Streitthema »Dashcam«: Lösung für den datenschutzkonformen Kameraeinsatz im Auto

Nach dem Ende der Ferienzeit verdichtet sich der Berufsverkehr, und das erhöhte Verkehrsaufkommen führt direkt zu einem Anstieg des Unfallrisikos auf Deutschlands Straßen. Um sich für einen möglichen Schadensfall abzusichern, setzen immer mehr Autofahrer auf sogenannte Dashcams, die das Verkehrsgeschehen vor dem Auto filmen.

Was vielen Autofahrern dabei nicht bewusst ist: das anlasslose und vor allem das permanente Filmen durch die Windschutzscheibe ist ein Verstoß gegen das Datenschutzgesetz und die Persönlichkeitsrechte der Verkehrsteilnehmer. Damit sind die Aufnahmen vor deutschen Gerichten, anders als in Amerika
oder Russland, als Beweismittel umstritten.

Aktuell gibt es keine einheitliche EU-weite datenschutzrechtliche Regelung darüber, wie mit den Aufnahmen umzugehen ist. Die Frage, ob und wie die erfassten Daten verwendet werden dürfen, muss im Einzelfall auf Basis einer
Interessens- und Güterabwägung und der entsprechenden Orientierungshilfen der Datenschutzaufsichtsbehörde erfolgen. Sie erforderte in der Vergangenheit meist den Einsatz mehrerer gerichtlicher Instanzen.

Das manuell ausgelöste, anlassbezogene Aufzeichnen durch Kameras, die erst dann aktiviert werden, wenn Sensoren Sonderfälle wie intensive Bremsvorgänge oder Erschütterung registrieren – sogenannte Crashcams – bietet keine vollständige Lösung des Dilemmas und erfordert zudem noch zusätzlichen Aufwand. Die Frage der rechtmäßigen Verwendung oder der gezielten Manipulation der Aufzeichnungen bleibt, zumal die Daten nachträglich bearbeitet werden müssen: Nicht-involvierte Personen sind zu verpixeln, irrelevante Aufnahmen zu löschen. Hinzu kommt in diesem technischen Konstrukt die Frage nach der Rechtzeitigkeit des Aufzeichnungsvorgangs für eine Entscheidungshilfe vor Gericht.

Die Privacy BlackBox – Datenschutz und Nachvollziehbarkeit

Das Fraunhofer AISEC arbeitet gemeinsam mit der Universität Passau und der Uniscon GmbH an einer Lösung, die eine datenschutzkonforme Aufzeichnung, Speicherung und Auswertung von sensiblen Daten ermöglicht: Die in Entwicklung befindliche »Privacy BlackBox« sieht einen zuverlässigen Schutz von Bild-, Ton- und Videodaten vor Missbrauch vor, sowie in begründeten Einzelfällen eine strikt zweck- und anlassgebundene Auswertung.

Die Privacy BlackBox basiert auf zwei zentralen Bestandteilen: Ein vertrauenswürdiges Aufnahmegerät ermöglicht eine dezentrale Datenspeicherung ohne Single-Point-of-Failure und eine betreibersichere Datenverschlüsselung direkt auf dem Gerät. Eine digitale Treuhänder-Infrastruktur schützt vor unbefugtem Zugriff auf die Daten und garantiert transparente Nachvollziehbarkeit und sicheres Logging von Ereignissen.

Vertrauenswürdiger Datenschreiber

Mit seiner Expertise auf den Gebieten IT-Sicherheit, Trusted Computing und Integritätsschutz hat das Fraunhofer AISEC die technologische Ausgestaltung des vertrauenswürdigen Aufnahmegeräts übernommen: Basis ist eine Embedded-Plattform, die es ermöglicht, auch nachträglich unterschiedlichste Sensorik an den Datenschreiber anzubinden, beispielsweise die verbaute Automobilsensorik oder Sensoren zur Fahrstilanalyse (Dashcam+). Durch den Einsatz von Hardware-gestützter Kryptografie werden die dezentral gespeicherten Daten sofort im Gerät verschlüsselt und digital signiert. Auch physische Angriffe gegen das System, beispielsweise gewaltsames Öffnen des Gehäuses, werden umgehend erkannt. Das Gerät stoppt sofort weitere Aufnahmen, zusätzlich wird einer der zum Auslesen der Daten notwendigen Schlüssel zerstört, sodass bereits aufgenommene Daten nicht mehr entschlüsselt werden können und für den Angreifer wertlos werden.

