Standorte, Fahrverhalten und sogar sexuelle Aktivitäten: Laut einer neuen Studie sammelt und verkauft die Autoindustrie selbst intimste Daten ihrer Kunden.
Fahren Sie schneller als erlaubt? Schnallen Sie sich an? Gehen Sie ins Bordell? Die Chancen stehen nicht schlecht, dass Ihr Autohersteller und unzählige weitere Firmen solche Geheimnisse kennen. Laut einer Untersuchung der Mozilla-Stiftung sammeln Fahrzeughersteller intimste Informationen über ihre Kundschaft und geben sie an Unternehmen und Strafverfolgungsbehörden weiter. Die Umstände dabei bleiben dubios.
Alles Denkbare wird auch gesammelt
Mozilla ist bekannt für den Firefox-Browser und das E-Mail-Programm Thunderbird. Die dazugehörige Stiftung mit Sitz in Kalifornien widmet sich regelmäßig der Datenschutz-Thematik. Für die aktuelle Untersuchung hat ein Team die Datenschutz-Erklärungen der 25 beliebtesten Automarken in den USA durchkämmt. Das Ergebnis: Alle untersuchten Unternehmen sammeln Unmengen an privaten, höchst sensiblen Informationen über die Insassen ihrer Fahrzeuge – vom Standort über Musikvorlieben bis hin zu obskuren Kategorien wie „sexuellen Aktivitäten“.
Was hat die Mozilla-Stiftung herausgefunden?
„Datenschutz nicht inbegriffen“: Die Überschrift der Mozilla-Analyse lässt schon erahnen, in welche Richtung es geht. 84 Prozent der in den USA untersuchten Automarken können persönliche Daten mit Drittanbietern teilen. 76 Prozent behalten sich das Recht vor, diese weiterzuverkaufen. An wen genau, bleibt vage. Versicherungen, Werbefirmen, Datenhändler – alles möglich. Auch eine Weitergabe an Strafverfolgungsbehörden ist möglich, in einigen Fällen (Hyundai) offenbar sogar ohne Gerichtsbeschluss. Auf diese Praxis angesprochen, antworteten die meisten Unternehmen der Stiftung nicht.
Welche Informationen sammeln die Autos?
Nahezu alles ist möglich, ob Fahrverhalten, Bewegungs- oder Stimmprofile. Moderne Autos haben Kameras, Mikrofone und unzählige Sensoren verbaut. Koppelt man das Handy mit dem Bordcomputer und gibt das persönliche Adressbuch sowie Fotos oder Videos frei, ergibt sich ein nahezu vollständiges Persönlichkeitsprofil.
Warum ist die Datensammelei ein Problem?
Es ist völlig unklar, was mit den gesammelten Datenmassen geschieht, wer sie weiterverkauft und wofür verwendet. Personalisierte Werbung ist noch das harmloseste Szenario. Versicherungen richten ihre Preise zunehmend nach dem Fahrstil aus, der über Telematik-Daten abrufbar ist. Auch Wirtschaftsspionage und Identitätsdiebstahl sind mögliche Gefahren. Nicht zuletzt hält das Automobil jede Menge analoge und digitale Spuren für Strafverfolger bereit.
Alle getesteten Marken kritisch
Hackerangriffe auf Autokonzerne könnten dazu führen, dass sensible Informationen an Unbefugte gelangen – von der Privatadresse bis zur Kreditkartennummer. Leider ist dies nicht nur ein theoretisches Szenario: Die Mozilla-Stiftung listet zahlreiche Fälle auf, in denen Autokonzerne in der Vergangenheit bereits gehackt wurden.
In den USA wurden persönliche Informationen von mehr als drei Millionen Kundinnen und Kunden des VW-Konzerns bei einem Datenleck abgegriffen – neben E-Mail-Adressen und Telefonnummern enthielten die Kriminellen teilweise Zugriffe auf Sozialversicherungsnummern. Und das ist leider nur ein Beispiel von vielen.
Welcher Autokonzern ist am schlimmsten?
Laut Mozilla sind alle 25 untersuchten Marken als kritisch zu beurteilen. Besonders heraus sticht jedoch Nissan: Laut Datenschutzerklärung des Konzerns können sogar die sexuelle Orientierung und sexuelle Aktivität der Fahrer erfasst werden, ebenso „genetische Informationen“. Was genau damit gemeint ist, bleibt unklar. Spielt der Konzern etwa auf die analoge Spurensicherung seitens Polizeibehörden an?
Bei Tesla moniert die Studie den KI-basierten „Autopiloten“, durch den bereits 17 Personen zu Tode gekommen seien. Pikant: Fast alle der untersuchten Firmen haben eine Selbstverpflichtung zum Datenschutz unterzeichnet. Die ist offenbar das Papier nicht wert, auf dem sie steht.
