Was uns nachts wach hält, nachdem wir Autos und Datenschutz unter die Lupe genommen haben

Von glänzenden Printanzeigen über aufmerksamkeitsstarke TV-Spots bis hin zu millionenschweren Produktplatzierungen: Autohersteller tun alles, um bei potenziellen Kund*innen „Emotionen“ wachzurufen. Sie erzählen uns, dass Autos uns stark und frei machen, dass sie unseren sozialen Status erhöhen, unsere Identität unterstreichen und uns „zur besten Version unserer selbst“ machen. Vielleicht ist das der Grund, warum Autos für die meisten Menschen mehr bedeuten als nur eine Möglichkeit, von A nach B zu kommen. Und warum es nicht annähernd so viele Lobeshymnen auf Fahrräder oder öffentliche Verkehrsmittel gibt.

Ja, dieses Gefühl von Unabhängigkeit erfüllt uns mit wohliger Zuneigung, wenn wir an unsere E-Autos und SUVs denken. Doch die Realität ist alles andere als kuschelig: Gemäß ihren eigenen Datenschutzerklärungen können Autohersteller eine überwältigende Menge an Daten über Sie, Ihr Auto, Ihre Beifahrer*innen und sogar über Fußgänger*innen sammeln, weitergeben und verkaufen. Moderne Autos sind Überwachungsapparate auf Rädern, vollgestopft mit Sensoren, Radar, Kameras, Telematik und Apps, die alles erfassen können, was wir im Auto tun. Auch wann und wo. Egal, ob Sie lauthals singen, auf dem Rücksitz zur Sache kommen oder zu einer Hilfseinrichtung fahren, um vor häuslicher Gewalt zu flüchten – Autos werden zunehmend zu einem Ort, an wir nicht mehr zwanglos und sicher wir selbst sein können.

Mit Unbehagen beobachten wir, wie sich Autos vom Motor eines sorglosen Lebensgefühls à la „Easy Rider“ aus dem Jahr 1969 hin zur totalen Kontrolle à la „Minority Report“ von 2002 bewegen. Hier sind die Dinge, die uns am meisten beunruhigen.

Datenerfassung, die absurde Ausmaße annimmt

Wir können es nicht oft genug betonen: Neue Autos jeder Preisklasse erzeugen und sammeln Unmengen an Daten über ihre Besitzer*innen, Fahrer*innen, Passagier*innen und die Umgebung. Wohin Sie fahren, was Sie im Auto tun und wer Sie sind, alles wird erfasst. Folglich besitzen Autohersteller einen unerschöpflichen Fundus an Informationen über Sie, die sie nutzen (können), um „Rückschlüsse“ über Sie zu ziehen und so noch mehr personenbezogene Daten zu generieren. Die schiere Menge an persönlichen Daten, die Hersteller sammeln, ist unser Warnsignal Nr. 1 mit Blick auf den Datenschutz bei Autos. Viele dieser Informationen werden zudem weitergegeben und verkauft – an Dienstleister, Datenbroker, die Regierung und andere Unternehmen, über die wir wenig bis gar nichts wissen. Die Weitergabe, der Verkauf und die fehlende Transparenz insgesamt sind unsere Warnsignale Nr. 2, 3 und 4. Und nicht zu vergessen unser Warnsignal Nr. 5 – die Intimität der Daten.

Denn es gibt private Informationen, die kein Unternehmen jemals über Sie sammeln sollte – insbesondere ohne stichhaltigen Grund. In diese Kategorie fallen genetische Informationen. In ihrer Datenschutzerklärung für den US-Bundesstaat Kalifornien geben die GM-Marken Cadillac, GMC, Buick und Chevrolet an, dass sie (neben vielen anderen Dingen) Ihre „genetischen, physiologischen, verhaltensbezogenen und biologischen Merkmale“ erfassen dürfen. Auch KIA und Nissan sagen, dass sie „genetische Informationen“ sammeln können. Die Frage aller Fragen lautet: Wie bitte soll das gehen?!

