Aaaaah, dieses Gefühl, wenn der Wind durch die Haare weht und die offene Straße vor uns liegt … da verfliegen alle Sorgen! Wären da nicht die ganzen Tracker, Kameras, Mikrofone und Sensoren, die jede unserer Bewegungen minutiös aufzeichnen. Puh. Wenn’s um unsere Privatsphäre geht, sind moderne Autos ein wahrer Datenschutz-Albtraum .
Autohersteller preisen ihre Fahrzeuge seit Jahren als „Computer auf Rädern“ an, um deren zukunftsweisende Features zu vermarkten. Die Diskussion darüber, was es eigentlich für die Privatsphäre der Insass*innen bedeutet, einen Computer zu fahren, kommt derweil nur langsam ins Rollen. Fakt ist: Während wir uns Sorgen darüber zu machen, dass unsere vernetzten Türklingeln und Smartwatches uns ausspionieren könnten, ist die Automobilindustrie still, leise und im großen Stil ins Datengeschäft eingestiegen. Wie? Indem sie ihre Fahrzeuge zu datenhungrigen Überwachungsapparaten gemacht hat, die dank modernstem Chichi und Schnickschnack nie da gewesene Möglichkeiten haben, Sie zu beobachten, Ihnen zuzuhören und Informationen darüber zu sammeln, was Sie in Ihrem Auto tun und wohin Sie unterwegs sind.
Allen 25 Automarken in unserem Test haben wir den *Datenschutz nicht inbegriffen-Warnhinweis verliehen. Damit sind Autos in puncto Datenschutz ganz offiziell die übelste Produktkategorie, die wir je geprüft haben.
1. Sie sammeln zu viele persönliche Daten (gilt für ALLE Marken)
Für unseren Test haben wir 25 Automarken untersucht – und 25 Mal unseren Warnhinweis dafür vergeben, wie diese Marken Daten und persönlichen Informationen erfassen und verwenden. Ja, richtig gelesen: Jede einzelne Automarke, die wir unter die Lupe genommen haben, sammelt mehr persönliche Daten als nötig und nutzt sie aus anderen Gründen als für den reinen Betrieb Ihres Fahrzeugs oder zu Kundenservicezwecken. Zum Vergleich: „Nur“ 63 % der Mental-Health-Apps (eine weitere Produktkategorie, die beim Datenschutz grottenschlecht abschneidet), die wir dieses Jahr geprüft haben, erhielten unseren Warnhinweis.
Hinzu kommt, dass Autohersteller viel mehr Gelegenheiten zur Datenerfassung haben als andere Produkte und Apps. Sie übertrumpfen sogar die smartesten Smart-Home-Geräte oder unsere Handys, die wir überallhin mitnehmen. Autohersteller können persönliche Daten sammeln, indem sie beobachten, wie Sie mit Ihrem Auto interagieren, über die verbundenen Dienste, die Sie in Ihrem Auto nutzen, und über Fahrzeug-Apps (die Tür und Tor zu Daten auf Ihrem Handy öffnen). Zudem können sie von Drittquellen wie Sirius XM oder Google Maps zusätzliche Daten über Sie beziehen. Chaos pur! Die Art und Weise, wie Autohersteller Ihre Daten sammeln und weitergeben, ist so umfangreich und kompliziert, dass wir einen ganzen Artikel darüber geschrieben haben. Die Quintessenz ist: Autos können in riesigen Mengen intimste Details über Sie zusammentragen, von medizinischen und genetischen Daten oder Ihrem Sexleben (kein Witz!) über Informationen, wie schnell und wohin Sie fahren, bis hin zu Ihrer Lieblingsplaylist für unterwegs. Diese Informationen werden dann verwendet, um durch „Rückschlüsse“ auf Ihre Intelligenz, Fähigkeiten und Interessen weitere Daten über Sie zu generieren.
2. Die meisten (84 %) geben Ihre Daten weiter oder verkaufen sie
Schlimm genug, dass die Massenkonzerne, zu denen die Automarken gehören, all diese persönlichen Daten in ihrem Besitz haben, um sie für Forschungs-, Marketing- oder äußerst vage „Geschäftszwecke“ zu verwenden. Hinzu kommt, dass die meisten (84 %) der Automarken in unserem Test angeben, Ihre persönlichen Daten weitergeben zu können – an Dienstleister, Datenbroker und andere Unternehmen, über die wir wenig bis gar nichts wissen. Noch schlimmer: 19 (76 %) Marken sagen, dass sie Ihre persönlichen Daten verkaufen können.
