---

Autofahren anders bezahlen

Beginn:

15.06.2010

Anrede,

so regelmäßig wie das Ungeheuer von Loch Ness taucht auch die Diskussion um die PKW-Maut während des medialen „Sommerlochs auf. Diese Diskussion scheint mir nun an einem Punkt angekommen zu sein, an dem neben dem Ob zumindest zum Teil auch schon das Wie debattiert werden muss.

Zwar wird im Koalitionsvertrag der christlich-liberalen Koalition eine Pkw-Maut abgelehnt. Dennoch häufen sich inzwischen Hinweise darauf, dass nun doch auf politischer Ebene eine Abkehr von diesem nein möglich erscheint. Vor dem Hintergrund umwelt- und klimapolitischer Debatten , der aktuellen Finanz- und Währungskrise und der Zwänge zur Haushaltskonsolidierung bei Bund und Ländern gewinnt diese Diskussion an Dynamik.

Wie auch immer eine politische Entscheidung am Ende aussehen wird, ich möchte hier schon klarstellen, dass der Datenschutz eine PKW-Maut nicht generell verhindern will – jedenfalls dann nicht, wenn dabei die grundlegenden datenschutzrechtlichen Anforderungen beachtet werden. Mein Anliegen ist es deshalb, dass die politische Diskussion neben monetären, verkehrs- und umweltpolitischen Aspekten auch die Auswirkungen der Maut auf das Grundrecht auf informationelle Selbstbestimmung thematisiert. Bei der Ausgestaltung muss darauf geachtet werden, den Datenschutz in bereits in einer sehr frühen Phase der Systemkonzeption zu berücksichtigen („privacy by design“).

Ein Blick zurück

Wir Datenschützer befassen uns bereits seit über 15 Jahren mit diesem Thema. Im Fokus unserer Betrachtung liegt das Spannungsfeld zwischen der immer wieder behaupteten Notwendigkeit einer PKW-Maut aus haushalts-, verkehrs- und umweltpolitischen Gründen und dem Verfassungsrang ausgestatteten Recht auf informationelle Selbstbestimmung des Einzelnen. Die Datenschutzbeauftragten des Bundes und der Länder haben sich deshalb bereits 1995 in Bremen in einer gemeinsamen Entschließung dafür ausgesprochen, dass der Grundsatz der datenfreien Fahrt gewährleistet sein muss. Ich zitiere:

Der Grundsatz der datenfreien Fahrt muss auch künftig gewährleistet sein. Über Verkehrsteilnehmer, die ordnungsgemäß bezahlen, dürfen keine Daten erhoben oder verarbeitet werden, die die Herstellung eines Personenbezugs ermöglichen. Es sind ausschließlich solche Zahlungsverfahren anzuwenden, bei denen die Abrechnungsdaten nur dezentral beim Verkehrsteilnehmer gespeichert werden. Die Verkehrsteilnehmer dürften jedoch nicht gezwungen werden, einen lückenlosen Nachweis über ihre Bewegungen zu führen.

Betrachtet man diese auch nach 15 Jahren mehr denn je aktuellen Forderungen, muss man sich zunächst Gedanken über mautspezifische Bezahlwege und hierfür erforderliche Erhebungsmöglichkeiten machen.

Früher, das heißt vor Einführung der LKW-Maut auf Autobahnen, kannte der Autofahrer nur Mautstationen aus seinen Auslandsreisen an Autobahnauf- und Abfahrten z.B. in Italien, wo er die Gebühr für die gefahrene Strecke manuell entrichtete. Dieses Verfahren ist sicherlich datenfrei. Jeder, der die Autobahn benutzen will, muss zahlen – ob Einheimischer oder Ausländer. Auch kann niemand nachvollziehen, wer zu welchem Zeitpunkt welchen Autobahnabschnitt befahren hat, da keinerlei Daten hierüber erhoben werden. Andererseits ist das Verfahren kosten- und personalaufwendig, führt es zu Verzögerungen für die Straßennutzer, insbesondere in verkehrsreichen Zeiten und wäre außerhalb der Autobahnen oder bestimmter sonstiger besonderer Straßenabschnitte (Brücken, Tunnel) kaum zweckmäßig.

