Datenschutzrechtliche Anforderungen an automatisierte Verfahren zur Erhebung von Straßenbenutzungsgebühren (road-pricing-Systeme)

Automatisierte Systeme zur Erhebung von Straßenbenutzungsgebühren können das Recht auf informationelle Selbstbestimmung der Straßenbenutzer beeinträchtigen. Die Verwendung der für die Gebührenabrechnung erhobenen Daten für andere Zwecke würde den Datenschutz beeinträchtigen. Zu befürchten ist insbesondere, daß im Rahmen derartiger Verfahren erhobene personenbezogene Daten zur Erstellung von Bewegungsprofilen genutzt werden könnten. Schließlich würde auch eine Verpflichtung des Straßenbenutzers zu einem lückenlosen Nachweis seiner Bewegungen eine unverhältnismäßige Belastung des Betroffenen bedeuten.

Die Datenschutzbeauftragten des Bundes und der Länder begrüßen es, daß bei dem Feldversuch auf der A 555 auch datenschutzrechtliche Erfordernisse berücksichtigt werden sollen. Sie sind bereit, Vorschläge für eine datenschutzgerechte Gestaltung der Technik, der Organisation und der rechtlichen Rahmenbedingungen in die Entscheidungsfindung einzubringen. Sie gehen davon aus, daß diese Vorschläge in den vor dem Echteinsatz derartiger Systeme notwendigen Abwägungsprozeß (Technikfolgen-Abschätzung) eingehen und zu einer datenschutzfreundlichen Systemgestaltung beitragen. Nur Verfahren mit geringstmöglichem Eingriff in das allgemeine Persönlichkeitsrecht sollten zum Einsatz kommen, d.h. Systeme, bei denen möglichst wenig personenbezogene Daten erhoben werden.

Aus diesen Überlegungen ergeben sich die folgenden datenschutzrechtlichen Anforderungen:

1. Anonymität

Der Grundsatz der "datenfreien Fahrt" muß auch künftig gewährleistet sein. Je weniger personenbezogene oder personenbeziehbare Daten erhoben, verarbeitet oder genutzt werden, desto geringer ist auch die Gefahr einer mißbräuchlichen Datennutzung. Aus diesem Grund ist das Anonymitätskriterium die wichtigste Datenschutzanforderung. Jedenfalls sollten bei regelgerechter Straßenbenutzung keine personenbezogenen Daten entstehen. Das bedeutet, daß auch keine Angaben erhoben oder verarbeitet werden, die im Nachhinein die Herstellung des Personenbezugs ermöglichen.

Grundsätzlich bieten Verfahren, bei denen Gebühren im voraus entrichtet werden (Prepaid-Verfahren) bessere Voraussetzungen für die Wahrung der Anonymität als solche Systeme, bei denen zunächst Verkehrsdaten erhoben und dann den Benutzern in Rechnung gestellt bzw. von deren Konten abgebucht werden (Postpaid-Verfahren).

Soweit die Speicherung von Benutzerdaten gleichwohl erforderlich ist (z.B. für den Nachweis der Richtigkeit der Gebührenerhebung), sollten diese Daten dezentral beim Benutzer gespeichert werden. Die Erhebung von Benutzerdaten im Regelbetrieb durch "Erhebungsstellen" und deren Übermittlung an Konzentratoren oder zentrale Abrechnungseinheiten sollte unterbleiben.

Die Überwachung der Gebührenerhebung sollte so gestaltet werden, daß die Identität des Benutzers nur dann aufgedeckt wird, wenn ein begründeter Mißbrauchsverdacht besteht. Die Überwachung, ob ein Mißbrauch vorliegt, sollte grundsätzlich nur stichprobenweise und nicht vollständig erfolgen, da Systeme mit flächendeckender Mißbrauchskontrolle eine Infrastruktur voraussetzen, die für eine vollständige Erfassung auch der regelgerechten Straßenbenutzung "zweckentfremdet" werden könnte. Dabei sollte die Kontrolldichte so gering wie möglich sein und könnte sich an der bisherigen Kontrollpraxis bezüglich der Einhaltung von Geschwindigkeitsbegrenzungen orientieren.