Aber es kommt noch schlimmer. Nissan sagt, dass das Unternehmen zudem Informationen über Ihre „sexuelle Aktivität“ und „Intelligenz“ erfassen (offenbar aus Ihren persönlichen Daten abgeleitet) und diese Infos an „Marketing- und Werbepartner“ oder für ihre eigenen „Direktmarketingzwecke“ weitergeben kann. Äh, was für eine dubiose Kampagne plant ihr da, Nissan?! Um ehrlich zu sein, wollen wir’s gar nicht wissen. Hört einfach auf damit! Vor allem nach eurer Datenpanne Anfang dieses Jahres ist es mehr als fair, diese supersensiblen Datenprivilegien ein für alle Mal aus euren Büchern zu streichen.

Eine neue Ära der Cyberkriminalität

Wenn Autohersteller nicht gerade damit beschäftigt sind, Ihre Daten weiterzugeben oder zu verkaufen, dann lassen sie ihnen oft nicht den gebührenden Schutz zukommen. Wir konnten nicht bestätigen, dass überhaupt irgendeine der Automarken in unserem Test unsere Mindestsicherheitsstandards erfüllt. Das ist extrem bedenklich und nicht normal. Zum ersten Mal haben wir sämtliche im selben *Datenschutz nicht inbegriffen-Ratgeber untersuchten Produkte mit unserem Warnsignal angeklingelt. Besonders beunruhigend: Wir können nicht sagen, ob persönliche Informationen im Auto verschlüsselt sind. Der Gedanke, dass die Daten, die Ihr Auto sammelt, und die Daten, die Ihr Handy mit Ihrem Auto teilt, ungeschützt in irgendeinem Bordcomputer herumliegen, macht uns wirklich Angst. Zumal selbst Verschlüsselung kein Patentrezept ist, um sicheren Datenschutz zu gewährleisten. Tatsächlich haben sich die meisten (68 %!) der Autohersteller im Test unseren Warnhinweis „schlechte Erfolgsbilanz“ verdient, weil sie in den letzten drei Jahren die Privatsphäre ihrer Nutzer*innen nicht geschützt haben, als es im Unternehmen zu einem Leck, einer Sicherheitsverletzung oder einem Hack bei Quellen kam, die besser hätten geschützt werden müssen.

In einigen Fällen waren die Autohersteller selbst schuld daran, dass Daten von Kund*innen offengelegt wurden (und nicht etwa mysteriöse Superhacker). Hyundai „verschlüsselte“ Daten mit einem aus einer Anleitung kopierten Beispielschlüssel. Das ist, als würden Sie ein wichtiges Konto mit dem Passwort „12345“ schützen – nur viel schlimmer. Toyota hat aufgrund einer „falsch konfigurierten Cloud“ die Daten von 2,5 Millionen Kund*innen über mehr als 10 Jahre hinweg preisgegeben. Auch Volkswagen und Honda haben durch eigenes Verschulden Millionen bzw. Tausende von Datensätzen offengelegt.

Sensible Daten und schwache Sicherheit sind eine denkbar schlechte Kombi. Wir haben Angst, dass Ihre persönlichen Daten oder sogar die Kontrolle über Ihr Auto auf diesem Weg Kriminellen in die Hände fallen könnten. Da die Autohersteller beim Datenschutz schon jetzt hinterherhinken, ist es womöglich nur eine Frage der Zeit, bis Schnüffler, Stalker und Diebe nicht einmal mehr Hightech-Hacking-Skills brauchen, um sich Zugang zu verschaffen, sondern sich einfach für ein paar Dollar ein Hacking-Kit aus dem Internet besorgen können (wie es schon jetzt bei Malware aller Art möglich ist). Uns schaudert es bei dem Gedanken an all die Betrügereien, die Kriminelle mit so vielen Informationen in ihrem Arsenal aushecken könnten.

