„Datenschutz-Albtraum auf Rädern“: Alle von Mozilla geprüften Automarken – darunter Ford, Volkswagen und Toyota – fallen beim Datenschutztest durch
Von Mozilla | 6. September 2023
___
Die neueste Ausgabe von Mozillas *Datenschutz nicht inbegriffen enthüllt, wie 25 große Automarken höchst persönliche Daten sammeln und weitergeben, u. a. sexuelle Aktivität, Gesichtsausdrücke sowie genetische und gesundheitliche Informationen.
___
(MITTWOCH, 6. SEPTEMBER 2023) – Alle 25 großen Automarken, die Mozilla für die neueste Ausgabe von *Datenschutz nicht inbegriffen (*DNI) getestet hat, schnitten beim Schutz der Privatsphäre von Verbraucher*innen verheerend ab – eine Premiere in der siebenjährigen Geschichte des Shopping-Ratgebers.
Laut Recherchen von Mozilla können beliebte internationale Automarken – darunter BMW, Ford, Toyota, Tesla, Kia und Subaru – hochgradig persönliche Daten sammeln, z. B. über die sexuelle Aktivität, den Einwanderungsstatus, die Ethnie, den Gesichtsausdruck, das Gewicht, die Gesundheit oder die Genetik einer Person sowie welche Orte diese anfährt. Die Forschenden fanden heraus, dass Daten über Sensoren, Mikrofone, Kameras und über die Handys und Geräte, die Fahrer*innen mit ihren Autos koppeln, sowie über Auto-Apps, Unternehmenswebsites, Händler und Telematiksysteme erfasst werden. Die Autohersteller können diese Daten dann an Dritte weitergeben oder verkaufen. Zudem können sie die Daten nutzen, um Rückschlüsse auf die Intelligenz, Fähigkeiten, Eigenschaften, Präferenzen und weitere persönliche Merkmale zu ziehen.
Eine weitere Premiere für das Forschungsteam hinter *Datenschutz nicht inbegriffen: Keine einzige der Marken im Test erfüllt die Mindestsicherheitsstandards von Mozilla. Genauer gesagt, konnten die Forschenden nicht bestätigen, dass auch nur eine der Marken alle persönlichen Daten verschlüsselt, die in den Fahrzeugen gespeichert werden. Nur ein Hersteller (Mercedes) antwortete überhaupt auf Mozillas Anfrage bezüglich einer solchen Verschlüsselung.
Die neueste Ausgabe von *DNI nimmt Datenschutz- und Sicherheitsmängel von Automarken aus fünf Ländern unter die Lupe: USA, Deutschland, Japan, Frankreich und Südkorea. Die Forschenden haben 600 Stunden damit verbracht, Datenschutzerklärungen zu lesen, Apps herunterzuladen und mit den Autoherstellern zu korrespondieren; die ausführliche Methodik finden Sie hier.
„In puncto Schutz der Privatsphäre sind alle neuen Autos wahre Albträume auf Rädern, die riesige Mengen an persönlichen Daten sammeln.“
Jen Caltrider, Mozilla
Die Marke mit den weitaus meisten Verstößen ist Nissan. Der japanische Autohersteller gibt in seiner Datenschutzerklärung zu, eine Vielzahl von Informationen zu sammeln, darunter Informationen zur sexuellen Aktivität, zur Gesundheit und zur Genetik – aber wie diese Datenerfassung erfolgt, wird nicht erläutert. Nissan sagt, dass das Unternehmen die „Präferenzen, Eigenschaften, psychologischen Trends, Neigungen, Verhaltensweisen, Einstellungen, Intelligenz, Fähigkeiten und Eignungen" von Verbraucher*innen an Datenbroker, Gesetzeshüter und andere Dritte weitergeben und verkaufen kann.
