tS                        tE Zeit/s Keine Datenspeicherung 21

Fall 2: Autonome Fahrt im festgelegten Betriebsbereich mit Ereignis (Beispiel: Unfall) Unfall        t0 tS                                                                        tE Zeit/s Datenspeichrung Fall 3: Autonome Fahrt im festgelegten Betriebsbereich mit Ereignis und anschließender Überführung des Fahrzeugs in den Risikominimalen Zustands tR tS          Risikominimaler Zustand                       tOP             tE Zeit/s Datenspeicherung Legende: Zeitpunkt           Beschreibung tS                  Beginn der Fahrt (Starten des Fahrzeugs) tE                  Ende der Fahrt t0                  Unfallereignis t 0P                Anforderung/Eingabe der Technischen Aufsicht 2.2    System der Datenspeicherung Das System der Datenspeicherung darf nicht flüchtig sein. Die gespeicherten Daten müssen im stromlosen Zustand erhalten bleiben Vom Hersteller ist ein Sicherheitskonzept zu erstellen, das den Vorgaben der Artikel 24, 25 und 32 der Datenschutz-Grundverordnung entspricht und eine Datenschutzfolgeabschätzung nach Artikel 35 der Datenschutz-Grundverordnung beinhaltet. Ergänzende technische Anforderungen für den Datenspeicher: •      Die Datenspeicherung beginnt mit der Zulassung des Fahrzeuges mit autonomer Fahrfunktion; •      Die Daten werden im Fahrzeug gespeichert; 22

•    Der Zugang zu den gespeicherten Daten im Fahrzeug mit autonomer Fahrfunktion erfolgt über die normierte 16-polige On-Board-Diagnose-Schnittstelle (16-polige OBD-Schnittstelle) über 5 ein Kommunikationsmodul nach ISO 22900                      Straßenfahrzeuge - Modulare Kommunikationsschnittstelle im Fahrzeug (MVCI)beziehungsweise nach SAE J2534 unter Verwendung der proprietären Software des Herstellers oder über die proprietäre Schnittstelle. Ergänzend dazu müssen in bestimmten Situationen oder nach bestimmten Ereignissen die Daten direkt über eine Weitverkehrsnetz-Anbindung (WAN-Verbindung) an die zuständige staatliche Stelle gesendet werden; •     Der Zugang und das Herunterladen der gespeicherten Daten über die normierte 16-polige OBD- Schnittstelle oder über die proprietäre Schnittstelle darf nur durch das Kraftfahrt-Bundesamt und die nach Landesrecht zuständige Behörde erfolgen; •     Im Reparaturfall erfolgt der Zugang zum Datenspeicher im Fahrzeug mit autonomer Fahrfunktion über die normierte 16-polige OBD-Schnittstelle über ein Kommunikationsmodul nach ISO 22900 beziehungsweise nach SAE J2534 nur unter Verwendung der proprietären Software des Herstellers oder über die proprietäre Schnittstelle. •     Die Datenspeicherung und die Datenübermittlung hat den Anforderungen an die Sicherheit im Bereich der Informationstechnologie (Anhang 5 zu dieser Anlage) zu genügen. Insbesondere müssen die Daten dem Stand der Technik gemäß vor Manipulation und missbräuchlicher Verwendung geschützt werden.. 5 Soweit in dieser Verordnung auf DIN- oder ISO-Normen Bezug genommen wird, sind diese im Beuth Verlag GmbH, Burggrafenstraße 6, 10787 Berlin erschienen. Sie sind beim Deutschen Patent-und Markenamt in München archivmäßig gesichert niedergelegt. 23

