Fahren Sie manchmal schneller als erlaubt? Schnallen Sie sich an? Gehen Sie ins Bordell? Die Chancen stehen nicht schlecht, dass Ihr Autohersteller und unzählige weitere Firmen solche Geheimnisse kennen. Laut einer Untersuchung der Mozilla-Stiftung sammeln Fahrzeughersteller intimste Informationen über ihre Kundschaft und geben sie an Unternehmen und Strafverfolgungsbehörden weiter. Die Umstände dazu bleiben dubios.
Mozilla ist bekannt für den Firefox-Browser. Die dazugehörige Stiftung mit Sitz in Kalifornien widmet sich der Datenschutz-Thematik. Für die aktuelle Untersuchung hat ein Team die Datenschutz-Erklärungen der 25 beliebtesten Automarken in den USA durchkämmt. Das Ergebnis: Alle untersuchten Unternehmen sammeln Unmengen an privaten, höchst sensiblen Informationen über die Insassen ihrer Fahrzeuge – vom Standort über Musikvorlieben bis hin zu obskuren Kategorien wie „sexuelle Aktivitäten“.
Was hat die Mozilla-Stiftung herausgefunden?
„Datenschutz nicht inbegriffen“: Die Überschrift der Mozilla-Analyse lässt schon erahnen, in welche Richtung es geht. 84 Prozent der in den USA untersuchten Automarken können persönliche Daten mit Drittanbietern teilen. 76 Prozent behalten sich das Recht vor, diese weiterzuverkaufen. An wen genau, bleibt vage. Versicherungen, Werbefirmen, Datenhändler – alles möglich.
Auch eine Weitergabe an Strafverfolgungsbehörden ist möglich, in einigen Fällen (Hyundai) offenbar sogar ohne Gerichtsbeschluss. Auf diese Praxis angesprochen, antworteten die meisten Unternehmen der Stiftung nicht.
Welche privaten Informationen sammeln die Autos?
Nahezu alles ist möglich, ob Fahrverhalten, Bewegungs- oder Stimmprofile. Moderne Autos haben Kameras, Mikrofone und unzählige Sensoren verbaut. Koppelt man das Handy mit dem Bordcomputer und gibt das persönliche Adressbuch sowie Fotos oder Videos frei, ergibt sich ein nahezu vollständiges Persönlichkeitsprofil.
Was das Auto weiß – am Beispiel der Ford-Datenschutzerklärung in den USA
Ist das Datensammeln transparent?
Nein. Es ist unklar, was mit den gesammelten Datenmassen geschieht, wer sie weiterverkauft und wofür verwendet. Personalisierte Werbung ist noch das harmloseste Szenario. Versicherungen richten ihre Preise zunehmend nach dem Fahrstil aus, der über Telematik-Daten abrufbar ist. Auch Wirtschaftsspionage und Identitätsdiebstahl sind mögliche Gefahren. Nicht zuletzt hält das Automobil jede Menge analoge und digitale Spuren für Strafverfolger bereit.
Hackerangriffe auf Autokonzerne könnten dazu führen, dass sensible Informationen an Unbefugte gelangen – von der Privatadresse bis zur Kreditkartennummer.
Welcher Autokonzern geht sehr lax mit Daten um?
Laut Mozilla sind alle 25 untersuchten Marken kritisch zu beurteilen. Besonders sticht jedoch Nissan heraus: Laut Datenschutzerklärung des Konzerns können sogar die sexuelle Orientierung und sexuelle Aktivität der Fahrer erfasst werden, ebenso „genetische Informationen“. Was genau damit gemeint ist, bleibt unklar. Spielt der Konzern etwa auf die analoge Spurensicherung seitens Polizeibehörden an?
Bei Tesla moniert die Studie den KI-basierten „Autopiloten“, durch den bereits 17 Personen zu Tode gekommen seien. Pikant: Fast alle der untersuchten Firmen haben eine Selbstverpflichtung zum Datenschutz unterzeichnet.
Ist das Datensammeln legal?
„Die Praxis, die Autohersteller laut Mozilla in manchen Ländern haben, wäre in Europa unter Geltung der Datenschutzgrundverordnung nicht legal“, sagt der Kölner Rechtsanwalt Christian Solmecke. Sensible personenbezogene Daten etwa zur Gesundheit dürften nach Artikel 9 der Datenschutz-Grundverordnung (DSGVO) nur mit einer „informellen Einwilligung“ der Nutzer gesammelt werden. „Das bedeutet, sie müssen leicht und verständlich über all das aufgeklärt werden und aktiv Ja sagen“, so Solmecke.
Sind die Studienergebnisse auf Deutschland übertragbar?
„Wir können nicht exakt sagen, was auf den US-Markt und was auf den EU-Markt zutrifft“, schreibt Mozilla-Datenanalyst Misha Rykov auf Nachfrage. Die Unternehmen machten es nahezu unmöglich, dies nachzuvollziehen. Die Datenschutzbehörde in Niedersachsen weist auf Nachfrage darauf hin, dass in den USA andere Datenschutzvorschriften gelten als in Europa.
Bei einer Stichprobe zeigen sich Unterschiede. In der deutschen Datenschutzerklärung von Nissan findet sich kein Hinweis auf sexuelle Orientierung. Hierzulande gibt es sogar einen schnell auffindbaren Link zur persönlichen Datenanfrage. Dieses Auskunftsrecht ist laut DSGVO in der Europäischen Union (EU) vorgeschrieben.
Wie schneiden deutsche Hersteller ab?
Weder BMW noch Audi, Mercedes oder VW kommen in der Mozilla-Studie gut weg. Mercedes wird kritisiert, weil es die chinesische Video-App TikTok in die neue E-Klasse integrieren wolle. TikTok sorgt wegen Falschinformationen und Zensur-Vorfällen immer wieder für Aufsehen. In den USA könnte die Plattform sogar verboten werden.
Wie reagiert die Autoindustrie?
BMW hat eilig eine Erklärung veröffentlicht. Darin heißt es: Informationen zu Rasse, Sexualität und Gesundheitszustand würden nicht erfasst. „Sensible Verarbeitungen von Daten wie Geopositionen und Spracherkennung müssen zusätzlich explizit vom Kunden aktiviert werden.“ Einige Daten, zum Beispiel die des Müdigkeitsassistenten, blieben ausschließlich im Auto.
Nissan antwortet auf Nachfrage, die aufgestellten Behauptungen seien in Europa nicht relevant. Man erhebe die im Mozilla-Bericht genannten sensiblen personenbezogenen Daten nicht.
Kann man sich wehren?
In der EU müssen Firmen darüber Auskunft geben, welche Daten sie sammeln und weitergeben. Diese Auskunftspflicht vonseiten des Käufers durchzusetzen, kann jedoch mühsam sein, wie ein Bericht von „Heise online“ am Beispiel von Skoda verdeutlicht.
Auch kann man der Datennutzung widersprechen. Tut man das, weist etwa Tesla darauf hin, dass das Fahrzeug unter Umständen nicht mehr funktioniert. Um zumindest ein gewisses Maß an Privatsphäre zu wahren, sollten Handy-Adressbücher oder Fotos nicht freigegeben werden.