Eine überraschend hohe Anzahl (56 %) merkt außerdem an, Ihre Daten „auf Anfrage“ an die Regierung oder Strafverfolgungsbehörden weitergeben zu können. Hierfür ist nicht etwas eine richterliche Anordnung erforderlich – eine simple „informelle Anfrage“ genügt. Autsch, diese Hürde liegt seeeehr niedrig. Würde der Kinoklassiker „Thelma & Louise“ im Jahr 2023 neu verfilmt, wären die beiden Ladys schon hinter Gittern, bevor Sie als Zuschauer*in die erste Handvoll Popcorn im Mund hätten. Aber im Ernst: Die hohe Bereitschaft der Autohersteller, Ihre Daten weiterzugeben, ist mehr als besorgniserregend. Sie hat das Potenzial, echten Schaden anzurichten, und hat unsere schlimmsten Albträume rund um Autos und Datenschutz befeuert.
Und nicht vergessen: Nur weil Datenschutzgesetze es illegal machen, entsprechende Angaben nicht zu veröffentlichen (siehe California Consumer Privacy Act!), wissen wir überhaupt, was Unternehmen mit persönlichen Daten anstellen. Auch so genannte anonymisierte und aggregierte Daten können mit Fahrzeugdaten-Hubs (den Datenbrokern der Autoindustrie) und Dritten geteilt werden. Während Sie sich also von A nach B bewegen, finanzieren Sie ganz nebenbei das lukrative Nebengeschäft Ihres Autos im Datenbusiness!
3. Die meisten (92 %) geben Fahrer*innen wenig bis keine Kontrolle über ihre persönlichen Daten
Alle bis auf zwei der 25 Automarken im Test haben wir mit unserem Warnsignal angeklingelt, wenn es um Datenkontrolle geht. Mit anderen Worten: Nur zwei Automarken, Renault und Dacia (im Besitz derselben Muttergesellschaft) geben an, dass alle Fahrer*innen das Recht haben, ihre persönlichen Daten löschen zu lassen. Wir machen uns Hoffnung, dass dieser positive Ausreißer zeigt, dass es tatsächlich Autokonzerne gibt, die sich für die Privatsphäre der Verbraucher*innen einsetzen. Wahrscheinlich ist es kein Zufall, dass beide Automarken nur in Europa zu haben sind, wo die strenge Datenschutz-Grundverordnung (DSGVO; General Data Protection Regulation, GDPR) gilt. Kurzum: Automarken stellen mit Ihren persönlichen Daten oft alles Erdenkliche an, was noch irgendwie im rechtlichen Rahmen zulässig ist.
4. Wir konnten nicht bestätigen, dass überhaupt irgendeine Marke unsere Mindestsicherheitsstandards erfüllt
Schon seltsam, dass Dating-Apps und Sextoys detailliertere Sicherheitsinformationen veröffentlichen als Autos. Obwohl die Automarken in unserem Test jeweils mehrere langatmige Datenschutzerklärungen präsentieren (Toyota schießt mit 12 Dokumenten den Vogel ab!), konnten wir keine Bestätigung dafür finden, dass auch nur eine der Marken unsere Mindestsicherheitsstandards erfüllt.
Am meisten Sorgen macht uns, dass wir nicht einmal wissen, ob überhaupt eine der geprüften Marken alle persönlichen, im Auto gespeicherten Daten verschlüsselt. Das wäre das absolute Minimum (immerhin sprechen wir hier ja nicht von „Superduper-Hightech-Sicherheitsstandards“). Wir haben uns wie immer per E-Mail an die Hersteller gewandt, um Klarheit zu schaffen. Die meisten haben uns ignoriert – und diejenigen, die zumindest reagiert haben (Mercedes-Benz, Honda und technisch gesehen auch Ford), konnten unsere grundlegenden Fragen zur Sicherheit trotzdem nicht beantworten.
Vielleicht haben sich die Autohersteller bislang zu wenig mit dem Thema „Cybersicherheit“ befasst? Das könnte ihre – offen gesagt – peinliche Erfolgsbilanz in Sachen Sicherheit und Datenschutz erklären. Wir haben uns nur die letzten drei Jahre angeschaut, aber trotzdem eine ganze Menge gefunden. 17 (68 %) der Automarken haben wir mit unserem Warnsignal „schlechte Erfolgsbilanz“ angeklingelt – für Lecks, Hacks und Datenpannen, die die Privatsphäre ihrer Fahrer*innen bedrohen.
