Warnung: *Datenschutz ist in diesem Produkt nicht inbegriffen
Lexus ist eine Luxusautomarke des japanischen Automobilherstellers Toyota. Sie verkauft Limousinen, Geländewagen und leistungsstarke Fahrzeuge mit eher uninspirierenden Buchstabensuppen-Namen wie NX, UX, RZ, LX, ES, IS und LS Hybrid. Lexus ist wahrscheinlich am besten dafür bekannt, zuverlässig zu sein (schließlich gehört das Unternehmen zu Toyota), komfortabel zu sein und für seine Weihnachtswerbung, in der Lexus zur Weihnachtszeit mit riesigen roten Schleifen vor Häusern auftaucht, während überraschte Menschen im Schnee lächeln. Die Lexus-App macht all das, was auch die Toyota-App macht - ferngesteuertes Starten/Stoppen, Sperren/Entsperren, Ihr verlorenes Auto auf dem Parkplatz finden, Privilegien für Gastfahrer festlegen und Sie benachrichtigen, wenn sie dagegen verstoßen, und Ihre Fahrgewohnheiten überwachen, damit sie Ihnen sagen kann, ob Sie ein schlechter Fahrer sind. Sie wissen schon, die ganzen lustigen Sachen. Wie steht es bei Lexus um die Privatsphäre? Nun, sie sind genau wie Toyota (sie teilen im Grunde die Datenschutzrichtlinien und die App), also nichts, womit sie sich eine große rote Schleife verdient hätten.
Was könnte passieren, wenn etwas schiefgeht?
Lexus - im Besitz von Toyota - teilt sein Datenschutz-Ökosystem mit Toyota, und oooh, es ist kompliziert, umfangreich und überhaupt nicht toll! Als beliebtestes Autounternehmen der Welt hatten wir wirklich gehofft, dass Toyota/Lexus bessere Datenschutzpraktiken und eine bessere Erfolgsbilanz in Bezug auf die Achtung und den Schutz der riesigen Mengen an persönlichen Daten haben würde, die Sie angeblich sammeln können. Leider haben wir bei unseren Nachforschungen nichts dergleichen gefunden. Wir befürchten, dass Toyotas Slogan „Let's Go Places“ bedeutet, dass sie wirklich mitfahren und unterwegs alles über Sie erfahren wollen, was sie können.
Wo fangen wir mit unseren Bedenken bezüglich der Datenschutzpraktiken von Lexus an? Vielleicht mit der Tatsache, dass Toyota/Lexus sich selbst als sehr datenschutzfreundlich bezeichnet, während es zu viele Dinge tut, die alles andere als das sind. Zum Beispiel erwähnen sie auf Toyotas Datenschutzzentrum von Anfang an, dass sie "eine Schlüsselrolle bei der Entwicklung und Übernahme der Kraftfahrzeug-Verbraucherdatenschutzgrundsätze spielen". Das hört sich toll an, oder? Nun, das tut es, bis man genauer hinsieht. Diese Datenschutzgrundsätze wurden 2014 von den Autoherstellern selbst entwickelt, um zu zeigen, dass sie den Datenschutz ernst nehmen.
Schaut man jedoch genau hin, so stellt man schnell fest, dass Toyota/Lexus und fast alle von uns überprüften Autohersteller nicht wirklich ihren eigenen Datenschutzgrundsätzen folgen. Dazu gehören Dinge wie „Datenminimierung“ (die Idee, dass sie nur die Daten sammeln, die sie benötigen), „Datensicherheit“ (Sicherung der Daten, die sie erfassen), „Transparenz“ (Bereitstellung klarer, aussagekräftiger Datenschutzinformationen für die Nutzer*innen) und „Wahlmöglichkeit“ (den Nutzer*innen Wahlmöglichkeiten bei der Verwendung und Erfassung ihrer Daten bieten) sowie „Respekt für den Kontext“ (Verwendung und Weitergabe von Informationen nur für das, wofür sie erfasst wurden). Unsere Forschung zeigt, dass Toyota/Lexus (und so ziemlich jeder andere Autohersteller, den wir überprüft haben und der diese Prinzipien unterschrieben hat) diese Versprechen überhaupt nicht einhält. Toyota/Lexus sammelt eine Menge Daten - viel mehr als wahrscheinlich notwendig. Sie geben zu, sie für eigene Marketingzwecke mit Dritten zu teilen und sogar zu verkaufen, sie hatten Sicherheitslücken, die die persönlichen Daten ihrer Nutzer*innen gefährdet haben, und sie erweitern ihre Datensammlung weiter, um mehr Geld aus dem Schatz der gesammelten Daten zu machen. Toyota/Lexus ist damit nicht allein, aber sie sind diejenigen, die damit prahlen, eine Schlüsselrolle bei der Aufstellung von Datenschutzgrundsätzen im Kraftfahrzeugbereich zu spielen, die sie selbst zur Schau zu stellen scheinen.