Massenüberwachung durch Gesetzeshüter und die Regierung

Es gibt viel Wege, wie Strafverfolgungsbehörden den Datenschatz heben können, den Ihr Auto sammelt. In den Vereinigten Staaten können Gesetzeshüter z. B. einfach danach fragen (ohne Durchsuchungsbefehl) oder sich in Ihr Auto hacken, um an die Informationen zu kommen. In mindestens 14 (56 %) der Datenschutzerklärungen in unserem Test heißt es, dass die Autohersteller Ihre persönlichen Daten „auf Anfrage“ freiwillig an Gesetzeshüter oder die Regierung weitergeben können. Wir bei Mozilla sind der Meinung, dass Regierungen mehr tun sollten, als nur nett zu fragen, um an Ihre persönlichen Daten zu gelangen! Wir wollen, dass Datenschutzerklärungen bindende Formulierungen enthalten, die besagen, dass die Unternehmen Ihre Daten nur dann an Strafverfolgungsbehörden oder die Regierung weitergeben dürfen, wenn sie gesetzlich dazu verpflichtet sind. Und selbst in solchen Fällen sind die bereitgestellten persönlichen Daten auf das absolute Minimum zu beschränken!

Dass Polizei und Behörden in den USA so einfach auf private Daten zugreifen können, wird wahrscheinlich schwarze, indigene und sonstige ethnische Gruppen, die ohnehin schon vermehrt polizeilich überwacht werden, am stärksten treffen. Auch andere Opfer gezielter Überwachung sind diesem Amtsmissbrauch schutzlos ausgeliefert, z. B. Personen, die eine geschlechtsangleichende Behandlung oder Abtreibung wünschen, sowie Asylsuchende und Einwanderer*innen ohne Papiere. Und nicht nur die Privatsphäre der Personen im Fahrzeug ist gefährdet: Tesla und andere Autos mit Außenkameras können Videos von Menschen und Orten in der Umgebung aufzeichnen.

In der Europäischen Union ist es dank strengerer Datenschutzgesetze für Regierungen und Strafverfolgungsbehörden zum Glück nicht so leicht, sich von Unternehmen persönliche Daten zu beschaffen. Dennoch muss diese Grenze weltweit gelten, gerade angesichts sich rasant entwickelnder Technologien. Zur Verdeutlichung: Das Gesetz schützt Ihre Privatsphäre – nicht das gute Gewissen der Autohersteller.

Bestimmte Features von Auto-Apps verleiten zum Missbrauch

Das Car-Net von VW verspricht, „im Auge zu behalten, wer am Steuer sitzt“ – und dieses Versprechen hält es auch. Sie können „Grenzwarnungen“ und „Sperrstundenwarnungen“ einstellen, die Ihr Handy benachrichtigen, wenn die Person am Steuer ein bestimmtes Gebiet verlässt oder ein bestimmtes Zeitlimit überschreitet. Aber mal ehrlich, was als Sicherheitsfunktionen für junge und unerfahrene Fahrer*innen vermarktet wird, verdirbt Teenager*innen doch den Spaß! Mehr noch: Wir befürchten, dass Dienste dieser Art von kontrollierenden Familienmitgliedern oder Partner*innen missbraucht werden könnten.

Aber VW ist nicht der einzige Autohersteller in unserem Test, dessen App-Features problematisches Verhalten begünstigen könnten. Mit der Funktion „Digital Key“ von BMW können Sie Ihre Autoschlüssel per SMS weitergeben. Dieser Teil ist cool! Aber wenn Sie den Zugang freigeben, können Sie auch die Geschwindigkeit und die Lautstärke der Stereoanlage für andere Fahrer*innen begrenzen. Hmm. Selbst wenn Sie Ihr Auto nicht mit jemandem teilen sollten, der versuchen könnte, Sie mithilfe solcher Features auszuspionieren oder zu kontrollieren: Sie wären gewiss nicht begeistert, wenn andere jederzeit sehen könnten, wo Sie sind und wohin Sie fahren, so wie es die Konten und Apps von Tesla, Ford, Lincoln, Mercedes-Benz, Hyundai, Kia, Chevrolet, Buick, GMC und Cadillac ermöglichen.