Weitere Spitzenreiter in Sachen dubioses Verhalten: Volkswagen erhebt demografische Daten (wie Alter und Geschlecht) und Informationen zum Fahrverhalten (wie Anschnall- und Bremsgewohnheiten) für gezielte Marketingzwecke; Toyota wartet mit einem nahezu undurchdringlichen Dschungel aus 12 Datenschutzerklärungen auf; Kia kann laut seiner Datenschutzerklärung Informationen über Ihr „Sexualleben“ sammeln; und Mercedes-Benz stellt Fahrzeuge her, bei denen TikTok vorinstalliert ist – eine Plattform, die selbst massive Datenschutzprobleme hat. Analyst*innen schätzen, dass sich die Monetarisierung von Daten aus Fahrzeugen bis 2030 zur 750-Milliarden-Dollar-Industrie entwickeln könnte.
Keine einzige Marke im Test wurde von Mozilla mit dem Prädikat „Best Of“ ausgezeichnet, wenngleich die Forschenden Renault als das am wenigsten problematische Unternehmen identifiziert haben. Der französische Hersteller muss die Datenschutz-Grundverordnung (DSGVO; General Data Protection Regulation, GDPR) der EU einhalten – ein strenges Gesetz, das die Art und Weise regelt, wie persönliche Daten verwendet, verarbeitet und gespeichert werden.
Jen Caltrider, Programmdirektorin bei *DNI: „Für viele Menschen ist ihr Auto ein privater Raum – ein Ort, an dem sie ihren Arzt anrufen, auf dem Weg zur Schule ein persönliches Gespräch mit ihrem Kind führen, sich vor Liebeskummer die Augen ausweinen oder an Orte fahren können, von denen die Welt nichts wissen soll. Doch diese Vorstellung entspricht nicht länger der Realität: In puncto Schutz der Privatsphäre sind alle neuen Autos wahre Albträume auf Rädern, die riesige Mengen an persönlichen Daten sammeln.“
Misha Rykov, Forschender bei *DNI, ergänzt: „Nicht zum ersten Mal deckt Mozilla die unterirdischen Datenschutzpraktiken einer Branche auf. Aber Autos sind speziell – mangelnder Datenschutz betrifft hier nicht nur den*die Fahrer*in, sondern auch Passagier*innen und manchmal sogar Fußgänger*innen, die sich in der Nähe aufhalten. Die Unternehmen können Sie hören, sehen und tracken. Wenn Sie heute in einem Auto sitzen, dann ist das so, als würden Sie Ihr Handy dem Autohersteller überlassen.“
Weitere zentrale Erkenntnisse:
Apps machen alles noch komplizierter (und unheimlicher). Heute gibt es nur noch wenige Produkte ohne dazugehörige App – und Autos sind da keine Ausnahme. Moderne Fahrzeug-Apps können sehr praktisch sein, indem sie Ihnen z. B. helfen, Ihr Auto auf einem überfüllten Parkplatz wiederzufinden oder es aus der Ferne zu starten. Aber sie sind auch ein Weg, noch mehr persönliche Daten zu sammeln. Und wer auf welche App zugreift, ist mitunter schwer durchschaubar: BMW USA verwaltet beispielsweise eine App für Toyota.
Viele Automarken betreiben „Privacy Washing“. „Datenschutzwäsche“ bedeutet, dass Unternehmen vorgeben, die Privatsphäre von Verbraucher*innen zu schützen, dies aber nicht tun. Viele Marken im Test sind diesbezüglich schuldig. So haben z. B. mehrere von ihnen die Consumer Privacy Protection Principles unterzeichnet. Diese Grundsätze zum Schutz der Privatsphäre sind jedoch nicht bindend und wurden von den Autoherstellern selbst verfasst. Dabei halten sich die Unterzeichnenden nicht einmal an ihre eigenen Grundsätze, wie Datenminimierung (sprich, nur jene Daten zu sammeln, die wirklich benötigt werden).
