Fahrdatenauswertung bei Connected Vehicles: Risikoklasse und Pflichten im EU-KI-Recht
KI-gestützte Fahrdatenauswertung bei vernetzten Fahrzeugen (Telematik, Fahrstilanalyse, Infotainment, Navigation) ist nach dem AI Act meist KI mit BEGRENZTEM RISIKO — kennzeichnungspflichtig nach Art. 50 bei direkter Nutzerinteraktion. Hochriskant wird sie: (1) bei autonomen Fahrfunktionen (Anhang III Nr. 2 — kritische Infrastruktur/Verkehr bzw. Anhang I als Produkt-Sicherheitsfunktion); (2) bei Fahrerüberwachung mit Leistungsbezug (Anhang III Nr. 4) oder Emotionserkennung am Arbeitsplatz (Art. 5 verboten, ausgenommen Sicherheitszwecke). Überlagert: DSGVO (Fahrdaten als personenbezogene Daten), EU Data Act (Datenzugang verbundener Produkte), Kraftfahrt-Bundesamt/Automobil-Regulierung, Versicherungsrecht bei Telematik-Tarifen.
Steve Baka
Einordnung nach Funktion
Fahrdatenauswertung wird nach Funktion eingestuft. Infotainment/Navigation/Telematik-Berichterstattung: meist begrenzt (Art. 50 Transparenz). Autonome Fahrfunktionen (Level 3+:-bedingte Automation, Level 4/5): hochriskant nach Anhang III Nr. 2 (kritische Infrastruktur/Verkehr) bzw. Anhang I (Sicherheitsbestandteil regulierter Produkte — Kraftfahrzeug); Hersteller = KI-Anbieter (Art. 25), notifizierte Stelle, CE. Fahrerüberwachung (Müdigkeit, Ablenkung): aus Sicherheitsgründen erlaubt (Ausnahme vom Art. 5-Verbot), aber bei Leistungsbezug hochriskant nach Anhang III Nr. 4.
Autonomes Fahren = Hochrisiko
Autonome Fahrfunktionen (insbesondere Level 3+ nach SAE) sind hochriskant nach Anhang I (KI als Sicherheitsbestandteil eines regulierten Produkts — Kraftfahrzeug) und/oder Anhang III Nr. 2. Der Fahrzeughersteller übernimmt die KI-Anbieter-Pflichten (Art. 25) — volles Art. 8–15-Pflichtenbündel PLUS Kraftfahrzeug-Zulassungsrecht (UN-ECE-Regelungen, EG-Typgenehmigung). Eine CE/Zulassung deckt die Regime ab. Besonderheiten: kontinuierliches Lernen (Updates/Logs nach Art. 12), Cybersecurity (Art. 15 — vernetzte Fahrzeuge sind hoch angreifbar), menschliche Übernahme (Art. 14), Bias an Verkehrs-/Fußgänger-Kohorten. Aufsichtlich: KBA, AI-Act-Marktüberwachung, Versicherungsrecht.
Fahrdaten, DSGVO und Data Act
Überlagert: DSGVO — Fahrdaten (Position, Fahrstil, Routen, Infotainment-Nutzung) sind personenbezogen; Rechtsgrundlage (Vertrag/Einwilligung/berechtigtes Interesse), Auftragsverarbeitung, DSFA bei hochriskanter Verarbeitung. EU Data Act — vernetzte Fahrzeuge sind „verbundene Produkte"; Fahrer/Fahrzeugbesitzer haben Recht auf Datenzugang und -weitergabe an Dritte (z. B. unabhängige Werkstatt, Telematik-Tarif-Anbieter). Das bricht Hersteller-Datenmonopole. Versicherungsrecht — Telematik-Tarife (Fahrstil-basierte Prämie) unterliegen AGG (keine geschlechtsspezifische Prämie), DSGVO (Einwilligung bei Gesundheits-/Verhaltensdaten). Eine konservative Daten-Governance (Zweckbindung, Datenminimierung, Mitnahmerechte) ist für OEMs entscheidend.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Welche Risikostufe hat Fahrdatenauswertung?
Infotainment/Telematik meist begrenzt. Autonomes Fahren hochriskant (Anhang I/III Nr. 2). Fahrerüberwachung: aus Sicherheitsgründen erlaubt, bei Leistungsbezug hochriskant.
Greift der EU Data Act?
Ja. Vernetzte Fahrzeuge sind verbundene Produkte; Fahrer/Besitzer haben Recht auf Datenzugang und -weitergabe an Dritte. Das bricht OEM-Datenmonopole.
Was gilt für Telematik-Tarife?
AGG (keine geschlechtsspezifische Prämie), DSGVO (Einwilligung bei Verhaltens-/Gesundheitsdaten), freiwillige Teilnahme, Transparenz.
Rechtskonforme Umsetzung für Fahrdatenauswertung bei Connected Vehicles?
Wenn du Fahrdatenauswertung bei Connected Vehicles rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.