Konnektivität kann als Waffe genutzt werden

Was denken die sich eigentlich?! Diese Frage haben wir uns mehr als einmal gestellt, als wir die Datenschutzpraktiken der Autohersteller in unserem Test untersucht haben. Warum wollen Autokonzerne so viele und so intime Daten haben, und was genau haben sie damit vor? Was können sie damit tun? Zum Glück konnten wir einen Blick darauf werfen, was mindestens eine der von uns beleuchteten Automarken in letzter Zeit so getan hat, und … es sieht düster aus.

In einem Patentantrag, der Anfang des Jahres in den USA eingereicht wurde, spricht Ford sehr detailliert über eine Technologie zur „Selbstpfändung“ von Autos, die auf die Konnektivität des Fahrzeugs mit dem Autohersteller, einem Kreditinstitut, einer Beschlagnahmungsstelle und einer politischen Behörde basiert. Es werden eine Reihe eskalierender Maßnahmen beschrieben, die diese Parteien Fahrer*innen auferlegen könnten, die mit den Raten für ihr Auto im Rückstand sind.

Die Essenz des 14-seitigen Antrags: Die Pfändung Ihres Fahrzeugs könnte mit einer SMS an Ihr Handy oder Auto anfangen – und damit enden, dass Ihr Auto selbst zu einer Beschlagnahmungsstelle oder, bei geringem Wert, direkt zum Schrottplatz fährt. Wir trauen den kreativen Köpfen hinter dieser „Idee“ nicht weiter, als wir einen Ford F-750 werfen könnten (und der ist echt schwer).

Nach der ersten SMS, die eintrudelt, während Sie vielleicht gerade in den Sonnenuntergang fahren, könnte es zudem passieren, dass diverse Funktionen im Auto graduell den Geist aufgeben, z. B. das Infotainmentsystem, die Fenster oder die Klimaanlage. Alles mit dem Ziel, Ihnen zunächst ein „gewisses“ und später ein „zusätzliches Maß an Unbehagen“ zuzufügen (vermutlich, damit Sie endlich Ihre Raten bezahlen). In einem anderen Szenario wird ein lästiger („unangenehmer“) Ton im Auto abgespielt, der nicht aufhört, bis die Zahlung erfolgt ist. In den USA, wo dieses Patent eingereicht wurde, hat diese Idee einen besonders bitteren Beigeschmack, da dort eine nicht unerhebliche Anzahl von Menschen im Auto lebt.

Ford scheint zu ahnen, dass einige ziemlich wütend reagieren könnten. Deshalb hat das Unternehmen vorgesorgt, indem sein System mithilfe der Kameras im Fahrzeug Videoaufnahmen in Echtzeit erstellen könnte, um „unerwünschte Handlungen zu identifizieren, die der*die Besitzer*in des Fahrzeugs vornehmen könnte“, z. B. als Reaktion darauf, dass er oder sie aus dem Auto ausgesperrt wurde. Die Kamerabilder könnten auch verwendet werden, um festzustellen, ob Sie versuchen, „die Pfändung zu blockieren", und um zu entscheiden, ob das Auto „eine Beschwerde an den mit der Polizeibehörde verbundenen Computer übermitteln soll“. Herzlichen Glückwunsch, Ford! Ihr könnt euch Datenschutzszenarios aus der Hölle noch viel besser ausmalen als wir!

Fahrer*innen haben wenig Kontrolle darüber, welche Daten mit Versicherungsgesellschaften geteilt werden

Telematik meldet Ihr Fahrverhalten direkt von Ihrem Auto an Ihre Versicherung. Die Idee dahinter ist, dass Ihr Versicherer Ihre Fahrgewohnheiten anhand von Daten zu Geschwindigkeit und Bremsverhalten analysiert, um nachzuweisen, dass Sie verantwortungsvoll (risikoarm) fahren und Sie sich so für niedrige Beiträge qualifizieren. Den Anfang machte ein Dongle, den Sie (wenn Sie wollten) im Auto einstecken konnten, doch bald folgte integrierte Software, die Fahrer*innen praktisch keine Wahl mehr lässt, ob ihr Fahrverhalten überwacht werden soll oder nicht. Einem Branchenbericht zufolge waren die meisten im Jahr 2020 verkauften Autos mit Telematik ausgestattet, und bis 2026 werden fast alle Autos (91 %) über „integrierte Telematik“ verfügen.