Einen vernünftigen Zustimmungsprozess gibt es nicht. Oft wird die „Zustimmung“ zur Erhebung personenbezogener Daten schon dadurch vorausgesetzt, dass man einfach nur Passagier*in im Auto ist. Subaru beispielsweise erklärt, dass Sie als Beifahrer*in als Nutzer*in betrachtet werden – und als Nutzer*in haben Sie der Datenschutzerklärung zugestimmt. Mehrere Automarken weisen außerdem darauf hin, dass es in der Verantwortung des*der Fahrer*in liege, Fahrgäste über die Datenschutzrichtlinien des Fahrzeugs zu informieren.
Datenschutzerklärungen und -prozesse bei Autos sind besonders übel. Verständliche Datenschutzerklärungen sind ohnehin selten, aber in der Automobilbranche sind sie praktisch unauffindbar. Marken wie Audi und Tesla präsentieren verwirrende, langatmige, vage Texte. Einige Autohersteller haben mehr als fünf verschiedene Dokumente zum Datenschutz – unzumutbar für Verbraucher*innen, die sich damit auseinandersetzen müssen; Toyota hat ganze 12! Gleichzeitig ist es schwierig, eine*n Ansprechpartner*in zu finden, um Bedenken in Bezug auf den Datenschutz der Autohersteller zu äußern. Tatsächlich haben 12 Unternehmen, die 20 Automarken repräsentieren, noch nicht einmal auf E-Mails vom Mozilla-Forschungsteam reagiert.
Automarken geben persönliche Daten an Gesetzeshüter und Regierungen weiter. In der Datenschutzerklärung von Hyundai heißt es beispielsweise, dass das Unternehmen Daten auf „formelle oder informelle“ Anfrage an Strafverfolgungsbehörden und Regierungen weitergeben kann. Die Datenschutzerklärung von Kia besagt, dass das Unternehmen in zahlreichen Fällen Daten weitergeben kann, „wenn dies nach bestem Wissen und Gewissen gesetzlich erforderlich oder zulässig ist“. Mit anderen Worten: Die Schwelle für die Weitergabe von im Höchstmaß sensiblen Informationen ist sehr niedrig.
Datenschutzverletzungen stehen auf der Tagesordnung. Schwerwiegende Lecks und Datenpannen sind in der Automobilbranche allgegenwärtig. Das reicht von Tesla-Mitarbeitenden, die sich Videos aus Kundenautos anschauen, bis hin zu Volkswagen und Toyota, die durch eigenes Verschulden persönliche Daten von Millionen Kund*innen offenlegen.
Verbraucher*innen haben sehr wenig Kontrolle. Sie können sich zwar gegen die Nutzung von Auto-Apps oder vernetzten Diensten entscheiden – riskieren damit aber, dass Ihr Auto nicht richtig (oder gar nicht) funktioniert. Wenn es um den Schutz ihrer Privatsphäre geht, haben Verbraucher*innen so gut wie keine Kontrolle oder Wahl – außer, einfach ein älteres Fahrzeugmodell zu kaufen. Regulierungsbehörden und politische Entscheidungsträger hinken hier stark hinterher.
_____
Über *Datenschutz nicht inbegriffen
*Datenschutz nicht inbegriffen (*DNI) ist ein Shopping-Ratgeber, der sich auf den Datenschutz konzentriert anstatt auf Preis oder Leistung. Seit seiner Einführung im Jahr 2017 hat *DNI Hunderte von Produkten und Apps geprüft. Der Ratgeber gibt Menschen die Informationen an die Hand, die sie benötigen, um ihre Privatsphäre und die ihrer Freund*innen und Familie zu schützen. Gleichzeitig bewegt er die Tech-Industrie dazu, mehr für den Schutz der Verbraucher*innen zu tun.
Ansprechpartner für die Presse:
USA | Helena Dea Bala, [email protected]
Europa | Tracy Kariuki, [email protected]