Davon abgesehen geben wir Toyota/Lexus einen Daumen hoch, dass alle Menschen in den USA, nicht nur diejenigen, die unter das strenge kalifornische CCPA-Datenschutzgesetz fallen, die gleichen Rechte haben, beispielsweise ihre Daten löschen zu lassen oder sich gegen den Verkauf einiger ihrer Daten zu entscheiden. Dies sind gute Rechte, die unserer Meinung nach unbedingt allen gewährt werden sollten, unabhängig davon, ob sie unter strengeren Datenschutzgesetzen wie dem kalifornischen CCPA oder der EU-DSGVO leben. Wir können jedoch nicht bestätigen, ob Toyota jedem überall die gleichen Rechte auf Zugriff, Löschung und Kontrolle über seine Daten einräumt, was nicht gut ist. Wir würden uns freuen, wenn sie sich ein Herz fassen und klar sagen würden, dass sie das tun werden.
Wir geben Toyota/Lexus auch einige Bonuspunkte für ein nordamerikanisches Datenschutzzentrum, in dem Verbraucher einige der vielen Datenschutzrichtlinien von Toyota/Lexus, die ihre Autos, Apps, verbundenen Dienste und mehr abdecken, leichter aufspüren können. Aber damit kommen wir zu einem weiteren Problem, das wir mit Toyota/Lexus haben. Es gibt so viele Datenschutzrichtlinien, Hinweise, Erklärungen usw. für all ihre Autos, verbundenen Dienste, Apps, Bordkameras und mehr. Sie alle aufzuspüren, war eine ziemlich umfangreiche Aufgabe. Es ist eine ziemlich komplizierte Datenschutz-Schnitzeljagd, alle Datenschutzdokumente von Toyota aufzuspüren und sich einen Reim darauf zu machen. Wir haben unser Bestes gegeben, aber nun brummt uns der Schädel. Aber keine Sorge, wir haben einen weiteren Toyota-Slogan gefunden, der hier anwendbar ist! "Stellen Sie sich eine Welt ohne Grenzen vor"… Grenzen bezüglich der Anzahl der Datenschutzhinweise, von denen wir erwarten, dass sie von den Menschen gelesen werden. Verdammt, Toyota gibt sogar in ihrer EU-Datenschutzrichtlinie zu, dass ihre Datenschutzlandschaft ziemlich kompliziert ist: "Diese Richtlinie enthält allgemeine Regeln und Erklärungen. Sie wird durch separate spezifische Datenschutzhinweise in Bezug auf bestimmte Dienste, Tools, Anwendungen, Websites, Portale, (Online-) Verkaufsförderungen, Marketingaktionen, gesponserte Social-Media-Plattformen usw. ergänzt, die von oder im Auftrag von Toyota bereitgestellt oder betrieben werden." Ihr Kopf brummt jetzt wahrscheinlich auch.