Auf einen Blick: So schneiden die Marken ab
Hier sehen Sie, wie die Automarken bei unseren Kriterien für Datenschutz und Sicherheit abgeschnitten haben.
Einige nicht ganz so lustige Fakten über diese Rankings:
- Tesla ist erst das zweite Produkt, das wir jemals überprüft haben, das von uns alle Datenschutz-Warnsignale erhalten hat. (Der erste war ein KI-Chatbot, den wir Anfang dieses Jahres überprüft haben.) Bemerkenswert war, dass Tesla den Preis für „nicht vertrauenswürdige KI“ erhielt. Der KI-getriebene Autopilot der Marke war Berichten zufolge an 17 Unfällen mit Todesfolge und 736 Unfällen beteiligt; es laufen aktuell mehrere Untersuchungsverfahren von Regierungen.
- Nissan ist auf dem vorletzten Platz gelandet, weil das Unternehmen Daten aus den bedenklichsten Kategorien sammelt, die uns je untergekommen sind. Es lohnt sich, den kompletten Bericht zu lesen, daher nur so viel: Ihre „sexuelle Aktivität“ gehört dazu. Um Nissan in nichts nachzustehen, erwähnt auch Kia in seiner Datenschutzerklärung, dass das Unternehmen Daten über Ihr „Sexualleben“ sammeln kann. Oh, und sechs Autohersteller geben an, dass sie Ihre „genetischen Informationen“ oder „genetischen Merkmale“ erfassen können. Brrrr … Datenschutzerklärungen von Automarken zu lesen, jagt einem eisige Schauer über den Rücken.
- Keine der Automarken im Test verwendet Formulierungen, die Mozillas Datenschutzstandard zur Weitergabe von Informationen an die Regierung oder Strafverfolgungsbehörden entsprechen. Hyundai setzt sogar noch einen drauf: In der Datenschutzerklärung des Unternehmens heißt es, dass es „rechtmäßigen Anfragen, ob formell oder informell“, nachkommen wird. Da schrillen doch sämtliche Alarmglocken!
- Alle Automarken auf dieser Liste – mit Ausnahme von Tesla, Renault und Dacia – haben die Consumer Protection Principles des US-Automobilindustrieverbands ALLIANCE FOR AUTOMOTIVE INNOVATION, INC. unterzeichnet. Dieses Dokument enthält wichtige Grundsätze zur Wahrung der Privatsphäre, wie „Datenminimierung“, „Transparenz“ und „Entscheidungsfreiheit“. Klingt erst mal gut, aber wie viele Automarken halten sich daran? Keine einzige. Das ist schon deshalb interessant, weil es bedeutet, dass die Autokonzerne eindeutig wissen, was sie tun sollten, um Ihre Privatsphäre zu respektieren, es aber ganz offenbar nicht tun.
Was Sie dagegen unternehmen können? Nun …
Normalerweise würden wir Sie an dieser Stelle dazu auffordern, unsere Bewertungen zu lesen und sich für Produkte zu entscheiden, denen Sie vertrauen können. Doch bei Autos ist das nicht ganz so einfach.
Klar gibt es ein paar Schritte, um Ihre Privatsphäre besser zu schützen. Wir haben sie in unseren Bewertungen unter „Tipps zum Schutz Ihrer Privatsphäre“ aufgeführt. Es lohnt sich auf jeden Fall, diese zu befolgen! Zusätzlich können Sie sich gegen die Nutzung der Fahrzeug-App Ihres Autos entscheiden oder deren Berechtigungen auf Ihrem Handy einschränken. (Da viele der Apps dieselbe Datenschutzerklärung wie das jeweilige Fahrzeug haben, können wir nicht immer feststellen, welche Daten von Ihrem Handy erfasst werden. Es ist also wahrscheinlich besser ist, die App überhaupt nicht zu nutzen). Aber im Vergleich zu der Datenerfassung, die Sie NICHT kontrollieren können, wirken diese Schritte wie winzige Tropfen auf dem heißen Stein. Außerdem: Sie haben es verdient, von all den Funktionen zu profitieren, für die Sie bezahlen – ohne dafür Ihre Privatsphäre aufgeben zu müssen.