Aktuelle Modelle zur Mauterhebung

Aber wir reden ja heute vom anders bezahlen – deshalb möchte ich mich hier den aktuell diskutierten Modellen zuwenden, die ohne Mautstationen vor Ort auskommen.

Die Vignette: Seit 1985 zieren bunte Aufkleber aus der Schweiz die Windschutzscheiben unserer Autos; 1997 kamen noch die österreichischen Pickerl dazu. Diese Vignetten hinterlassen keine Spuren – höchstens Ablösespuren von vergeblichen Versuchen, sie von der Scheibe abzukratzen. Jeder Autobahn-Nutzer muss vor Reisebeginn eine solche Berechtigung erwerben; die Gebühren sind unterschiedlich je nach Gültigkeitsdauer und letztlich für alle gleich. Der Kauf der Vignette ist anonym, die Kontrolle, ob auch bezahlt wurde, für die Polizei einfach. Ob sie jedoch das Ziel erfüllt, den Verkehr auch sinnvoll zu steuern, ist aber zweifelhaft. Denn wer keine Vignette erwerben möchte, darf keine mautpflichtigen Straßen nutzen und weicht häufig auf Alternativrouten aus. Auch eine verkehrspolitisch sinnvolle zeit- und streckenbezogene Steuerung ist mit der Vignette kaum möglich.

Elektronischen Vignette: Das Prinzip scheint zunächst recht ansprechend, zumal das lästige Bekleben wegfällt, denn diese Vignette ist in Wirklichkeit nichts anderes als eine Registrierung von Kfz anhand ihres Kennzeichens. Von einer datenfreien Fahrt kann man hierbei deshalb nicht reden. Da zumindest das PKW-Kennzeichen beim Kauf einer Vignette erfasst und für Kontrollzwecke gespeichert wird, bedarf es hier einer intensiveren Betrachtung, was mit den Daten geschieht.

Neben der datenschutzrechtlich problematischen Registrierung stellt sich wie bei der realen Vignette zudem das Problem einer mangelnden Steuerungswirkung; zudem könnte es – wie etwa die bisherige jährlich zu entrichtende Kfz-Steuer - ungerecht erscheinen. Warum soll ein Vielfahrer genau so viel bezahlen wie jemand, der sein Auto nur bei Sonnenschein am Sonntag – auch über mautpflichtige Strecken – spazieren fährt. Und was passiert eigentlich, wenn ich das Auto verkaufe? Bekomme ich dann mein Geld zurück? Oder nur dann, wenn das Auto ein anderes Kennzeichen erhält? Nein, das wäre nicht unbedingt praktikabel: denn wenn ich in eine andere Stadt umziehe und für mein PKW ein anderes Kennzeichen beantragen muss, wie kann ich dann die elektronische Vignette ändern lassen? Fragen über Fragen – nicht nur datenschutzrechtlicher Art.

Deutsche LKW-Autobahnmaut: Mit dem Start des LKW-Mautbetriebes Anfang 2005 hat in Deutschland ein neues Zeitalter im Zusammenhang mit der Erfassung und Bezahlung von Wegstrecken begonnen. Deshalb, und weil die entsprechende Infrastruktur für viel Geld bereits installiert wurde, möchte ich mich hier näher mit diesem System auseinandersetzen. Um es vorwegzunehmen: Die LKW-Maut erfüllt die Anforderungen für eine datenfreie Fahrt nicht, oder zumindest nur unzureichend.

Vorausgesetzt, der LKW ist vom Grundsatz her auf deutschen Autobahnen mautpflichtig und hat eine elektronische On-Board-Unit (OBU) eingebaut, wird zunächst satellitengestützt mittels GPS die Position des Fahrzeugs errechnet. Dies ist datenschutzrechtlich nicht problematisch. Die errechnete Position wird weder an den Satelliten zurück übermittelt noch wird sie in einer zentralen Datenbank gespeichert. Vielmehr erkennt die OBU anhand dieser Positionsangaben, ob sich das Fahrzeug auf einer mautpflichtigen Strecke befindet. Insofern funktioniert die OBU wie ein marktgängiges Navigationsgerät, mit dem Unterschied, dass auch die Mautdaten darin errechnet und erfasst werden. Nur in der OBU wird festgestellt, ob eine Gebühr zu entrichten ist. In gewissen zeitlichen Abständen übermittelt die OBU gebündelt ein Paket von gefahrenen mautpflichtigen Streckenabschnitten per SMS zu Abrechnungszwecken an die Betreibergesellschaft der LKW-Mauterhebung. Zwar kann Toll Collect nicht den aktuellen Aufenthaltsort eines mautpflichtigen LKW bestimmen.