Toyota/Lexus sagt, dass sie über Ihr Auto, die Toyota-App und die damit verbundenen Dienste eine ganze Reihe persönlicher Informationen über Sie erfassen können. Dazu gehört alles von persönlich identifizierenden Informationen wie Name, Adresse, Telefonnummer, E-Mail, Online-Kennung, Social-Media-ID und demografischen Informationen wie Ihrem Alter über das Fahrverhalten wie Beschleunigung und Geschwindigkeit, Lenk- und Bremsfunktionalität und Fahrtrichtung bis hin zu vielen Informationen über Ihr Auto, einschließlich VIN (Vehicle Identification Number), Innen- und Außenbilddaten von Kameras und Sensoren in Ihrem Auto sowie geometrische Gesichtsmerkmale. Sie können sogar sensible persönliche Informationen wie genaue Geolokalisierungsdaten und biometrische Informationen erfassen. Darüber hinaus sagen sie, dass sie viele Informationen über Sie aus anderen Quellen wie sozialen Medien, öffentlichen Quellen, Datenbrokern, Datenanbietern, Ihren Freunden und mehr erfassen können. Toyota sammelt eine ganze Menge Informationen über Sie. Oh, und wenn Sie einen der mobilen Dienste wie SiriusXM-Radio, WLAN-Konnektivität, Navigation oder sogar Ihre Versicherung Ihre Nutzung verfolgen lassen, können diese auch alle Ihre persönlichen Daten sammeln.
Also, was sagt Toyota/Lexus, was sie mit diesem Schatz an Informationen tun können? Nun, einige davon scheinen sie verantwortungsvoll zu behandeln. Die geometrischen Gesichtsmerkmale, die sie erhalten, wenn sie Ihr Gesicht scannen, um Sie für Ihr Fahrerprofil zu identifizieren, werden zum Beispiel nur in Ihrem Auto verarbeitet und gespeichert. Das ist gut. Leider sagt Toyota, dass sie mit so vielen anderen Informationen, die sie über Sie erfassen, viel mehr tun können. Zum einen geben sie an, dass sie Ihre personenbezogenen Daten für gezielte Werbezwecke an Dritte weitergeben oder verkaufen können. Schlimmer noch, sie verpflichten sich nicht zu 100 %, Ihre sensiblen personenbezogenen Daten nicht zu verarbeiten oder möglicherweise sogar weiterzugeben - Dinge wie Ihre genauen Geolokalisierungsdaten, biometrische Informationen zum Zwecke der eindeutigen Identifizierung einer Person und Finanzinformationen. Tatsächlich qualifizieren sie die Verwendung dieser sensiblen Informationen auf eine Weise, die uns Unbehagen bereitet. Sie sagen: „Soweit gesetzlich vorgeschrieben, werden wir Ihre Zustimmung einholen, bevor wir Ihre sensiblen personenbezogenen Daten verarbeiten. Wir werden Ihre sensiblen personenbezogenen Daten im Allgemeinen auch für begrenzte Zwecke verwenden..." Diese vage, qualifizierende Formulierung darüber, wie sie sagen, dass sie mit Ihren sensiblen personenbezogenen Daten umgehen und diese weitergeben können, gibt uns kein gutes Gefühl in Bezug auf die allgemeinen Datenschutzpraktiken von Toyota.
Das Toyota/Lexus-Ökosystem aus Muttergesellschaften und verbundenen Unternehmen, Händlern und Distributoren ist ebenfalls riesig. Dazu gehören Dinge wie Lexus Financial Services und Ihre lokalen "Händler-Werbeverbände." Dies sind alles Orte, von denen Toyota/Lexus sagt, dass sie Ihre persönlichen Daten weitergeben können. Wir haben auch Toyota Connected Europe gefunden, ein mit Toyota/Lexus verbundenes Datenunternehmen, das all die riesigen Mengen an Daten nutzt, die Autos, Auto-Apps und mobile Autodienste sammeln können, um besser vernetzte Autos zu entwickeln, das Fahrerverhalten besser zu verstehen, Autos sicherer zu machen (yay!), den Fahrern zu helfen, energieeffizienteres Fahrverhalten zu entwickeln und vieles mehr. Einige dieser Dinge sind sehr nützlich und von Vorteil für die Gesellschaft. Andere wiederum sind es vielleicht nicht. Und denken Sie daran, dass Toyota/Lexus immer bestrebt ist, mehr Autos zu verkaufen und somit mehr Daten zu sammeln, um mehr Autos zu verkaufen. Toyota Connected Europe beschreibt Daten wie folgt: „Es ist das Lebenselixier unseres Geschäfts und treibt alles an, was wir tun." Wir teilen dies als Erinnerung daran, dass Daten für Automobilunternehmen wie Toyota/Lexus ein riesiges und wachsendes Geschäft sind, da Autos immer vernetzter werden (Toyota Connected Europe beschreibt sich auf ihrer Webseite als"junges Unternehmen".) Überraschung, wir haben einen weiteren Toyota-Slogan, der hier gilt! „Sie sind das, was uns antreibt." Eine andere Möglichkeit zu sagen: Ihre Daten sind das, was unser Geschäft antreibt" (um fair zu sein, Daten sind das, was die meisten Unternehmen heutzutage antreibt... traurigerweise für den Datenschutz ist das die Art und Weise, wie die Welt jetzt funktioniert).
