ein automatisiertes Fahren im Sinne des deutschen Straßenverkehrsgesetzes und eines zukünftigen Ereignisdatenspeichers (EDR).
Der Zugang zu Fahrzeugdaten ist seit 2007 in der speziellen Fahrzeugtypgenehmigungsverordnung der EU geregelt. Um der zunehmenden Nutzung der Konnektivität (3G-4G etc.) der Fahrzeuge Rechnung zu tragen, muss diese Gesetzgebung nun dringend dem technologischen Stand angepasst werden. Denn der Zugang zu Fahrzeugdaten über drahtlose Schnittstellen wird von der Regulierung bisher nicht berücksichtigt.
Die Regierung soll in ihrer EU-Ratspräsidentschaft die Umsetzung angehen
Die EU-Kommission ist angehalten, den Zugang zu Fahrzeugdaten für kommerzielle und nicht-kommerzielle Zwecke wie die der Hauptuntersuchung zu erleichtern. Eine Erweiterung der Regulierung für den hier relevanten Bereich der nicht-kommerziellen Zwecke muss dabei den uneingeschränkten und standardisierten Zugang zu Fahrzeugdaten und -funktionen, zu Referenzdokumentation sowie zu benötigter Software sicherstellen. Hier ist vor allem auch die deutsche EU-Ratspräsidentschaft in der zweiten Jahreshälfte 2020 aufgefordert, entsprechende Akzente für eine zügige Umsetzung zu setzen.
Darüber hinaus muss sich der Gesetzgeber jetzt intensiv damit beschäftigen, wie die Daten vom Fahrzeughersteller beziehungsweise aus dem Fahrzeug zugänglich gemacht werden, und welche Verfahren zu ihrer Beschaffung notwendig sind.
Bisher werden die Daten an den Server der Fahrzeughersteller übertragen
Nach heutigem Stand der Technik werden im Fahrzeug generierte Daten von Sensoren und anderen integrierten Systemen über eine Mobilfunkschnittstelle im Fahrzeug exklusiv an die jeweiligen Server der Fahrzeughersteller übertragen und verarbeitet. Die Nutzerverwaltung und Zugriffskontrolle obliegt dem jeweiligen Hersteller. Dadurch besteht ein nicht unerhebliches Risiko der Datenmanipulation und -filterung, die einer unabhängigen technischen Bewertung des Fahrzeugs im Wege steht.
Drei Argumente für ein TrustCenter
Aus Sicht der TÜV ist dieser Zustand unbefriedigend. Als pragmatische und zügig umsetzbare Lösung für den Zugriff auf Fahrzeugdaten für nicht-kommerzielle Zwecke und Behörden schlagen wir das Einrichten von TrustCentern vor, die im Namen von zuständigen Behörden hoheitlich tätig werden. Dafür sprechen folgende drei Punkte:
- Ein TrustCenter fungiert als vertrauenswürdige dritte Instanz im
Sinne eines Vermittlers, welcher in elektronischen Kommunikationsprozessen die
jeweilige Identität des Kommunikationspartners bescheinigt und administriert. Als
vertrauenswürdige Instanz kann das TrustCenter einen sicheren, neutralen und diskriminierungsfreien Zugriff auf
relevante Daten vernetzter Fahrzeuge DSGVO-konform zur technischen Überwachung
derselben schaffen. Im TrustCenter werden keine Nutzdaten gespeichert und
verarbeitet. Er übernimmt die Aufgabe
eines Administrators für die Verwaltung von Zugangsprofilen für berechtigte
Dritte zu entsprechenden Daten zu bestimmten Zwecken. Fahrzeugdaten werden Dritten nach festgelegten Nutzungsprofilen über die
jeweilige verfügbare digitale Infrastruktur zur Verfügung gestellt.
- Die Authentizität, Sicherheit und Vertraulichkeit
dieser Daten und des Datentransports sowie die Einhaltung aller
Datenschutzbestimmungen müssen gesetzlich geregelt durch eine unparteiliche und qualifizierte Zertifizierung nach
international definierten IT-und Datenschutzstandards in festgelegten
Intervallen erfolgen.
- Notwendig ist zudem eine Sicherheitsarchitektur
im Fahrzeug (Endpoint-Security). Diese muss in den entsprechenden Normungsgremien international reguliert
und harmonisiert zur Anwendung gebracht werden.
In diesem Sinne kann das TrustCenter-Konzept zu einem selbstbestimmten und transparenten Umgang der Fahrzeugnutzer mit Fahrzeugdaten beitragen. Es schafft zudem die Voraussetzung für eine spätere treuhänderische Datenverwaltung, indem es den unabhängigen und fairen Zugriff eines Datentreuhänders oder anderer Datenpools auf Fahrzeug- und Mobilitätsdaten sicherstellt. Hierbei ist immer entscheidend, dass die Nutzer (Betroffene im Sinne von Art. 4 Nr. 1 EU-DSGVO) neben einem gesetzlich vorgeschriebenen Datentransfer selbst die Wahl haben, wie sie mit ihren Daten umgehen möchten. Die Datenverarbeitung muss für sie transparent sein: Nutzer müssen diese erkennen, kontrollieren und gegebenenfalls auch stoppen können.
Richard Goebelt ist Leiter des Geschäftsbereichs Fahrzeug & Mobilität beim Verband der TÜV (VdTÜV). Der TÜV-Verband lädt zur Diskussion über das Thema auch ein auf der TÜV Mobility Conference am 4. und 5. März 2020 im Café Moskau.
Bereits heute findet auf Einladung von Transparency International in Berlin eine Debatte statt zum Thema: „Macht und Digitalisierung: Wer nutzt,wer kontrolliert automobile Daten?“, zu den Diskutanten gehören Gerhart Baum (Bundesminister a.D.), Ulrich Klaus Becker (ADAC), Jürgen Bönninger (Geschäftsführer Fahrzeugsystemdaten GmbH), Marit Hansen (Landesbeauftragte für Datenschutz Schleswig-Holstein), Julius Reiter (Transparency Deutschland) und Olaf Schick (Chief Compliance Officer bei Daimler).