Letztendlich erhält Toll Collect dennoch ein Bewegungsprofil dieses LKW. Auch wenn diese Daten nur zu Abrechnungszwecken kurzzeitig gespeichert werden. Zudem werden die Mautdaten an das Bundesamt für Güterverkehr in Köln übermittelt, wo sie für Dokumentations- und Abrechnungszwecke für fünf Jahre aufbewahrt werden. Die bei Toll Collekt und im Bundesamt gespeicherten Daten haben Begehrlichkeiten von Strafverfolgungsbehörden ausgelöst, die durchaus nachzuvollziehen sind, etwa wenn es um die Aufklärung schwerer Straftaten geht.

Aus datenschutzrechtlicher Sicht begrüße ich die engen Zweckbindungsregelungen des Autobahnmautgesetzes, die diesen Begehrlichkeiten einen gesetzlichen Riegel vorschieben. Immerhin haben diese Einhegungen bisher allen Forderungen zu ihrer Aufweichung widerstanden. Eine Garantie für die Zukunft ist dies aber nicht.

Eine OBU kann der Fahrer ausschalten und sich so der Mautpflicht entziehen. Deshalb gibt es Kontrollmechanismen in Form der uns allen bekannten Autobahnmautbrücken. Aber auch mobile Kontrolleure des Bundesamts für Güterverkehr sind auf Deutschlands Autobahnen unterwegs, um Mautpreller auf frischer Tat zu fassen. Hiergegen bestehen keine grundlegenden datenschutzrechtlichen Bedenken. Kritisch sehe ich es aber, dass die Kontrollinfrastruktur mit verhältnismäßig wenig Aufwand so modifiziert werden könnte, dass daraus eine Überwachungsinfrastruktur wird – nicht nur für LKW, sondern für alle Kfz.

Anforderungen an ein datenschutzgerechtes Mautsystem

Vorweg gesagt: Das Ziel einer datenschutzgerechten Anwendung sollte sein, nur so viele Daten wie für die Mautabrechnung nötig und dabei so wenig personenbezogene Daten wie möglich zu erheben.

Die nachfolgende Schritte für eine elektronische Mauterhebung bedürfen bei einer möglichen Einführung einer PKW-Maut besonderer datenschutzrechtlicher Aufmerksamkeit:

•Die Bestimmung der Fahrzeugposition
•Die Bestimmung des Straßenabschnitts und des dazugehörigen Tarifs
•Die Berechnung des Betrags, der für diesen Bereich fällig ist
•Die Berechnung des Gesamtbetrages, der für die ganze Fahrt fällig wird
•Die Kontrollmechanismen im Zusammenhang mit dem Bezahlvorgang

Der Betroffene sollte es selbst in der Hand haben, über seine Daten zu bestimmen. Die fortschreitende Automatisierung führt nicht nur bei elektronischen Mautsystemen dazu, dass sich der Einzelne oftmals nicht mehr im Klaren darüber ist, wer welche personenbezogenen Daten wann, von wem und aus welchem Grund erhalten hat. Natürlich gibt es Situationen, bei denen es sinnvoll erscheinen mag, zu wissen, wo sich mein Auto gerade aufhält. So sind Navigationssysteme mit intelligenten Ortungssystemen ein Angebotsschlager vieler Autovermietungen.

Vermieden werden sollte aber eine zentrale Speicherung und Verarbeitung aller Daten in einer Hand. Eine solche Variante wäre eine Art Vorratsdatenspeicherung, deren konkrete Ausprägung im Telekommunikationsgesetz im März vom Bundesverfassungsgericht für nichtig erklärt wurde. Das Bundesverfassungsgericht hat auch bei dieser Gelegenheit wieder unmissverständlich klar gestellt, dass es keine Totalüberwachung geben darf.

Das in Großbritannien bereits praktizierte Verfahren, sämtliche Kfz-Kennzeichen anlasslos überall zu erfassen und zentral zu speichern, wäre daher mit dem deutschen Verfassungsrecht unvereinbar.