Der Mangel an Entscheidungsfreiheit ist einer der größten Aufreger, wenn man sich über Autos und Datenschutz informiert. Bei Autos ist die Entscheidungsfreiheit der Verbraucher*innen in vielerlei Hinsicht eingeschränkt, denn:
Alle Marken schneiden schlecht ab.
Wer ein neues Autos sucht, vergleicht Modelle nicht danach, welches den besseren Datenschutz bietet. Warum auch? Schließlich gibt es so viel anderes zu beachten, was die Auswahl einschränkt, wie Kaufpreis, Kraftstoffeffizienz, Verfügbarkeit, Zuverlässigkeit oder die benötigten Funktionen. Und selbst wenn Sie die Mittel und Ressourcen hätten, Autos mit Blick auf den Datenschutz zu vergleichen: Sie würden keinen großen Unterschied feststellen. Denn laut unseren Recherchen schneiden alle Marken schlecht ab! Darüber hinaus war die Analyse von Autos und Datenschutz eine der schwierigsten Herausforderungen, die uns als Datenforschenden je begegnet ist. Das riesige, verworrene Ökosystem der Datenschutzerklärungen für Autos, Fahrzeug-Apps, mit dem Auto verbundene Dienste und mehr zu durchforsten, ist eine Aufgabe, für die die meisten Menschen weder ausreichend Zeit noch die nötige Erfahrung mitbringen.
Wie erwähnt, haben sich alle Autos im Test unseren *Datenschutz nicht inbegriffen-Warnhinweis verdient. Wir haben alle Automarken in den Kategorien „Datennutzung“ und „Sicherheit“ angeklingelt – und die meisten auch für den Mangel an Datenkontrolle und ihre schlechte Erfolgsbilanz. Es muss noch einmal betont werden, wie übel es ist, dass alle Produkte im selben Shopping-Ratgeber Warnhinweise erhalten haben. Das ist nicht normal.
Es ist alles so verwirrend
Wir haben über 600 Stunden damit verbracht, die Datenschutzpraktiken von Automarken zu analysieren – dreimal so lange pro Produkt wie sonst! Trotzdem sind zahllose Fragen offengeblieben. Keine der Datenschutzerklärungen zeichnet ein vollständiges Bild davon, wie Ihre Daten verwendet und weitergegeben werden. Wenn drei erfahrene Datenschutzforschende schon kaum durchblicken, was bei Autos und Datenschutz abgeht – wie sollen sich Normalverbraucher*innen mit wenig Zeit da zurechtfinden?
Moment, das war noch nicht alles!
„Zustimmung“ ist eine Illusion
Viele Menschen kommen im Alltag nicht ohne Auto aus. Anders als bei einem intelligenten Wasserhahn oder einem Sprachassistenten, für den Sie sich entscheiden können (oder auch nicht), haben Sie bei Autos nicht die Wahl. Wir haben bereits darüber gesprochen, auf welchen dubiosen Wegen Unternehmen Ihre Zustimmung manipulieren können. Autohersteller sind da keine Ausnahme: Oft ignorieren sie, ob Ihre Zustimmung vorliegt oder nicht. Und manchmal setzen sie einfach voraus, dass Sie zugestimmt haben, indem sie davon ausgehen, dass Sie ihre Datenschutzerklärung gelesen und akzeptiert haben, bevor Sie einen Fuß in ihre Autos setzen. Die Datenschutzerklärung von Subaru besagt, dass sogar die Beifahrer*innen „eingewilligt“ haben, dass vernetzte Dienste ihre persönlichen Daten nutzen und vielleicht sogar verkaufen dürfen – nur, weil sie im Auto sitzen.
