Das Thema ist nicht neu: Moderne Autos sind Datenverarbeitungsmaschinen. Die gemeinnützige US-amerikanische Non-Profit-Organisation Mozilla Foundation hat nun allerdings das Ergebnis einer unabhängigen Untersuchung veröffentlicht, worin für den US-Markt in über 600 Arbeitsstunden die Datenschutzerklärungen von 25 Autobauern analysiert wurden. Fazit: „katastrophal“ und „Datenschutz-Albtraum“. Das dürfte der Thematik auch für den europäischen Raum wieder etwas mehr Brisanz verschaffen. Datenverarbeitung auf der Überholspur – Wie Autohersteller mit Vollgas Kundendaten sammeln.
Der Inhalt im Überblick
Datenunabhängige Mobilität im Auto – eine Illusion?
Von der Autoindustrie wird uns ein Ideal aufgezeigt, dass uns in einem SUV fast voll automatisiert – eingebettet in medialen Wohlfühlkomfort – lautlos durch schier endlos weite unberührte Natur oder wahlweise lehrgefegte Großstädte gleiten lässt. Die Sorglosigkeit, welche dem Verbraucher durch die neuen Autowerbungen suggeriert wird, lässt sich auch in den verträumten Gesichtern der Insassen ablesen, welche fast immer dem Sonnenuntergang entgegenfahren.
Welche Daten werden ausweislich der Mozilla-Untersuchung erhoben?
Abgesehen davon, dass dieser Art der Fortbewegungsfreiheit reale Grenzen durch die Akku-Reichweite, Staus und den alltäglichen Parkplatzstress gesetzt sind, dürfen gerade Gelegenheitsautofahrer nicht außer Acht lassen, dass moderne Autos rollende Computer sind, welche fleißig Daten sammeln. Denn in dem Moment, wo wir uns „Keyless Go“ in ein modernes Auto setzen und den Motor anknipsen, eröffnet dies uns auch die praktische Möglichkeit, uns per Sprachsteuerung bzw. unser Smartphone mit dem Auto und dessen System zu „connecten“. Damit können wir nicht nur gleich unsere Lieblings-Roadtrip-Playlist bei Spotify abspielen, sondern haben auch noch Zugriff auf unsere Telefonkontakte und bestenfalls unsere letzten Routensuchanfragen bei Google Maps. Falls die Fahrt dadurch doch zu entspannt werden sollte, scannt das Auto netterweise unsere Kopf- und Augenposition oder über das Lenkrad unsere Herzfrequenz, um unseren Müdigkeitsstatus in Erfahrung zu bringen und uns notfalls wach zu rütteln oder elektronisch in die Fahrzeugsteuerung einzugreifen.
Nach der eingangs erwähnten Untersuchung der Mozilla Foundation werden in vielen neuen Fahrzeugen durch Sensoren, Kameras, Mikrofone oder gekoppelte Telefone eine Vielzahl von personenbezogenen Daten gesammelt und weitergegeben. Neben rein technischen Fehlermeldungen oder Fahrzeugstatusdaten, wie bspw. den Kilometerstand oder die Motortemperatur, erhalten die Autohersteller über den Bord-Computer je nach Fahrzeugmodell und -ausstattung u.a. personenbezogene Fahrverhaltensmuster, Bewegungs- und Stimmprofile sowie u.U. die Kontodaten ihrer Kunden.
„Jede Automarke, die wir uns angesehen haben, sammelt mehr personenbezogene Daten als nötig und verwendet diese Informationen für einen anderen Zweck als den Betrieb Ihres Fahrzeugs.“
Koppelt man das Smartphone mit dem Bordcomputer und gibt das persönliche Adressbuch sowie Fotos oder Videos frei, ergibt sich dadurch ein nahezu vollständiges Persönlichkeitsprofil. Und da ist er: Der gläserne Autofahrer!
Umfassende Analyse von Datenschutzerklärungen
Es lässt sich durch die Analyse der Datenschutzerklärungen der Autobauer offenbar nicht abschließend klären, welche Daten genau von welchem Fahrzeugtyp bei welchen Vorgängen erhoben, verarbeitet und an wen diese letztlich weitergeleitet werden. Die Mozilla Foundation spricht jedenfalls über das moderne Auto als einen der „hungrigsten Datenfresser“ unserer Zeit und ordnet es damit als eine der denkbar unsichersten Produktkategorien ein.