Für die datenschutzrechtlichen Bewertung müssen wir zunächst verstehen, wie die von mir gerade genannten Prozesse zwischen datenverarbeitenden Stellen verteilt sind. Ich möchte Ihnen hierzu drei Modelle und deren wichtigste datenschutzrechtliche Aspekte vorstellen:

Der „Thin Client“-Ansatz

Ein Thin Client ist innerhalb einer elektronischen Datenverarbeitung eine Anwendung oder ein Endgerät eines Netzwerks, dessen funktionale Ausstattung auf die Ein- und Ausgabe von Daten beschränkt ist. Hauptaufgabe des dünnen Klienten ist, anzuzeigen, dass für das Fahrzeug die Mautpflicht erfüllt wurde.

Der dünnste Client ist die elektronische Vignette. Aber er kann natürlich auch andere Formen annehmen, etwa diejenige der “OBU“. Daneben existiert hier aber noch eine unter Ver-wendung einer zentralen Datenbank betriebene Kontrollstelle. Die von der OBU gesammelten Daten werden an diese zentrale Datenbank übermittelt. Dort werden alle Daten, also auch personenbezogene Identifikationsdaten, zur Be- und Abrechnung zusammengeführt.

Aus datenschutzrechtlicher Sicht sind solche Systeme eher negativ zu beurteilen, jedenfalls dann, wenn

•an einer zentralen Stelle viele Daten vorgehalten,
•Bewegungsprofile erstellt
•und Begehrlichkeiten Dritter zur zweckändernden Datennutzung geweckt

werden.

Auch die Einhaltung besonders hoher technisch-organisatorischer Anforderungen an die Datensicherheit beim Betrieb eines „Thin Client-Systems“ ändert an dieser Bewertung grund-sätzlich nichts.

Eine Thin Client - Lösung wurde zunächst von unseren Nachbarn in den Niederlanden favorisiert. Die tatsächlich gefahrenen Kilometer sollten mit einem satellitengestützten Computersystem ermittelt und dann direkt von Konten oder Kreditkarten abgebucht werden. Von vielen niederländischen Autofahrern wurde die OBU als Spionagekastje tituliert. Hätten sich die politischen Verhältnisse in den Niederlanden nicht verändert, wäre dieses System vielleicht schon bald realisiert worden. Ich bin froh, dass dies nun nicht der Fall ist.

Der „Distributed Role“-Ansatz

Hier wird die Datenverarbeitung auf zwei Stellen verteilt, wobei die eine Stelle die ortsbezogenen Daten und die andere nur die Identifikationsdaten der Fahrer verarbeitet.

Die erste Stelle erfasst Informationen über die vom Fahrzeug zurückgelegte Strecke, also die Fahrzeit und die Position. Hieraus werden die fälligen Gebühren errechnet. Diese Gebühren werden mit der Identifikationsnummer der OBU an die zweite Stelle übermittelt, die über Daten zur Person den Eigentümer der OBU verfügt. Die Gebührendaten werden von ihr mit den OBU – Eigentümerdaten zu Abrechungszwecken zusammen geführt.

Diese Lösung ist datenschutzfreundlicher als die thin client - Lösung. Aber man darf nicht außer acht lassen, dass auch hier zumindest von der zweiten Stelle große Mengen an Daten erhoben und verarbeitet werden. Insbesondere in den Fällen, in denen die Gebühr nicht gezahlt oder dem Grunde oder der Höhe nach bestritten wird, ist es auch bei diesem System erforderlich, die Kalkulation der Gebühr gerichtsfest zu dokumentieren. Zu diesem Zweck müssen die personenbezogenen Identifikationsdaten des LKW-Fahrers mit Daten über Fahrzeit und Position verknüpft werden. Damit entsteht auch ein Bewegungsprofil.

Das bereits oben erwähnte Risiko einer Zweckänderung dieser Daten, zum Beispiel zu Strafverfolgungszwecken, ist damit ebenfalls gegeben.

Der Distributed Role-Ansatz ist somit für uns Datenschützer ebenfalls nicht die Methode der Wahl.

Der „Smart Client“-Ansatz

Systeme, bei denen die im Zusammenhang mit der Mauterhebung anfallenden Daten ausschließlich unter der Kontrolle der Nutzer stehen, weisen am ehesten das Potential einer wasserdichten datenschutzgerechten Lösung auf. Wie könnten sie funktionieren?

