Page - (000553) - in Autonomes Fahren - Technische, rechtliche und gesellschaftliche Aspekte

Erhebung und Nutzbarmachung zusätzlicher Daten – Möglichkeiten und Risiken534 2. Anonymisierung Informationen, die zu einem gerechtfertigten Zweck erfasst werden, müssen nicht zwingenderweise so erfasst werden, dass das entsprechende Individuum identifizier- bar ist. Selbst wenn die Informationen so erfasst werden, dass Individuen identifiziert werden können, müssen sie nicht auf diese Art und Weise weiterverarbeitet werden. Dies gilt insbesondere für jegliche Informationen, die nur in aggregierter Form be- nötigt werden: – Verkehrs- und Stauanalysen müssen keine individuellen Autos oder gar Fahrer identifizieren. – Die Interaktion zwischen Peers, etwa mit anderen Fahrzeugen Daten zur Verkehrs- sicherheit auszutauschen, benötigt keine Identifikation (s. die Diskussion unter 1. „Dezentrale Ansätze“ weiter oben). – Nicht einmal die Zugriffskontrolle für Autos (z. B. die Entscheidung über den Zugriff auf Parkplätze) benötigt eine individuelle Identifizierung der Autos. Die Konzepte Partieller Identitäten (ISO/IEC 24760-1, [15]) und Privatsphärenfreund- licher Attribute Based Credentials [16] erlauben eine Beschränkung der Informati- onen auf das, was wirklich benötigt wird, beispielsweise in Use-Case 2 auf die zertifizierte Information, dass ein Parkplatz für das autonome Valet-Parken von einem Fahrzeug gebucht wurde. Das Fahrzeug muss sich gegenüber der Zugriffs- kontrolle des Parkplatzes nicht individuell identifizieren. Die Übertragung eines Tokens, das das Fahrzeug nur dann identifiziert, wenn das Token missbräuchlich mehrfach verwendet wird, ist ausreichend. 3. Systematische Löschung von PII Die Löschung von Daten wird häufig in Konzepten und Lebenszyklusmodellen von IKT-Systemen vernachlässigt. Insbesondere im Fall von PII kann dies zu gefährlichem Missbrauch und entsprechenden Haftungsrisiken führen. Aus diesem Grund sollten bereits Architekturentwürfe in jedem Fall Konzepte zur systematischen Löschung von Daten beinhalten. Dies erfordert eine sorgfältige Überlegung, wie lange welche Daten zu welchem Zweck vorgehalten werden müssen. Beim Deutschen Institut für Nor- mung (DIN) und auch in der ISO/IEC-Normung wurden Projekte zur Löschung von Daten diskutiert und teilweise gestartet (s. [17]). Diese Initiativen basieren zu einem großen Teil auf dem Konzept der Datenlöschung im Mautsystem Toll Collect für Lkw. 24.6 Was muss auf lange Sicht hin bedacht werden? Es sieht danach aus, dass die Infrastrukturen für autonomes Fahren sehr groß und komplex werden und daher ein größerer Zeitraum für jede Planung zur Einführung, Verwendung und Wartung zu berücksichtigen ist. Daher sollten Anmerkungen zur längerfristigen Erfahrung im Bereich ICT und Datenschutz hilfreich sein: