CEOs der Autofirmen beantworten schwierige Fragen zu Autos und Datenschutz ... irgendwie
Von Jen Caltrider, Misha Rykov und Zoë MacDonald | 30. April 2024
Aktualisierung am 14. Mai: Die FTC hat einen Blog-Beitrag veröffentlicht, der Automobilunternehmen verwarnt, weil diese sensible Kundendaten „unrechtmäßig sammeln und verwenden“.
- Sie haben Autohersteller gewarnt, dass kürzlich drei Maßnahmen gegen andere Unternehmen ergriffen wurden, weil diese ihren Zugang zu sensiblen Daten missbraucht haben, indem sie diese ohne die Zustimmung der Verbraucher weitergeben oder für Entscheidungsfindungen verwenden.
Die Federal Trade Commission (FTC) ist für den Schutz von US-Verbrauchern vor Betrug aufgrund unlauterer Geschäftspraktiken verantwortlich. Wenn also eine Aufsichtsbehörde US-Autohersteller für ihre schrecklichen Datenschutzpraktiken zur Verantwortung ziehen kann, dann ist sie es! Dies ist definitiv ein Schritt in die richtige Richtung für Autos und Datenschutz.
Haben Sie schon einmal den Ratschlag gehört: „Beantworten Sie nicht die Frage, die Ihnen gestellt wurde. Beantworten Sie die Frage, von der Sie wünschen, dass sie Ihnen gestellt wird“? Nun, es sieht so aus, als ob bestimmte Führungskräfte von US-Autofirmen das getan haben.
Gehen wir einen Schritt zurück. Letztes Jahr haben wir Alarm geschlagen in Bezug auf Autos und Datenschutz, als wir sie zur schlechtesten Produktkategorie erklärten, die wir jemals in Bezug auf Datenschutz überprüft haben. Obwohl das, was wir aus den Datenschutzrichtlinien der Autos herausfanden, schrecklich war, hatten wir noch mehr Bedenken über das, was wir nicht finden konnten. Unsere Forschung ließ so viele Fragen für uns offen! Fragen, die die Autohersteller ignorierten, als wir sie stellten. Daher waren wir so begeistert, als US-Senator Ed Markey bei den CEOs der Autohersteller nachhakte und die gleichen Fragen stellte, die wir hatten, und auf unsere Forschung als Grund zur Sorge hinwies. Er versprach auch, ihre Antworten zu veröffentlichen, was er dann auch tat! Wir haben diese 84 Seiten für Sie gelesen. Aber leider waren ihre Antworten wie immer ziemlich vage, unvollständig und ausweichend. Hier sind die Highlights.
Unsere Forschung hat gezeigt, dass viele Autohersteller sagen, sie könnten Ihre persönlichen Daten verkaufen. Aber tun sie das? Ja, das tun sie absolut.
Senator Markey fragte:
Verkauft Ihr Unternehmen Daten, die von seinen Fahrzeugen gesammelt wurden, an Dritte, überträgt sie, teilt sie oder zieht auf andere Weise kommerziellen Nutzen daraus? Wenn ja, wie viel haben Dritte Ihrem Unternehmen im Jahr 2022 für diese Daten bezahlt?
US-Senator Ed Markey
General Motors, einer der größten US-Autohersteller, sagte:
Wenn sich ein Halter für Connected Services entscheidet, hat GM die Möglichkeit, Daten, die von Fahrzeugen gesammelt wurden, mit Dritten zu teilen, wie in unserer US-Datenschutzerklärung für Connected Services dargelegt. Zum Beispiel könnten Daten geteilt werden, um Notfallhelfern zu helfen, schneller und genauer zu reagieren, um fahrzeuginterne Dienste zu unterstützen, die vom Halter genutzt werden, und dort, wo der Halter GM dazu auffordert (wie zum Beispiel, um den Haltern bei der Optimierung ihrer Lademuster zu helfen). Für diese begrenzten Datenfreigaben, bei denen ein kommerzieller Nutzen direkt auf die Datenfreigabe zurückzuführen ist, war die Auswirkung auf den Gesamtumsatz von GM im Jahr 2022 minimal.
Omar A. Vargas, General Motors Vice President, Global Public Policy
Vielleicht haben Sie mittlerweile gehört, dass GM persönliche Fahrdaten an Datenbroker verkauft hat, die diese zur Erstellung von “Risikobewertungen” für Versicherungsgesellschaften verwendet haben. Einige Fahrer haben erst davon erfahren, als ihre Prämien in die Höhe schossen. Sie waren nicht glücklich. Tatsächlich hat dies unter den Fahrern (einschließlich einer Sammelklage!) solchen Ärger ausgelöst, dass GM versprechen musste, damit aufzuhören (zumindest was den Verkauf dieser spezifischen Daten an diese spezifischen Datenbroker betrifft).
Es ist interessant, dass GM in seiner Antwort an den Senator überhaupt nicht auf seine Beziehung zu LexisNexis oder Verisk eingeht - den beiden in Frage stehenden Datenbrokern. (Das ist der Grund, warum wir Vertrauensprobleme haben, wenn es um öffentliche Aussagen von Unternehmen zum Datenschutz geht!) GM teilt auch nicht mit, dass das “Opt-In” angeblich beinhalten könnte, dass ein Verkäufer im Autohaus ohne Ihr Wissen oder Ihre Zustimmung in Ihrem Namen einwilligt – und dafür eine Prämie erhält. Yeesh.
Ach, und falls Sie sich wundern, „minimal“ (wie in der angegebenen Auswirkung auf den Umsatz von GM) bedeutet für jeden (anderen), der angenommen hat, dass es sich um einen Tippfehler handelt, einen kleinen oder unwichtigen Betrag. Was zählt für ein milliardenschweres Unternehmen als nicht viel? Es wurde berichtet, dass es sich um die „niedrigen Millionen“ handelt. Wir sind uns nicht sicher, ob wir uns besser oder schlechter fühlen würden, wenn GM mehr Geld mit dem Verkauf von Fahrerdaten verdienen würde. Hmm … Ist es besser, für einen Cent oder einen Dollar verkauft zu werden?
Hyundai sagte:
Bluelink® bietet Driving Score und eine nutzungsbasierte Versicherung (UBI) an, die von Verisk Insurance Solutions unterstützt wird. Bestimmte Fahrzeugdaten werden nur für Fahrzeughalter, die sich für Driving Score angemeldet haben, an Verisk übermittelt, damit Verisk die Fahrleistungsbewertung erstellen kann, die von Hyundai nicht mit Dritten außer Verisk geteilt wird. Fahrer, die derzeit in Driving Score eingeschrieben sind, können sich auch separat dafür entscheiden, Angebote und Informationen über Fahrzeugversicherungsrabatte und Angebote oder Anfragen zu UBI-Angeboten von teilnehmenden Versicherern zu erhalten.
Robert R. Hood, Vice President of Government Affairs, Hyundai Motor
Also Hyundai erwähnt tatsächlich eine Beziehung zum Datenbroker Verisk. Und genau wie GM sagen sie, dass das Programm nur auf Opt-In-Basis läuft. Sie sagen auch, dass Fahrer, die sich angemeldet haben, die Datenweitergabe an Verisk über ihr MyHyundai-Konto abschalten können (für den Fall, dass sich jemand angemeldet hat, der das nicht möchte). Was die Gegenleistung für die Daten betrifft, so „kann Hyundai eine Vergütung pro Lead für Versicherungsrabattangebote erhalten, die an Fahrer gesendet werden, die sich für den Erhalt dieser Angebote entschieden haben, und wenn ein Fahrer ein UBI-Angebot von einem Versicherer anfordert und Verisk ausdrücklich ermächtigt und anweist, seine UBI-Daten an den Versicherer weiterzugeben.“
Im Kontext des Fahrzeugbesitzes verkauft Toyota (wie dieser Begriff nach geltenden Datenschutzgesetzen, wie dem CCPA, definiert ist) persönliche Informationen der Verbraucher nur in einem Fall: an einen Dritten, der einen Satellitenradio-Abonnementdienst anbietet, um den Verbrauchern eine kostenlose Testversion des Satellitenradio-Abonnementdienstes anzubieten und für damit verbundene Marketingkampagnen nach dem Test.
Stephen J. Ciccone, Group Vice President, Government Affairs
Toyota ist die einzige Autofirma, die bestätigt, dass sie persönliche Informationen der Verbraucher „verkauft“ – und an diesem Punkt sind wir für die Ehrlichkeit dankbar. Sie sagen, sie verkaufen sie an einen Satellitenradio-Abonnementdienst, damit sie Ihnen eine kostenlose Testversion anbieten und ihren Dienst danach an Sie vermarkten können.
Teilen Autofirmen die personenbezogenen Daten der Fahrer mit den Strafverfolgungsbehörden?
Alle Autohersteller, die wir untersucht haben, gaben an, dass sie Fahrerdaten unter bestimmten Umständen mit Strafverfolgungsbehörden teilen können. Das trifft auf so ziemlich jedes Unternehmen zu, das Ihre Daten hat, aber was wir gerne in der Datenschutzrichtlinie klar definiert sehen würden, sind strenge Grenzen für diese Weitergabe und ein Engagement, sich gegen übermäßig weit gefasste Anfragen zu wehren. Das ist etwas, was wir in den vielen Datenschutzrichtlinien der Autos nicht gefunden haben. Und das hat uns Sorgen gemacht, da sie soooo viele Ihrer persönlichen Informationen haben können, einschließlich Ihrer genauen geografischen Position sowie Daten von fahrzeuginternen Kameras und Mikrofonen.
Senator Markey fragte:
Hat Ihr Unternehmen jemals persönliche Informationen, die von einem Fahrzeug gesammelt wurden, an Strafverfolgungsbehörden weitergegeben? Wenn ja, bitte nennen Sie die Anzahl und Arten der Anfragen, die Strafverfolgungsbehörden gestellt haben, und die Anzahl der Male, die Ihr Unternehmen diesen Anfragen nachgekommen ist.
US-Senator Ed Markey
Das sagen die Autofirmen (die sich die Mühe gemacht haben, die Frage zu beantworten) über die Anzahl der Anfragen nach personenbezogenen Daten, die sie von den Strafverfolgungsbehörden erhalten:
Volkswagen hat die Anzahl der Anfragen nach Jahren aufgeschlüsselt. Sie sagten, es gab „weniger als 20“ im Jahr 2021, „weniger als 25“ im Jahr 2022 und „weniger als 45“ im Jahr 2023. Das bedeutet, dass sich die Anfragen von Strafverfolgungsbehörden in den letzten drei Jahren verdoppelt haben. Interessant! Hyundai und Kia teilten auch die Gesamtzahl der Anfragen mit, auf die sie geantwortet haben, das waren jeweils 50 (86 %) und 25 (83 %). Honda sagte, dass sie diese Anfragen nicht verfolgen, aber schätzten, dass sie etwa eine pro Monat bekommen. Tesla sagte, dass sie Anfragen verfolgen, sich aber entschieden haben, die Zahlen nicht mit uns zu teilen. Sie waren auch die einzige Automarke, die offen sagte, dass sie manchmal Anfragen in Frage stellen oder ablehnen können.
Sie erinnern sich vielleicht daran, dass in der Datenschutzrichtlinie von Hyundai stand, dass sie auf eine "informelle Anfrage" nach Ihren Daten von Strafverfolgungsbehörden oder der Regierung reagieren könnten (uiuiui). Aber in ihrer Antwort an Senator Markey waren sie viel spezifischer und sagten, dass Hyundai Daten nur in Antwort auf „dringende Umstände, Durchsuchungsbefehle, Zustimmung des Kunden und Vorladungen“ bereitstellen wird. Die meisten Antworten der Autohersteller waren strenger oder spezifischer als das, was wir letztes Jahr in ihren Datenschutzrichtlinien gefunden haben. Hoffentlich bedeutet das, dass sie auch Änderungen an ihren offiziellen Richtlinien vorgenommen haben, wo es wirklich zählt. Zumindest bei Hyundai scheint die Zeile „informelle Anfrage“ in der neuesten Version ihrer Datenschutzrichtlinie zu fehlen, was ein guter Anfang zu sein scheint!
Ein weiterer Punkt, den wir in den ziemlich vagen Aussagen der Autofirmen über die Weitergabe an Strafverfolgungsbehörden in ihren Datenschutzrichtlinien nicht gefunden haben, ist, ob sie die Fahrer vorwarnen, wenn ihre Informationen geteilt werden.
Senator Markey fragte:
Benachrichtigt Ihr Unternehmen den Fahrzeughalter, wenn es einer Anfrage nachkommt?
US-Senator Ed Markey
Keine der Autofirmen, die diese Frage beantwortet haben, gab an, eine Richtlinie zu haben, die Fahrer zu informieren. Hyundai kam dem am nächsten, indem sie sagten: „Hyundai behält sich das Recht vor, unsere Kunden zu benachrichtigen, wenn es solchen Anfragen nachkommt“, es sei denn, die Benachrichtigung ist „ausdrücklich durch den rechtlichen Prozess selbst verboten“. Das ist so großzügig wie es nur geht, was nicht großartig ist.
Die meisten anderen Autokonzerne gaben an, dass sie es den Fahrern nicht mitteilen dürfen. Zum Beispiel sagte Nissan: „Wenn Nissan auf einen gültigen obligatorischen Prozess reagiert, um Kundendaten von Fahrzeugen bereitzustellen, ist Nissan gesetzlich oder durch Gerichtsbeschluss daran gehindert, einen Kunden über solche Anfragen zu informieren.“ BMW ging sogar so weit zu sagen, dass sie dem Fahrzeughalter nichts sagen werden, es sei denn, die Strafverfolgungsbehörden weisen sie dazu an. „Wenn wir von den Strafverfolgungsbehörden angewiesen werden, den Fahrzeughalter zu benachrichtigen, wenn wir einer Anfrage nachkommen, werden wir dies tun.” Und das scheint ziemlich unwahrscheinlich zu sein, da GM sagte, dass „[d]ie Strafverfolgungsbehörden GM routinemäßig anweisen, den Fahrzeughalter nicht zu benachrichtigen.”
Zum Zeitpunkt unserer Recherche im vergangenen Jahr waren die einzigen Marken, bei denen wir bestätigen konnten, dass Kunden ihre persönliche Daten löschen können, zwei europäische Automarken (Renault und Dacia), die den Fahrern dieses Recht geben müssen, da dies gemäß dem Datenschutzgesetz DSGVO in der EU gesetzlich vorgeschrieben ist.
Senator Markey fragte:
Können alle Benutzer, unabhängig davon, wo sie sich befinden, die Löschung ihrer Daten verlangen? Wenn ja, beschreiben Sie bitte den Prozess, durch den ein Benutzer seine Daten löschen kann. Wenn nicht, warum nicht?
US-Senator Ed Markey
Toyota, Subaru, BMW ,Tesla und Ford sagten, dass alle Fahrer in den USA dieses Recht haben oder bald haben werden. Nun, das ist neu und gut! Wir hoffen, diese Verpflichtung in ihren Datenschutzrichtlinien zu sehen – wo es darauf ankommt. Bisher ist Toyota das einzige Unternehmen, das dieses Versprechen mit einer Änderung seiner Datenschutzrichtlinie offiziell gemacht hat.
Aber andere Autohersteller haben noch einen draufgelegt und gesagt, dass es nicht möglich ist, sich dazu zu verpflichten, die Daten ihrer Kunden zu löschen, oder dass sie auf ein Gesetz warten, das sie dazu zwingt. Ja, das glauben wir nicht wirklich. Und hey! Hier ist eine Idee. Autohersteller, Sie sind offiziell eingeladen, unseren Kampf für ein Bundesdatenschutzgesetz in den USA zu unterstützen. Bis dahin, wie wäre es, wenn Sie das strengste Datenschutzgesetz eines Bundesstaates (in der Regel das CCPA von Kalifornien) auf alle US-Bundesstaaten anwenden? Auf diese Weise müssen Sie sich, wie Nissan befürchtet, in der Zwischenzeit nicht mit einem „willkürlichen Standard“ herumschlagen. Sie können es schaffen!
Die meisten (68 %) der von uns untersuchten Automarken erhielten einen Warnhinweis für eine schlechte Erfolgsbilanz, weil sie in den letzten drei Jahren Datenschutzverletzungen, Datenlecks oder Hacks hatten, die die Privatsphäre ihrer Kunden bedrohten.
Senator Markey fragte:
Hat Ihr Unternehmen in den letzten zehn Jahren einen Datenleck, eine Datenschutzverletzung oder einen Hack erlitten, bei
dem Benutzerdaten kompromittiert wurden? Wenn ja, bitte erläutern Sie das/die Ereignis(se), einschließlich der Art des Systems Ihres Unternehmens, das ausgenutzt wurde, der Art und Menge der betroffenen Daten und ob und wie Ihr Unternehmen seine betroffenen Benutzer benachrichtigt hat.
US-Senator Ed Markey
Volkswagen ist die einzige Autofirma, die mit „Ja“ geantwortet hat. Und selbst dann haben sie nur die halbe Geschichte erzählt – sie haben einen großen Verstoß im Jahr 2021 eingeräumt, aber drei andere Sicherheits- und Datenschutzvorfälle seit 2020 ausgelassen.
Sogar Kia, die wegen einer Sicherheitslücke acht Millionen Autos patchen mussten, die es ermöglichte, dass sie gehackt wurden – was zu hunderten von Diebstählen, 14 Unfällen und acht Todesfällen führte – erwähnten Cybersicherheit nur, um die „wichtigen Schritte“ zu beschreiben, die sie unternehmen, die darauf abzielen, „die Vertraulichkeit, Integrität und Verfügbarkeit von Fahrzeugdaten zu gewährleisten.“ Also ja. Wir sind überhaupt nicht zuversichtlich, dass wir die besten Antworten von diesen Autofirmen bekommen. (Das waren auch Senator Markey und sein Team nicht.)
Es scheint, als ob die Art von Antworten, die wir von diesen Autofirma-CEOs erhofft hatten, wahrscheinlich nicht so bald kommen werden. Es ist allerdings komisch (aber nicht ha-ha-komisch), dass so viele Autohersteller auf die Fragen von Senator Markey geantwortet haben, indem sie sagten, dass man in ihren Datenschutzrichtlinien nach Antworten suchen sollten ... Da das Lesen dieser Datenschutzrichtlinien diese Fragen für uns und Senator Markey überhaupt erst aufgeworfen hat. Ein besonderes „Buh“ an BMW, Mazda, Mercedes-Benz, Stellantis (und in geringerem Maße Ford, Kia, Subaru und Tesla), die mit Aufsätzen geantwortet haben, die nicht direkt auf jede der Fragen eingegangen sind. Wenn wir diese als Hausaufgaben bewerten würden, würdet ihr alle ein „ungenügend“ bekommen.
Die gute Nachricht ist, dass wir nicht darauf warten müssen, dass die Autofirmen ehrlich zu uns sind oder aus eigenem Antrieb das Richtige tun. Seitdem wir letzten September Alarm geschlagen haben in Bezug auf Autos und Datenschutz, findet bereits eine Veränderung statt:
- Toyota und Lexus gewähren nun allen US-Verbrauchern das Recht auf Löschung ihrer persönlichen Daten.
- Dank des öffentlichen Drucks sagte GM (zu dem Chevrolet, Buick ,GMC und Cadillac gehören), dass sie mit dem Verkauf einiger OnStar-Daten an die Datenbroker LexisNexis und Verisk aufhören werden.
- Die Biden-Harris-Regierung in den USA untersucht aus Gründen der nationalen Sicherheit die Privatsphäre von vernetzten Autos.
- Die FCC schlägt vor, den US-amerikanischen Safe Connections Act auf Autos anzuwenden, was es für häusliche Gewalttäter schwieriger machen würde, Überlebende mithilfe von Auto-Tracking-Systemen zu stalken (einer unserer Datenschutz-Alpträume).
- Kalifornische Gesetzgeber haben auch einen Gesetzentwurf vorgeschlagen, der Autohersteller dazu verpflichten würde, den Fernzugriff von Missbrauchern auf Autos zu unterbinden, wenn dieser Zugriff dazu verwendet wird, „Überlebende zu stalken, zu belästigen, zu überwachen und einzuschüchtern.“
- Die US-Senatoren Markey und Wyden fordern die FTC auf, Maßnahmen gegen Toyota, Nissan, Subaru, Volkswagen, BMW, Mazda, Mercedes-Benz und Kia – und ihre Führungskräfte – zu ergreifen, weil sie die Standortdaten der Fahrer mit Regierungsbehörden ohne einen Durchsuchungsbefehl teilen und damit gegen die eigenen „Datenschutzgrundsätze“ der Branche verstoßen.
Und sogar die ausweichenden Antworten der Autohersteller helfen dabei, Veränderungen voranzutreiben. Weil die Antworten der Autohersteller Senator Markey „wenig Trost“ gaben und „die realen Datenschutzrisiken, die ihre Datenpraktiken schaffen, ignorierten“, drängt er die US-amerikanische Federal Trade Commission (FTC), die Bundesbehörde, die mit dem Schutz der Verbraucherrechte beauftragt ist, eine Untersuchung gegen alle US-Autohersteller hinsichtlich ihrer Datenschutzpraktiken einzuleiten. Und es sind nicht nur US-Gesetzgeber, die aufmerksam sind. Mitglieder des Europäischen Parlaments haben auf unsere Forschung hingewiesen, um auf einen Mangel an Datenschutz für Fahrer gegenüber der Europäischen Kommission aufmerksam zu machen – und das bei drei Gelegenheiten. Und ein weiteres Mitglied des Europäischen Parlaments hat kürzlich vorgeschlagen, dass mehr Gesetze benötigt werden, um zu verhindern, dass Autos zum Ausspionieren von Fahrern verwendet werden – wieder unter Berufung auf unsere Forschung. Das sehen wir gerne! Sie können uns helfen, den Ball ins Rollen zu bringen.
Jen Caltrider
Als ich eher unorganisiert an meinem Master in Künstlicher Intelligenz arbeitete, wurde mir schnell klar, dass ich viel besser Geschichten erzählen kann, als Code zu schreiben. Diese Entdeckung bescherte mit eine Karriere als Journalistin, in der ich für CNN über die Tech-Branche berichtete. Ich wollte schon immer bewirken, dass die Welt nach mir ein etwas besserer Ort ist, als die, in der ich aufgewachsen bin. Deshalb habe ich Mozillas *Datenschutz nicht inbegriffen-Initiative ins Leben gerufen und geleitet – für besseren Datenschutz für alle.
Misha Rykov
Misha Rykov, ursprünglich aus Kiew und aktuell in Berlin ansässig, arbeitete für Big Tech und Sicherheits-Consulting, bevor er sich Mozillas Initiative für mehr Datenschutz anschloss. Misha begeistert sich für investigatives Storytelling und verabscheut unübersichtliche Datenschutzrichtlinien.
Zoë MacDonald
Zoë MacDonald ist eine Writerin und Digitalstrategin und lebt in Toronto, Kanada. Bevor ihre Leidenschaft für digitale Rechte sie zu Mozilla und *Datenschutz nicht inbegriffen führte, schrieb sie über Cybersicherheit und E-Commerce. Wenn Sie nicht gerade bei der Arbeit über Datenschutz abnerdet, beäugt sie zu Hause Smart-Geräte misstrauisch.
Jen Caltrider, Misha Rykov und Zoë MacDonald
Jen Caltrider, Misha Rykov und Zoë MacDonald
Jen Caltrider, Misha Rykov und Zoë MacDonald