Wenn Autohersteller also sagen, dass sie Ihre „Zustimmung“ haben oder etwas „ohne Ihre Zustimmung“ nicht tun werden, bedeutet das oft nicht das, was Sie denken. Zum Beispiel, wenn Tesla anmerkt, dass Sie sich natürlich auch gegen eine Datenerfassung entscheiden können, dadurch aber riskieren, Ihr Auto zu beschädigen:
„Wenn Sie nicht mehr wünschen, dass wir Fahrzeugdaten oder andere Daten von Ihrem Tesla Fahrzeug sammeln, kontaktieren Sie uns bitte, um die Konnektivität zu deaktivieren. Bitte beachten Sie, dass bestimmte hochentwickelte Funktionen wie Over-the-Air-Updates, Remote-Dienste und die Interaktivität mit mobilen Anwendungen und fahrzeuginternen Funktionen wie Standortsuche, Internet-Radio, Sprachsteuerung und Webbrowser-Funktionalität von dieser Konnektivität abhängen. Wenn Sie sich gegen die Erfassung von Fahrzeugdaten entscheiden (mit Ausnahme der Präferenzen für Data-Sharing im Fahrzeug), können wir Sie nicht in Echtzeit über Probleme informieren oder benachrichtigen, die Ihr Fahrzeug betreffen. Dies kann dazu führen, dass Ihr Fahrzeug eine eingeschränkte Funktionalität aufweist, ernsthaft beschädigt wird oder nicht mehr funktionsfähig ist.“
Datenschutzerklärung von Tesla für Kund*innen
Einige der Autohersteller in unserem Test gehen noch einen Schritt weiter, indem sie Sie zu Kompliz*innen bei der Einholung der „Zustimmung“ anderer machen und behaupten, dass es Ihre Aufgabe ist, Beifahrer*innen über die Datenschutzerklärung Ihres Autos zu informieren. Zum Beispiel, wenn Nissan von Ihnen verlangt, dass Sie „sich verpflichten, alle Nutzer*innen und Insassen Ihres Fahrzeugs über die Dienste und Systemfunktionen und -beschränkungen, die Vertragsbedingungen, einschließlich der Bedingungen für die Datenerfassung und -nutzung und den Datenschutz, sowie die Nissan-Datenschutzerklärung zu unterrichten und zu informieren.“ Okay, Nissan … Stellt uns doch mal die Partykanone vor, die diese Zeilen verfasst hat!
Keine Sorge. Es gibt tatsächlich etwas, das Sie tun können!
Halt! Stopp! Hängen Sie Ihre Fahrhandschuhe noch nicht an den Nagel! Wir sagen nicht, dass die Situation hoffnungslos ist. Wir finden es lediglich unfair, die Last, „bessere Entscheidungen zu treffen“, auf die Verbraucher*innen abzuwälzen, wenn es wie in diesem Fall gar keine besseren Entscheidungen gibt. Und wir wollen es den Autoherstellern nicht gleichtun, indem wir von Ihnen Unmögliches verlangen – z. B. vor jeder Person, die es sich gerade in Ihrem Auto bequem machen will, eine 9.461 Wörter umfassende Datenschutzerklärung herunterzurasseln.
Sie helfen uns bereits, die Nachricht zu verbreiten, indem Sie unsere Forschungsergebnisse lesen. Wir hoffen, dass durch ein wachsendes Bewusstsein andere andere ermutigt werden, auch Autounternehmen für ihre schrecklichen Datenschutzpraktiken zur Verantwortung zu ziehen. Aber das ist noch nicht alles. Sie können sich unserer globalen Bewegung für Datenschutzrechte für alle und überall anschließen.
Jen Caltrider
Als ich eher unorganisiert an meinem Master in Künstlicher Intelligenz arbeitete, wurde mir schnell klar, dass ich viel besser Geschichten erzählen kann, als Code zu schreiben. Diese Entdeckung bescherte mit eine Karriere als Journalistin, in der ich für CNN über die Tech-Branche berichtete. Ich wollte schon immer bewirken, dass die Welt nach mir ein etwas besserer Ort ist, als die, in der ich aufgewachsen bin. Deshalb habe ich Mozillas *Datenschutz nicht inbegriffen-Initiative ins Leben gerufen und geleitet – für besseren Datenschutz für alle.
Misha Rykov
Misha Rykov, ursprünglich aus Kiew und aktuell in Berlin ansässig, arbeitete für Big Tech und Sicherheits-Consulting, bevor er sich Mozillas Initiative für mehr Datenschutz anschloss. Misha begeistert sich für investigatives Storytelling und verabscheut unübersichtliche Datenschutzrichtlinien.
Zoë MacDonald
Zoë MacDonald ist eine Writerin und Digitalstrategin und lebt in Toronto, Kanada. Bevor ihre Leidenschaft für digitale Rechte sie zu Mozilla und *Datenschutz nicht inbegriffen führte, schrieb sie über Cybersicherheit und E-Commerce. Wenn Sie nicht gerade bei der Arbeit über Datenschutz abnerdet, beäugt sie zu Hause Smart-Geräte misstrauisch.