»Uns war es besonders wichtig, die Daten auch gegen nachträgliche Manipulation und Fälschung zu sichern«, erklärt Dr. Mykolai Protsenko, Projektverantwortlicher und wissenschaftlicher Mitarbeiter am Fraunhofer AISEC. »Jede Kamera verfügt über einen einmaligen Schlüssel, der an ihre Hardware gebunden ist. Mit diesem Schlüssel wird das Videomaterial signiert und kann damit einwandfrei einem konkreten Gerät zugeordnet werden. Durch eine invalide Signatur werden nachträgliche Manipulationen direkt erkannt.«

Digitale Treuhänder-Infrastruktur für datenschutzkonformen Zugriff

Auch nach der vertrauenswürdigen Erhebung der Daten ist eine strenge Kontrolle des Zugriffs und der Weitergabe der Daten erforderlich. Die Firma Uniscon GmbH übernimmt als Industriepartner den Aufbau und den Betrieb der digitalen Treuhänder-Infrastruktur, die die Daten vor unbefugtem Zugriff schützt und erst beim Eintreten vordefinierter Bedingungen einen Schlüssel für den Zugriff auf den notwendigen Datenabschnitt generiert.

Die dezentrale Speicherung der Daten erfolgt direkt auf den Geräten, Datenzugriffs-Richtlinien werden vorher definiert und in entsprechenden Policies festgehalten. Auf Basis dieser Policies wird jedes Ereignis automatisch protokolliert, ausgewertet und nachvollziehbar gespeichert und geloggt, eine nachträgliche Manipulation der Daten ist damit unmöglich.

»Ohne berechtigtes Interesse hat niemand Zugriff auf die Daten – auch nicht der Treuhänder selbst«, erläutert Dr. Hubert Jäger von Uniscon GmbH. »Die verschlüsselten Daten unterliegen ganz bestimmten Richtlinien. Erst, wenn eine dieser vordefinierten Bedingungen eintritt, wird ein Zugriffsschlüssel definiert. Die Daten sind so zu jeder Zeit optimal geschützt.«

Unklarer Rechtsrahmen erfordert wissenschaftliche Expertise

Das Projekt wird juristisch begleitet vom Lehrstuhl für öffentliches Recht, Europarecht und Informationstechnologierecht der Universität Passau. Im Rahmen des Forschungsschwerpunkts »Digitalisierung, vernetzte Gesellschaft und (Internet)Kulturen« setzt sie sich schon seit vielen Jahren mit den Bereichen IT-Sicherheit und Sicherheitsrecht auseinander.

»Mit der Privacy BlackBox wollen wir eine Lösung erarbeiten, die die Vorteile der Digitalisierung – in diesem Fall Dashcams – nutzbar macht, und gleichzeitig die Privatsphäre des Individuums wahrt«, erläutert Prof. Dr. Meinhard Schröder der Universität Passau. »Spätestens seit der DSGVO hat das Thema Datenschutz einen ganz neuen Stellenwert. Neben einheitlichen gesetzlichen Regelungen fehlen technische Innovationen, die diese Regelungen direkt berücksichtigen. Daran arbeiten wir.«

Einsatz auch in Industrie 4.0

Die Entwicklung der Privacy BlackBox ist ein Gemeinschaftsprojekt der drei erfahrenen Projektpartner. Zukünftig soll die Privacy BlackBox nicht nur im Automobil, sondern auch im industriellen Umfeld zur Überprüfung von Anlangen und Maschinen eingesetzt werden. Videoaufnahmen von technischen Prüfungen oder Untersuchungen im Bereich kritischer Infrastrukturen ermöglichen eine detaillierte Dokumentation des Prüfvorgangs. Parallel zu den personenbezogenen Daten im Automobil werden hier mitunter auch betriebsgeheime Informationen erfasst, die einer strengen Zugriffskontrolle und einem umfassenden Schutz der sensiblen Daten bedürfen.