Toyota/Lexus liebt ihre Slogans. Sie sagen, Seelenfrieden ist Standard. Nun, vielleicht nicht so sehr, wenn es um ihre Erfolgsbilanz beim Schutz und der Achtung all der persönlichen Informationen geht, die sie sammeln. Sie haben in den letzten Jahren einige schwerwiegende Sicherheitslücken gehabt, bei denen man die Augenbrauen hochzieht. Im Mai 2023 gab Toyota zu, dass es die Standortdaten von über 2 Millionen Toyota- und Lexus-Nutzer*innen zehn Jahre lang ausgesetzt und ungesichert gelassen hatte. Ein paar Wochen später gab Toyota erneut zu, dass die Daten von weiteren 260.000 Autobesitzern bei einem anderen Sicherheitsvorfall offengelegt wurden. Und im Jahr 2020 fanden Sicherheitsforscher Fehler in der Verschlüsselung der Autoschlüssel, mit denen Fahrer ihre Autos in Toyota-Fahrzeugen starten können. Autoschlüssel von Hyundai und Kia hatten ebenfalls die gleichen Mängel. Diese Sicherheits- und Datenschutzvorkehrungen von Toyota geben uns nicht gerade viel Sicherheit, dass sie wirklich verstehen, was es braucht, um all die Informationen zu schützen, die sie über uns sammeln, während wir ihre Autos fahren. Tatsächlich warnen sie selbst in ihrer Datenschutzerklärung zu Connected Services: „Bitte beachten Sie jedoch, dass wir die Sicherheit der von Ihnen oder Ihrem Fahrzeug an uns übermittelten Informationen nicht vollständig gewährleisten oder garantieren können. Die Nutzung der Connected Services und der App Suite Ihres Fahrzeugs erfolgt auf eigenes Risiko."
Was ist das Schlimmste, was in Ihrem Lexus-Auto passieren könnte, wenn die Lexus-App und Connected Services und die Bordkameras Daten mit ihren Muttergesellschaften, Geschäftspartnern, Autohändlern, werbetreibenden Dritten und mehr austauschen? Nun, Toyota/Lexus könnte wissen, wohin Sie fahren (das tun sie wahrscheinlich) und wissen, wo Sie gerne einkaufen und wann und dann könnten Sie "relevant für Ihren Standort" -Anzeigen bekommen, die Sie überall hin begleiten, um mehr zu kaufen. Das könnte noch okay sein. Es könnte auch nerven, wenn Sie versuchen, weniger Alkohol zu trinken, und jedes Mal, wenn Sie in der Nähe eines Spirituosengeschäfts fahren, eine Werbeanzeige für Bier bekommen. Okay, vielleicht ist das nicht das Schlimmste, was passieren könnte. Wir können uns tatsächlich viele schlimmere Dinge vorstellen. Aber das ist etwas, das viel zu leicht passieren könnte und es ist schon schlimm genug. Hey Toyota/Lexus, vielleicht können wir Sie bitten, sich von dem "inspirieren zu lassen, was möglich ist", und viel weniger persönliche Informationen über Ihre Autobesitzer zu sammeln und den Menschen mehr Möglichkeiten zu geben, ihre Privatsphäre beim Autofahren zu schützen. Nun, das wäre Privatsphäre "Gebaut für Ihr Leben." Leider haben wir für Toyota/Lexus einen eigenen Slogan: *Datenschutz nicht inbegriffen.