2. Vertraulichkeit

Sofern personenbezogene Daten erhoben werden, müssen sie vertraulich behandelt werden. Die unbefugte Kenntnisnahme durch Dritte ist durch technische und organisatorische Maßnahmen auszuschließen. Insbesondere ist folgendes zu gewährleisten:

Alle Komponenten, die sicherheitsrelevante Informationen austauschen, müssen sich partnerweise gegenseitig authentifizieren.
Die Identität eines Straßenbenutzers sollte nur bei Mißbrauchsverdacht und nur vom Systembetreiber aufgedeckt werden können.
Daten, die Aufschluß über die Identität oder den Aufenthaltsort des Benutzers geben, sind durch kryptographische Verfahren gegen eine unbefugte Kenntnisnahme zu sichern.
Bei dezentraler Datenspeicherung (z.B. auf einer Chip-Karte) darf der Zugang nur nach Eingabe eines benutzerspezifischen Codes möglich sein.
Soweit personenbezogene Daten bei vermutetem Mißbrauch zentral gespeichert werden, ist zu gewährleisten, daß die Daten von anderen vom Systembetreiber verarbeiteten Daten strikt abgeschottet werden und nach Rechnungbegleichung, bzw. wenn ein Mißbrauch nicht nachgewiesen werden kann, unverzüglich gelöscht werden.
Die Vertraulichkeit im Verhältnis Fahrzeughalter - Fahrzeugbenutzer muß gewahrt werden (benutzer- statt fahrzeuggebundene Erhebung).

3. Integrität

Es ist zu gewährleisten, daß die richtigen Daten jeweils den richtigen Benutzern zugeordnet werden und keine Über-, Unter- oder Doppelerfassung erfolgt. Der Abbuchungsimpuls darf nicht derart streuen, daß er etwa - z.B. beim Spurwechsel - andere Fahrzeuge erfaßt. Auch bei der Fahrzeug- bzw. Benutzeridentifizierung (z.B. durch Kennzeichenerfassung) im Falle vermuteten Mißbrauchs ist die Zuordnung zu den richtigen Fahrzeugen sicherzustellen.

Alle sicherheitsrelevanten Informationen sind mit geeigneten Verfahren gegen Manipulationen zu schützen.

4. Transparenz

Das gesamte Verfahren muß für die Teilnehmer durchschaubar sein, d.h. die Benutzer müssen die realistische Chance haben, sowohl über den generellen Ablauf als auch über die Datenerhebung und -speicherung im Einzelfall Bescheid zu wissen:

Bei dezentraler Speicherung sollte der Benutzer nachvollziehen können, welche Entgelte wann wo abgebucht wurden.
Das System sollte den Benutzer rechtzeitig darauf hinweisen, wenn das Guthaben erschöpft oder für die Abbuchung der Maut zu gering ist.
Sofern im Rahmen von Überwachungsmaßnahmen eine Aufdeckung der ansonsten geheimen Fahrzeugidentität erfolgt, muß dies für den Fahrzeugbenutzer erkennbar sein.
Abbuchungen, Funktionsstörungen und Manipulationsversuche müssen dem Benutzer angezeigt werden und sind dezentral (z.B. auf der Chipkarte) revisionssicher zu protokollieren. Über Zusatzeinrichtungen, etwa bei Tankstellen, sollte der Benutzer die Möglichkeit haben, den Speicherinhalt der Protokolldatei auszudrucken und die Buchungsdatensätze anschließend zu löschen.

5. Stabilität gegen die Rücknahme von Datenschutzmaßnahmen

Die Systemkomponenten sind so zu gestalten, daß die Datenschutz- und Datensicherungsfunktionen stabil sind und nicht einseitig durch den Systembetreiber oder durch Dritte zurückgenommen oder unterlaufen werden können. Alle zum Einsatz kommenden Geräte müssen der Qualitätssicherungsnorm ISO 9001 genügen.

Systeme, die eine generelle Videoüberwachung des fließenden Verkehrs voraussetzen, werden abgelehnt, weil sie sich bei nur geringen Modifikationen auf eine Vollkontrolle umstellen lassen.