Anhang 4: Anforderungen an Mensch-Maschine-Schnittstellen Ein Fahrzeug, das autonom führerlos innerhalb eines festgelegten Betriebsbereiches betrieben wird, erfordert nur in Ausnahmesituationen eine Interaktion mit einer Technischen Aufsicht. Demnach müssen autonome Fahrfunktionen innerhalb des festgelegten Betriebsbereiches alle für eine verkehrssichere Steuerung notwendigen Aufgaben beherrschen, ohne dass eine fahrzeugführende Person in die Steuerung eingreift oder die Fahrt des Fahrzeuges permanent von der Technischen Aufsicht überwacht wird. Für die Fahrt sind zwei Anwendungsfälle der Interaktion zu unterscheiden: 1.     Erteilen einer Fahrmanöverfreigabe an das Fahrzeug mit autonomer Fahrfunktion durch die Technische Aufsicht Sobald das Fahrzeug mit autonomer Fahrfunktion in eine Situation gerät, in der die Fortsetzung der Fahrt nur durch eine Verletzung der Straßenverkehrsordnung (StVO) möglich wäre, wird das Fahrzeug in den Risikominimalen Zustand versetzt. Das Verlassen des Risikominimalen Zustands erfolgt mit Unterstützung der Technischen Aufsicht. Folgendes ist hierbei zu beachten: •      Die autonome Fahrfunktion kann initial der Technischen Aufsicht mögliche Fahrmanöver zur Fortsetzung der Fahrt vorschlagen und ausreichend Daten zur Beurteilung der Situation liefern. Die Technische Aufsicht entscheidet über eine Freigabe für das mögliche Fahrmanöver. •      Schlägt die autonome Fahrfunktion der Technischen Aufsicht kein Fahrmanöver zur Fortsetzung der Fahrt vor so muss die Technische Aufsicht über den weiteren Verlauf entscheiden. Wird durch die Technische Aufsicht ein Fahrmanöver vorgegeben, so muss dieses durch die autonome Fahrfunktion validiert werden. Unabhängig von Kugelpunkt 1 und von Kugelpunkt 2 darf die autonome Fahrfunktion das Fahrmanöver nicht ausführen, wenn daraus eine Gefährdung der am Verkehr Teilnehmenden resultieren würde. Die sichere Ausführung beziehungsweise Nichtausführung solcher Fahrmanöver obliegt weiterhin der autonomen Fahrfunktion mit systemseitiger Auswertung der aktuellen Verkehrssituation vor Ort. 2.     Übernahme der Fahraufgabe durch manuelle Steuerung außerhalb des festgelegten Betriebsbereiches Erreicht die autonome Fahrt die Grenzen des festgelegten Betriebsbereiches, muss das Fahrzeug durch die autonome Funktion in den Risikominimalen Zustand versetzt werden. Erfolgt eine Fortführung der Fahrt außerhalb der Grenzen des festgelegten Betriebsbereiches durch eine fahrzeugführende Person, so ist die fahrzeugführende Person mittels eines geeigneten Interaktionskonzeptes zur Aktivität aufzufordern. Sofern das Stehenbleiben des Fahrzeuges mit autonomer Fahrfunktion den umlaufenden Verkehr oder Dritte behindern würde, so ist die Aufforderung zur Aktivität durch einen entsprechenden Hinweis zu ergänzen und in ihrer Intensität fortlaufend zu steigern. Die Aufforderung kann beispielsweise durch Signaltöne in zunehmender Lautstärke oder durch Vibrationen mit zunehmender Intensität erfolgen. . 24