Tipps zu Ihrem Schutz
- Geben Sie keine Zustimmung zu personalisierter Werbung.
- Deaktivieren Sie den Verkauf Ihrer personenbezogenen Daten sowie kontextübergreifende verhaltensorientierte Werbung.
- Setzen Sie Ihr Auto immer auf Werkseinstellungen zurück, bevor Sie es verkaufen oder eintauschen, um Ihre Daten zu löschen und die App zu trennen.
- Bevor Sie Ihr Auto weiterverkaufen, informieren Sie das Unternehmen
- Stellen Sie beim Kauf eines Gebrauchtwagens immer sicher, dass der Vorbesitzer sein verbundenes Konto entfernt und auf Werkseinstellungen zurückgesetzt hat.
- Verwenden Sie immer starke Passwörter und richten Sie eine Zwei-Faktor-Authentifizierung für Apps und Dienste ein, die eine Verbindung zu Ihrem Auto herstellen.
- Geben Sie nur vertrauenswürdigen Dritten Zugriff auf Ihre Daten
- Wenn Sie eine mobile App mit dem Auto verbinden, achten Sie darauf, die Menge der über diese App gesammelten Daten zu minimieren. Sie können die iOS- oder Android-Einstellungen verwenden, um die über Ihr Telefon gesammelten Daten zu begrenzen.
- Deaktivieren Sie die Standortfreigabe Ihres Mobilgeräts.
- Verwenden Sie Amazon Alexa nicht in Ihrem Auto, wenn Sie Bedenken haben, dass Amazon diese Sprachanforderungsinformationen, IP-Adresse und Geolokalisierungsinformationen sammelt und verwendet, um Werbung auf Sie zuzuschneiden.
Kann es mich ausspionieren?
Kamera
Gerät: Ja
App: Ja
Mikrofon
Gerät: Ja
App: Ja
Verfolgt den Standort
Gerät: Ja
App: Ja
Was kann zur Registrierung verwendet werden?
E-Mail-Adresse
Ja
Telefonnummer
Ja
Drittanbieter-Konto
Nicht verfügbar
Welche Daten sammelt das Unternehmen?
Persönliche
Name, Adresse, Telefonnummer, E-Mail-Adresse, Spracheinstellung und andere Informationen, die mit Ihnen verknüpft sind oder sich direkt auf Sie beziehen, vom Standort abgeleitete Präferenzen Fahrzeug- und fahrbezogene Daten: Marke, Modell, Jahr, Karosserietyp, FIN und andere Informationen, die mit Ihrem Fahrzeug verknüpft sind, damit wir Ihren Fahrzeugtyp überprüfen und Connected Services, Fahrverhaltensdaten ("Fahrdaten") bereitstellen können, die die Beschleunigung und Geschwindigkeit, mit der Ihr Fahrzeug gefahren wird, die Fahrtrichtung und die Verwendung der Lenk- und Bremsfunktion in Ihrem Fahrzeug umfassen.
Körperbezogen
Gesichtsgeometrische Merkmale, Sprachaufnahmen. "Ihre geometrischen Gesichtsmerkmale werden nur in Ihrem Fahrzeug gespeichert."
Soziale
Wie nutzt das Unternehmen die Daten?
Wie können Sie Ihre Daten kontrollieren?
Wie ist das Unternehmen in der Vergangenheit mit den Daten über seine Verbraucher umgegangen?
Toyota hat Daten von 2,15 Millionen Nutzer*innen über einen Zeitraum von 10 Jahren zwischen 2013 und 2023 durchsickern lassen. Die in der falsch konfigurierten Datenbank offengelegten Informationen beinhalten:
- die ID-Nummer des fahrzeuginternen GPS-Navigationsterminals,
- die Fahrgestellnummer und
- Fahrzeugstandortinformationen mit Zeitdaten.