Das Projekt wird durch das FuE-Programm »Informations- und Kommunikationstechnik« des Freistaates Bayern gefördert. Nach einer zweijährigen Laufzeit sollen die Implementierung und die Evaluierung des Projekts abgeschlossen sein.
Ziel ist es, die Einsatzszenarien der Privacy BlackBox stetig zu erweitern und durch innovative Technologien und eine sichere und datenschutzkonforme Speicherung und Auswertung der Daten den Konflikt zwischen Privatsphäre und Digitalisierung dauerhaft zu entschärfen.

Über Fraunhofer AISEC
Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC ist eine der international führenden Einrichtungen für angewandte Forschung im Bereich IT-Sicherheit. Mehr als 90 hochqualifizierte Mitarbeiterinnen und Mitarbeiter arbeiten an maßgeschneiderten Sicherheitskonzepten und Lösungen für Wirtschaftsunternehmen und den öffentlichen Sektor, mit dem Ziel, die Wettbewerbsfähigkeit von Kunden und Partnern zu verbessern. Dazu zählen Lösungen für eine höhere Datensicherheit sowie für einen wirksamen Schutz vor Cyberkriminalität wie Wirtschaftsspionage und Sabotageangriffe. Das Kompetenzspektrum erstreckt sich von Embedded und Hardware Security, über Automotive und Mobile Security bis hin zu Sicherheitslösungen für Industrie und Automation. Zudem bietet Fraunhofer AISEC in seinen modernen Testlaboren die Möglichkeit zur Evaluation der Sicherheit von vernetzten und eingebetteten Systemen, von Hard- und Software-Produkten sowie von Web-basierten Diensten und Cloud-Angeboten.

Uniscon – ein Unternehmen der TÜV SÜD Gruppe
Die Uniscon GmbH ist ein Unternehmen der TÜV SÜD Gruppe. Als Teil der Digitalisierungsstrategie von TÜV SÜD bietet Uniscon hochsichere Cloud-Anwendungen und Lösungen für sicheren und gesetzeskonformen Datenverkehr. TÜV SÜD ist ein weltweit führendes technisches Dienstleistungsunternehmen mit über 150 Jahren branchenspezifischer Erfahrung und heute mehr als 24.000 Mitarbeitern an etwa 1000 Standorten in 54 Ländern. In diesem starken Verbund ist Uniscon in der Lage, mit der Sealed Cloud und ihren Produkten internationale Großprojekte in den Bereichen IoT und Industrie 4.0 zuverlässig zu realisieren. Weitere Informationen zu Partnern und Produkt: www.uniscon.de

Über Universität Passau
Forschung und Lehre der Universität Passau sind auf die Schwerpunktthemen Digitalisierung, vernetzte Gesellschaft und (Internet)Kulturen, Europa und Globaler Wandel sowie Migration, nachhaltige Entwicklung und gerechte Ordnung fokussiert. Die Universität Passau will als zukunftsfähige, international sichtbare und attraktive Universität für Europa zur Lösung der europäischen Herausforderungen in Gegenwart und Zukunft einen signifikanten Beitrag leisten und bis 2028 zu einem der führenden Zentren in Europa für interdisziplinäre Grundlagenforschung zu den gesellschaftlichen Auswirkungen der Digitalisierung werden. Die Juristische Fakultät ist bekannt für ihre erstklassige Juristenausbildung und intensiv praktizierte Internationalität. Sie steht für rechtswissenschaftliche Spitzenleistungen auf den Gebieten des Privatrechts, des Strafrechts, des Öffentlichen Rechts, des Verfahrensrechts sowie des Völker- und Europarechts und in den Grundlagen des Rechts.

https://www.aisec.fraunhofer.de/de/fields-of-expertise/projekte/PrivacyBlackBox…. – Link zur Projektwebsite