25

Anhang 5: Anforderungen an die Sicherheit im Bereich der Informationstechnologie Über den gesamten Entwicklungs- und Betriebszeitraum des Fahrzeuges mit autonomer Fahrfunktion ist vom Hersteller die Absicherung vor Angriffen auf die elektronische und elektrische Architektur des Fahrzeuges sowie auf die mit dem Fahrzeug in Verbindung stehenden elektronischen und elektrischen Architektur gegenüber dem Kraftfahrt-Bundesamt und der nach Landesrecht zuständigen Behörde nachzuweisen. Dies impliziert auch die Absicherung vor Angriffen in Verbindung mit Software- Updates. Die vom Hersteller zu erfüllenden Anforderungen bezüglich der Sicherheit im Bereich der Informationstechnologie sind u. a. den Anforderungen der UN-Regelung 155 „UN Regulation on uniform provisions concerning the approval of vehicles with regard to cyber security and of cybersecurity management systems“ mit Maßgabe des folgenden zu entnehmen Die Anforderungen in unter Ziffer 3 und 5 gelten zusätzlich zu dieser UN-Regulierung. Vom Hersteller ist darüber hinaus ein Sicherheitskonzept zu erstellen, das den Vorgaben der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 in der Version vom 04.05.2016 (kurz: Datenschutz-Grundverordnung) entspricht und eine Datenschutzfolgeabschätzung nach Artikel 35 der Datenschutz-Grundverordnung beinhaltet. Erkennt der Hersteller Manipulationen am Fahrzeug, so sind diese unverzüglich dem Kraftfahrt- Bundesamt und der nach Landesrecht zuständigen Behörde mitzuteilen und entsprechende Maßnahmen einzuleiten. 1 Cyber Security Management System Um den Anforderungen an die Sicherheit im Bereich der Informationstechnologie gerecht zu werden, ist vom Hersteller gegenüber dem Kraftfahrt-Bundesamt und der nach Landesrecht zuständigen Behörde die Existenz und Nutzung eines Cyber Security Management Systems (CSMS) nachzuweisen. Aufgabe des CSMS ist es, Cybersicherheitsrisiken zu identifizieren, zu evaluieren und zu entschärfen. Die Sicherheit der Fahrzeuginsassen oder weiterer am Verkehr Teilnehmender und Leib oder Leben von Personen darf durch diese Risiken nicht beeinträchtigt werden. Dabei sollen mindestens folgende Schutzziele in Bezug auf vom Fahrzeug übermittelte oder empfangene Daten bzw. in Bezug auf die die Fahrfunktion berücksichtigt werden: •     Vertraulichkeit •     Integrität •     Verfügbarkeit •     Nachweisbarkeit •     Authentizität •     Verantwortlichkeit 1.1    Prüfung und Anforderungen an das CSMS Im Rahmen der Begutachtung prüft das Kraftfahrt-Bundesamt oder ein durch das Kraftfahrt- Bundesamt beauftragter Technischer Dienst, ob ein Fahrzeughersteller ein CSMS eingeführt hat, und 26

ob dieses System den Anforderungen der UN-Regelung 155 und den Vorgaben der Artikel 24, 25 und 32 der Datenschutz-Grundverordnung entspricht. Das Kraftfahrt-Bundesamt beteiligt das Bundesamt für Sicherheit in der Informationstechnik bei der Prüfung. 1.2    Umfang des CSMS Der Hersteller weist gegenüber dem Kraftfahrt-Bundesamt oder dem durch das Kraftfahrt-Bundesamt beauftragten Technischen Dienst und der nach Landesrecht zuständigen Behörde nach, dass sein CSMS die Entwicklung, die Produktion und den Betrieb des Fahrzeuges mit autonomer Fahrfunktion umfasst. Der Hersteller weist hierbei auch nach, dass die im Rahmen des CSMS verwendeten Verfahren angemessen sind. Diese sollen Folgendes umfassen: •   die Verfahren die innerhalb der Organisation des Fahrzeugherstellers durchgeführt werden, um die Cybersicherheit zu gewährleisten; •   die Verfahren, die durchgeführt werden, um Gefährdungen von Fahrzeugtypen festzustellen; •   die zur Bewertung, Kategorisierung und Behandlung von festgestellten Gefahren durchzuführenden Verfahren; •   die Verfahren, die zur Bestätigung, dass festgestellte Gefahren angemessen behandelt werden durchgeführt werden; •   die Verfahren, die zur Prüfung der Cybersicherheit eines Fahrzeugtyps durchgeführt werden; •   die Verfahren die zur Sicherstellung, dass die Risikobeurteilung fortlaufend aktualisiert wird durchgeführt werden; •   die Verfahren die zur Beobachtung und Feststellung von sowie Reaktionen auf Cyberangriffe und Cybergefahren durchgeführt werden.und •   die Verfahren die zur Beurteilung der wirksamen Umsetzung von Maßnahmen zur Abwehr von Cybergefahren durchgeführt werden. 2 Cyber-Risikobeurteilung                       des     Fahrzeuges          mit      autonomer Fahrfunktion Bevor die Begutachtung eines Fahrzeuges mit autonomer Fahrfunktion zum Zwecke der Genehmigung durchgeführt wird, muss der Hersteller gegenüber dem Kraftfahrt-Bundesamt oder dem durch das Kraftfahrt-Bundesamt beauftragten Technischen Dienst und der nach Landesrecht zuständigen Behörde nachweisen, dass das CSMS des Herstellers über eine gültige CSMS- Konformitätsbescheinigung verfügt und dass das CSMS auf den zu genehmigenden Fahrzeugtyp angewendet wird. 27