Die von mir erwähnten vier Schritte der Positionsbestimmung, Tarifbestimmung, Teil- und Gesamtberechung der Mautgebühr erfolgen in einem Gerät, dem sogenannte intelligent device. Kontrollstellen empfangen lediglich die Summe der angefallenen Gebühren und überprüfen das Funktionieren dieses Geräts.

Die Anonymität des Fahrers kann hierbei gewahrt werden, weil alle Daten über Position und Fahrtzeit unter seiner alleinigen Kontrolle stehen. Er müsste sich nur selbst identifizieren, wenn Unregelmäßigkeiten auftreten, die eine solche Identifizierung zu Abrechungszwecken erforderlich machen: zum Beispiel wenn der Nutzer eine richtig berechnete Mautgebühr nicht gezahlt hat, das Fahrzeug gestohlen wurde oder wenn das Gebührenerfassungssystem des Nutzers funktionsuntüchtig ist. Die Kontrollstelle muss nur Gewissheit darüber haben, dass das Gerät im Fahrzeug, das die Gebühren berechnet, auf kostenpflichtigen Straßen richtig arbeitet.

Auch bei einem solchen System müssen besondere Maßnahmen getroffen werden, um die datenfreie Fahrt zu wahren. So ist mir bewusst, dass dieses System nur funktionieren kann, wenn der Fahrer die OBU nicht manipulieren kann. Es müssen also passende Zertifizierungsstandards angeboten werden, eine richtige Installation und Wartung der Geräte gewährleistet werden und außerdem einige andere technische Aspekte beachtet werden (z.B. Energieversorgung, Funktionskontrolle, Speicherkapazitäten).

Hervorzuheben ist auch, dass auf ein intelligent devices basierendes Mautsystem auch die Möglichkeit der technischen Interoperabilität bieten könnte – ich denke hier insbesondere an die europäischen Überlegungen im Hinblick auf das European Electronic Toll Service (EETS) oder bezüglich bereits bestehender City-Maut-Systeme.

Zu Abrechnungzwecken könnten auch anonyme Pre-Paid-Lösungen wie beim Mobiltelefon angeboten werden. Ein Fahrer sollte die Möglichkeit haben, ein Gebührenguthaben zu kaufen, das mit Hilfe der OBU „abgefahren“ werden könnte. Die OBU liefert der Kontrollstelle die Information, dass die Gebühren für den Straßenabschnitt bereits vorab gezahlt wurden.

Bei bestimmungsgemäßer Nutzung des Mautsystems durch den Fahrer funktioniert die Geltendmachung von Ansprüchen des Mautbetreibers ohne Feststellung der Identität des Fahrers oder Halters. Nur bei nicht bestimmungsgemäßer Nutzung des Mautsystems muss die Kontrollstelle bei Manipulation oder Abschaltung der OBU Schritte zur Ermittlung des Fahrers beziehungsweise Halters einleiten.

Eine diesbezüglich autorisierte Stelle könnte für den Mautbetreiber zum Beispiel durch eine Halterabfrage beim Kraftfahrt-Bundesamt die Identifizierung über das Kennzeichen vornehmen und die Funktionsfähigkeit der OBU (zum Beispiel durch technische Überwachungsvereine) überprüfen lassen und anschließend die Mautansprüche eintreiben.

Sind die Mautgebühren ordnungsgemäß entrichtet worden, können die Mautsysteme so gestaltet werden, dass die detaillierten Bewegungsdaten vollständig und dauerhaft aus der OBU gelöscht werden.

Fazit

Datenschutz und Mauterhebung müssen kein Gegensatz sein, wenn die Datenschutzanforderungen bereits auf Systemebene berücksichtigt und gesetzlich abgesichert werden. Im Hinblick auf die Gewährleistung dieser Anforderungen sehe ich die größten Chancen bei „Smart Client-Lösungen“, die den Grundsatz der Datensparsamkeit gewährleisten.

Der notwendige, bereichsspezifische rechtliche Rahmen und die sich daraus ergebende technische Ausgestaltung bleiben natürlich abzuwarten.

Ich danke Ihnen für Ihre Aufmerksamkeit!

Adresse