Die Autohersteller müssten eigentlich nun das Kunststück vollbringen dem Fahrer am besten vor der ersten Nutzung des Autos eine umfassende, aber gut verständliche und präzise Datenschutzerklärung bereit zu stellen, die genaustens u.a. über den Zweck und die Erforderlichkeit der Datenverarbeitung informiert. Aber genau das scheint nach der Mozilla Foundation bei fast allen der untersuchten Datenschutzerklärungen nicht der Fall zu sein. Das Fazit fällt vorsichtig ausgedrückt ernüchternd aus:
„Wir haben über 600 Stunden damit verbracht, die Datenschutzpraktiken von Automarken zu analysieren – dreimal so lange pro Produkt wie sonst! Trotzdem sind zahllose Fragen offengeblieben. Keine der Datenschutzerklärungen zeichnet ein vollständiges Bild davon, wie Ihre Daten verwendet und weitergegeben werden“
Eine weitere Einnahmequelle für die Automobilindustrie
Die Herausgeber der Untersuchung gehen davon aus, dass Autohersteller das große Potenzial ihrer Datensammlung erkannt und die erhobenen Datensätze für einträgliche Summen weiterverkauft werden. Schließlich gäbe es genügend Werbeagenturen, Dienstleister oder Datenbroker, die mit individuellen Profildaten viel Geld verdienen würden. Die meisten (84 Prozent) der untersuchten Autohersteller würden angeben, dass sie persönliche Daten an Dritte weitergeben können – bei 19 von 25 Marken sei sogar von „Verkauf der Daten“ die Rede. Diese Vermutung scheint auch nicht vollständig aus der Luft gegriffen zu sein. Denn Erfolg und Gewinn hängen in der Branche nicht mehr allein von der Anzahl verkaufter Autos ab. Daten werden häufig als neue Geldquelle gesehen. Wie viel Gewinn am Ende erzielt wird, hängt überwiegend von der gesammelten Datenmenge und der Nutzeranzahl ab.
Was bedeutet das nun für den Datenschutz in Europa?
Nicht nur bei dem Datenschutz geneigten Leser dürften spätestens an dieser Stelle mehrere Alarmglocken läuten oder sogar die Haare zu Berge stehen. Bei dieser schier unüberschaubaren Menge und Sensibilität an verarbeiteten Daten dürften also gleich mehrere der wichtigsten Datenschutzgrundsätze im Sinne des Art. 5 DSGVO betroffen sein.
Die Auswertung der Datenschutzerklärungen durch die Mozilla Foundation lassen erheblich daran zweifeln, ob v.a. die Grundsätze der Datenminimierung, Zweckbindung, Rechtmäßigkeit und Transparenz eingehalten werden. Hierbei muss aber bedacht werden, dass die Untersuchung der Mozilla Foundation nur Aussagen zum US-amerikanischen Automarkt trifft, so dass die Grundsätze der DSGVO nicht zum Tragen kommen. In Europa dürfte gerade wegen des restriktiveren Datenschutzes ein weitaus weniger invasiver Umgang mit den Kundendaten als in den USA zu erwarten sein. Die DSGVO-Anforderungen hinsichtlich der Erhebung personenbezogener Daten sind schließlich sehr hoch. Zudem drohen den Automobilherstellern bei Verletzung der DSGVO-Vorschriften seitens der Aufsichtsbehörden zum Teil empfindlich hohe Bußgelder.
Daher verwundert es nicht, dass gerade die beiden europäischen Automarken Renault und Dacia, welche auf dem amerikanischen Automarkt keine Rolle spielen, bei der Untersuchung der Mozilla Foundation am besten abschneiden. Etwas mehr Vorsicht dürfte selbstredend bei amerikanischen Automarken geboten sein, welche auf dem europäischen Automarkt zu erwerben sind: Wenig überraschend belegt nämlich Tesla in der Untersuchung den letzten Platz.
Die fortschreitende Digitalisierung und Autonomie von Autos wirft neue Fragen auf
Auch wenn eher fraglich ist, inwieweit die Untersuchung der Mozilla Foundation wirklich wissenschaftlich fundiert ist und für den europäischen Rechtsraum eine veritable Aussagekraft besitzt, so wird doch in Europa u.a. durch Automobilverbände, Landesdatenschutzbeauftragte und Verbraucherschutzorganisationen schon länger bei der Datenverarbeitung durch die Autohersteller mehr Transparenz gefordert. Der Verbraucher soll wenigstens wissen, was mit den erhobenen Daten geschieht und wie er u.U. nach Verkauf des Fahrzeuges oder etwa beim Carsharing die weitere Verarbeitung unterbinden bzw. mit der Löschung der Daten rechnen kann. Aus diesem Grund streben der ADAC sowie der Fédération Internationale de l’Automobile (FIA) zusammen mit dem AvD im Zuge ihrer Kampagne „My Car My Data“ an, dass die datengenerierenden Autofahrer nach dem Grundsatz der Datenhoheit Einblick in die vom Hersteller gesammelten personenbezogenen Daten erhalten und über deren Freigabe entscheiden können.