2.1    Prüfung und erforderliche Maßnahmen Die Genehmigungsbehörde oder der von dieser hiermit beauftragte Technische Dienst prüft anhand der Dokumentation, ob der Hersteller die für den Fahrzeugtyp erforderlichen Maßnahmen getroffen hat, um •  entlang der Lieferkette alle nach dieser Regelung erforderlichen Informationen zu erheben und zu prüfen; •  die Risikobeurteilung, die Ergebnisse von Tests sowie die Risikoabsicherung (Mitigation) für den Fahrzeugtyp, einschließlich der weiteren Informationen zur Gestaltung im Zusammenhang mit der Risikobeurteilung, zu dokumentieren und •  angemessene Cybersicherheitsmaßnahmen bei der Gestaltung des Fahrzeugs und dessen Systeme umzusetzen. 2.2    Stichprobenprüfung Das Kraftfahrt-Bundesamt oder der durch das Kraftfahrt-Bundesamt beauftragte Technische Dienst und die nach Landesrecht zuständige Behörde überprüfen anhand eines Musterfahrzeugs, ob der Hersteller, die von ihm dokumentierten Cybersicherheitsmaßnahmen umgesetzt hat. Dies kann in Form von Stichproben erfolgen. Das Prüfergebnis ist detailliert zu dokumentieren. 2.3    Risikobeurteilung Der Hersteller weist gegenüber dem Kraftfahrt-Bundesamt oder dem durch das Kraftfahrt-Bundesamt beauftragten Technischen Dienst und der nach Landesrecht zuständigen Behörde schriftlich oder elektronisch nach, wie die Risikobewertung für den Fahrzeugtyp durchgeführt wurde. Die Risikobeurteilung betrachtet die Systeme des Fahrzeugtyps sowie die Interaktionen dieser Systeme. Weiterhin sind im Rahmen der Risikobeurteilung sämtliche Interaktionen mit externem System zu betrachten. 2.4    Schutz kritischer Elemente Der Hersteller weist gegenüber dem Kraftfahrt-Bundesamt oder dem durch das Kraftfahrt-Bundesamt beauftragten Technischen Dienst und der nach Landesrecht zuständigen Behörde schriftlich oder elektronisch nach, dass kritische Elemente des Fahrzeugtyps gegen die Gefahren, die im Rahmen der Risikobeurteilung des Herstellers festgestellt wurden, geschützt werden. Es sind angemessene Risikoabsicherungen umzusetzen, um solche Elemente zu schützen. 2.5    Nachweis Der Hersteller weist gegenüber dem Kraftfahrt-Bundesamt oder dem durch das Kraftfahrt-Bundesamt beauftragten Technischen Dienst und der nach Landesrecht zuständigen Behörde schriftlich oder elektronisch nach, dass angemessene und die Verhältnismäßigkeit wahrende Maßnahmen ergriffen wurden, um den Fahrzeugtyp für die Speicherung und die Ausführung von Zulieferersoftware, Dienstleistungen, Applikationen oder Daten zu schützen. 28

Der Hersteller beschreibt in dem Nachweis, welche Tests durchgeführt wurden, um die Effizienz der angewendeten Sicherheitsmaßnahmen zu prüfen und informiert das Kraftfahrt-Bundesamt oder den durch das Kraftfahrt-Bundesamt beauftragten Technischen Dienst und die nach Landesrecht zuständige Behörde über die Ergebnisse dieser Tests. 3 Funkverbindungen Der Hersteller hat eine für die autonome Fahrt ausreichend sichere Funkverbindungen vorzusehen. Ein für die autonome Fahrfunktion kritischer Abbruch der Funkverbindungen oder ein unerlaubter Zugriff auf diese Verbindungen löst die Versetzung des Fahrzeuges in den risikominimalen Zustand aus. Die Verbindungen sind so auszuführen, dass das Risiko eines unerlaubten Zugriffs auf die Verbindungen nach dem Stand der Technik minimiert wird. Der Aufbau der Verbindung und die Datenübertragung sind mit der Nutzung offener und etablierter Standards zu sichern und zu verschlüsseln. Es ist mindestens der RFC 8446 Standard (TLS 1.3) in der von der IETS im August 2018 veröffentlichten Fassung, eine Weiterentwicklung desselben oder ein vergleichbar hoher Standard zu nutzen. 29