Als optionaler Service ist an der Telematik nichts auszusetzen. Es scheint jedoch unvermeidlich, dass sie bald zur Pflicht wird, denn sie wird vielerorts von der Regierung unterstützt und verspricht, den Autofahr*innen, Geld zu sparen. Bedenklich ist, dass ebendiese Fahrer*innen kaum Kontrolle über den Informationsfluss zur Versicherung (oder anderswohin) haben.

Alles wird nur noch schlimmer, wenn wir jetzt nicht handeln

Die Situation sieht nicht gut aus. Tatsächlich sind Autos die übelste Produktkategorie, die wir bei *Datenschutz nicht inbegriffen bislang getestet haben. Jede einzelne Automarke, die wir unter die Lupe genommen haben, hat sich unseren Warnhinweis redlich verdient. Wir sind besorgt über die schiere Menge und die Sensibilität der Informationen, die Autohersteller über Sie sammeln. Allein aufgrund ihrer schlechten Erfolgsbilanz trauen wir den Herstellern in keiner Weise zu, dass sie Ihre Daten sicher aufbewahren. Und wir glauben nicht, dass die Weitergabe oder der Verkauf Ihrer persönlichen Daten Autofahrer*innen oder anderen Personen zugutekommt – außer den Unternehmen, die damit Geld machen.

Sorgen macht uns außerdem die Art und Weise, wie Autohersteller ihre Verantwortung für den Schutz der Privatsphäre ihrer Fahrer*innen abwälzen. So ist es Ihre Aufgabe, sicherzustellen, dass Ihre Daten ordnungsgemäß gelöscht werden, bevor Sie Ihr Auto verkaufen oder einen Mietwagen zurückgeben. Es ist auch Ihre Aufgabe, die (separaten) Datenschutzerklärungen Ihres Autohauses und der verbundenen Services ausfindig zu machen, um zu erfahren, wie jeweils mit Ihren Daten umgegangen wird. Es ist Ihre Aufgabe, Beifahrer*innen über den Umgang mit dem Datenschutz in Ihrem Auto zu unterrichten. Und es ist Ihre Aufgabe, der Datenerfassung zu widersprechen (falls überhaupt möglich). Sollte Ihr Auto dadurch unfahrbar werden, ist dies natürlich ebenfalls Ihre eigene Schuld.

Und nicht zuletzt befürchten wir, dass all dies erst der Anfang ist. Wir machen uns Sorgen darüber, dass die neue Sensortechnologie den Autoherstellern helfen könnte, noch mehr Informationen über Sie zu erstellen, zu sammeln, zu kombinieren und zu verkaufen. Und darüber, dass datensammelnde Autos nach und nach die analogen Autos (die unsere Privatsphäre besser schützen) ersetzen, da die meisten neuen Fahrzeuge bereits vernetzt sind. Das schließt auch einfache „Basisfahrzeuge“ ein.

Angesichts der langen Historie von Autoherstellern, die lügen, betrügen und ihren Profit über alles stellen (sogar über Menschenleben), haben wir große Bedenken, wenn wir uns ausmalen, was die Konzerne für die Zukunft planen. Fakt ist: Wenn es um den Schutz Ihrer Privatsphäre geht, muss jemand anderes das Steuer übernehmen! Da kommen Sie ins Spiel. Kämpfen Sie mit der Mozilla-Gemeinschaft und zwingen Sie Autohersteller, unser Recht auf Privatsphäre zu respektieren.

Unterschreiben Sie die Petition und fordern Sie die Autounternehmen auf, ihre großen Datenerfassungsprogramme, die nur ihnen zugutekommen, zu beenden.