Ist das massenhafte Datensammeln legal?
„Die Praxis, die Autohersteller laut Mozilla in manchen Ländern haben, wäre in Europa unter Geltung der Datenschutzgrundverordnung nicht legal“, sagt der Kölner Rechtsanwalt Christian Solmecke. Besonders sensible personenbezogene Daten etwa zur Gesundheit dürften nach Artikel 9 der DSGVO nur mit einer „informellen Einwilligung“ der Nutzer gesammelt werden. „Das bedeutet, sie müssen leicht und verständlich über all das aufgeklärt werden und aktiv ,ja‘ sagen – alleine das Auto zu nutzen, reicht nicht.“
Sind die Studienergebnisse auf Deutschland übertragbar?
Die Mozilla-Stiftung sitzt in den USA und hat die Datenschutz-Bestimmungen bei den US-Ablegern der entsprechenden Automarken eingesehen. „Wir können nicht exakt sagen, was auf den US-Markt und was auf den EU-Markt zutrifft“, schreibt Mozilla-Datenanalyst Misha Rykov auf Nachfrage. Die Unternehmen machten es nahezu unmöglich, dies nachzuvollziehen. Die Datenschutzbehörde in Niedersachsen weist auf Nachfrage darauf hin, dass in den USA andere Datenschutzvorschriften gelten als in Europa. Und: „Nur weil ein Konzernunternehmen eine Datenverarbeitung rechtmäßig durchführt, gilt dies nicht automatisch auch für alle anderen Konzernunternehmen.“
Bei einer Stichprobe zeigen sich tatsächlich Unterschiede. In der deutschen Datenschutzerklärung von Nissan beispielsweise findet sich – anders als in den USA – kein Hinweis auf sexuelle Orientierung. Hierzulande gibt es sogar einen schnell auffindbaren Link zur persönlichen Datenanfrage. Dieses Auskunftsrecht ist laut Datenschutzgrundverordnung (DSGVO) in der EU vorgeschrieben.
Wie schneiden deutsche Hersteller ab?
Weder BMW noch Audi, Mercedes oder VW kommen in der Mozilla-Studie gut weg. Mercedes wird kritisiert, weil es die chinesische Video-App TikTok in die neue E-Klasse integrieren wolle. TikTok sorgt wegen Falschinformationen und Zensur-Vorfällen immer wieder für Aufsehen. In den USA könnte die Plattform sogar verboten werden.
Wie reagiert die Autoindustrie?
BMW hat eilig eine Erklärung veröffentlicht. Darin heißt es: Informationen zu Rasse, Sexualität und Gesundheitszustand würden nicht erfasst. „Sensible Verarbeitungen von Daten wie zum Beispiel Geopositionen und Spracherkennung müssen zusätzlich explizit vom Kunden aktiviert werden.“ Einige Daten, zum Beispiel die des Müdigkeitsassistenten, blieben ausschließlich im Auto.
ADAC fordert mehr Tranparenz
Nissan antwortet auf Nachfrage, die aufgestellten Behauptungen seien in Europa nicht relevant: „Wir erheben und verarbeiten die im Bericht genannten sensiblen personenbezogenen Daten (,psychologische Tendenzen, Veranlagungen, Verhalten, Einstellungen, Intelligenz, Fähigkeiten und Neigungen‘, Daten im Zusammenhang mit ,sexuellen Aktivitäten‘) weder von unseren Kunden/innen noch von den Nutzern/innen unserer Fahrzeuge.“
Bieten vernetzte Autos auch Vorteile?
Die Mozilla-Stiftung klammert diesen Aspekt aus. Klar ist aber: Vernetzte Autos bieten auch Vorteile, zum Beispiel bei der Diagnose technischer Probleme. Und natürlich im Alltag: Musikstreaming, Navi, automatische Updates. Nur hütet die Autoindustrie diese Daten, die eigentlich den Fahrzeuginsassen gehören. In Deutschland fordert der ADAC deshalb schon lange mehr Transparenz.
Kann man sich wehren?
In der EU müssen Firmen darüber Auskunft geben, welche Daten sie sammeln und weitergeben. Diese Auskunftspflicht durchzusetzen, kann jedoch mühsam sein, wie ein Bericht von „heise online“ am Beispiel von Skoda verdeutlicht. Auch kann man der Datennutzung widersprechen. Tut man dies, weist etwa Tesla darauf hin, dass das Fahrzeug unter Umständen nicht mehr funktioniert. Um zumindest ein gewisses Maß von Privatsphäre zu wahren, sollten Handy-Adressbücher oder Fotos nicht freigegeben werden. Darüber hinaus hat die Mozilla-Stiftung eine Petition gestartet, die fordert, den „Datenschutz-Albtraum auf Rädern“ zu stoppen.