Ein weiteres mögliches Leck, von dem 300.000 Nutzer*innen betroffen waren, wurde 2022 von Toyota aufgedeckt. Toyota entdeckte, dass ein Teil des Quellcodes der T-Connect-Website fälschlicherweise auf GitHub veröffentlicht wurde und einen Zugriffsschlüssel auf den Datenserver enthielt, der Kunden-E-Mail-Adressen und Verwaltungsnummern speicherte.
Im Jahr 2020 wurde eine große Schwachstelle aufgedeckt, die die von Toyota, Hyundai und Kia verwendeten Verschlüsselungssysteme betraf.
Informationen zum Datenschutz bei Kindern
Kann dieses Produkt offline genutzt werden?
Benutzerfreundliche Informationen zum Datenschutz?
Lexus - im Besitz von Toyota - verfügt über eine Vielzahl verwirrender Datenschutzrichtlinien, Hinweisen und Aussagen für ihre Fahrzeuge.
Links zu Datenschutzinformationen
- Toyota Motor North America Privacy Hub
- Toyota & Lexus Privacy Rights FAQ
- Lexus Privacy Notice
- Lexus Notice of PERSONAL INFORMATION PRACTICES FOR 2022 (EFFECTIVE AS OF JANUARY 1, 2023)
- Toyota Europe Data Recipeints
- Toyota Privacy Notice for Data Collection in the EU Through ON-Board Cameras
- Toyota Connected EU
- Lexus Connect Servcies Privacy Statement
- "ALLGEMEINE LEXUS DATENSCHUTZERKLÄRUNG"
Erfüllt dieses Produkt unsere Mindestsicherheitsstandards?
Verschlüsselung
Toyota/Lexus sagt, dass es "Verteidigungsschichten einsetzt, um starke Schutzpraktiken voranzutreiben, wie z. B. gegebenenfalls Code- und Designprüfungen, Sicherheitstests, Firewalls, Intrusion-Detection-Systeme, Signaturen und Verschlüsselung." Wir können jedoch nicht feststellen, ob alle Daten, die auf dem Auto liegen, einschließlich der Telematikdaten, die das Auto sammelt, sowie der Daten, die beim Anschließen Ihres Telefons weitergegeben werden, verschlüsselt sind, und ob alle gesammelten Daten während der Übertragung verschlüsselt sind. Wir haben uns mehrmals an das Unternehmen gewandt, um dies festzustellen, und keine Antwort erhalten.
Sicheres Passwort
Sicherheits-Updates
Umgang mit Schwachstellen
Toyota führt ein Bug-Bounty-Programm auf HackerOne aus.
Datenschutzrichtlinie
Lexus Safety System+ A ist ein Paket von Funktionen, inkl. Alarm bei frontalem Querverkehr, Verkehrszeichenassistent, Kollisionsvorbeugungssysteme usw. Diese Funktionen werden durch zahlreiche Kameras, Sensoren und Radare am Auto ermöglicht.
Ist diese KI nicht vertrauenswürdig?
Welche Entscheidungen trifft die KI über Sie oder für Sie?
Gibt das Unternehmen transparent an, wie die KI funktioniert?
Hat der Benutzer die Kontrolle über die KI-Funktionen?
Tauchen Sie tiefer ein
-
Toyota Reveals Data Leak of 300,000 CustomersInfosecurity Magazine
-
Toyota Discloses Decade-Long Data Leak Exposing 2.15M Customers' DataDark Reading
-
Hackers Can Clone Millions of Toyota, Hyundai, and Kia KeysWired
-
Toyota, Mercedes, BMW API flaws exposed owners’ personal infoBleeping Computer
-
Toyota: Car location data of 2 million customers exposed for ten yearsBleeping Computer
-
Web Hackers vs. The Auto Industry: Critical Vulnerabilities in Ferrari, BMW, Rolls Royce, Porsche, and MoreSam Curry
-
Privacy Concerns Aren't Keeping Automakers From Selling Massive Amounts of Your DataNewsweek
Kommentare
Möchten Sie einen Kommentar loswerden? Schreiben Sie uns.