„Allein wer die Daten generiert hat – also die Autofahrerin oder der Autofahrer – soll die Hoheit über alle Daten haben und entscheiden dürfen, wer sie zu welchem Zweck bekommen soll“
Mit dem Data Act soll zwar eine Harmonisierung der EU-Vorschriften hinsichtlich des Umgangs mit vernetzten Geräten erzielt werden. Dem ADAC und dem entsprechenden Arbeitskreis des Deutschen Verkehrsgerichtstages 2023 gehen diese Regelungen aber nicht weit genug. Für moderne Fahrzeuge brauche es laut des ADACs schon spezifischere Regelungen, weil sich die Anforderungen an die verschiedenen Produkte unterscheiden.
„Was für einen smarten Kühlschrank ausreicht, genügt für ein Kfz bei Weitem nicht“
Der Anwendungsbereich der DSGVO ist erst bei der Verarbeitung von personenbezogenen Daten eröffnet. Da aber bei der immensen Datenmenge die Grenze zu rein technischen bzw. fahrdynamischen Daten nicht immer trennscharf verläuft sowie auch die Möglichkeit der anonymisierten Datenverarbeitung besteht, ergibt sich bei der datenschutzrechtlichen Bewertung auch eine nicht unerhebliche Grauzone legitimer Datenerhebungen; so z.B. auch im Bereich Gefahrenprävention im Straßenverkehr und Telematik Kfz-Versicherungen.
Insassenschutz durch Gewährleistung von Datensicherheit
Davon abgesehen bestehen auch erhebliche Bedenken, inwieweit der Autohersteller als Verantwortlicher und dessen Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen (TOM) i.S.d. Art. 32 DSGVO ergriffen haben, um hinsichtlich der Verarbeitung personenbezogener Daten entsprechende Datensicherheit zu gewährleisten. Erst dieses Jahr waren beispielsweise Millionen von Kunden von einem Datenleck bei Fahrzeugen von Toyota betroffen, welche mit dem Netzwerkdienst T-Connect verbunden waren. Auch der VW-Konzern leistete sich 2021 eine solche Datenpanne. Hinzu kommen die Gefahren durch gezielte Hackerangriffe auf die Automobilindustrie, welche zum Teil immense Sicherheitslücken offenbaren.
Mit fortschreitender Digitalisierung, Vernetzung und Autonomie der Fahrzeuge werden die Fragestellungen aus datenschutzrechtlicher Sicht mit Sicherheit nicht weniger werden. Es lohnt sich also, weiterhin einen kritischen Blick auf die Entwicklung zu werfen und sich für das Thema ein wenig zu sensibilisieren.
Mit Durchblick, Umsicht und dem 7.Sinn weiter Auto fahren
Als wäre der Straßenverkehr nicht schon gefährlich genug, fordert also nun auch das Thema Datenschutz beim Autofahren unsere volle Aufmerksamkeit. Wer jetzt nicht gleich auf das Fahrrad umsteigen will oder sich Großmutters 30 Jahre alten Fiesta fürs Wochenende ausleihen mag, sollte sich zukünftig vielleicht etwas mehr darüber im Klaren sein, welche Daten von Autoherstellern theoretisch erhoben werden oder die Datenschutzerklärung vorm Losfahren durchlesen. Oder eben nicht. Denn diejenigen unter uns, die ohnehin bereits ihre Daten in sozialen Netzwerken veröffentlichen und sich mit dem Smartphone durch die Gegend lotsen lassen, werden wahrscheinlich auch im Auto zukünftig sorglos dem Sonnenuntergang ihrer Automobilen Freiheit entgegengleiten.
Datendichte, -umfang und -Genauigkeit ist in jedem Smartphone ungleich höher als das ein Auto erreichen kann. Aber der Zug ist abgefahren und da kann/will keiner mehr was ändern. Oder ist die Diskussion um Daten im Auto eine Nebelkerze um vom Versagen beim Smartphone abzulenken?
In der Tat gibt’s 2 Aspekte bei Auto die unbedingt betrachtet werden sollten:
– Die Kameras innen und außen und was mit den Bildern passiert. Hier sticht zB Tesla sehr negativ hervor.
– Daten zum Fahrverhalten in Verbindung mit Versicherungen bzw Garantie/Gewährleistung