Moderne Autos senden permanent persönliche Daten an Hersteller

Die modernen Autos sind unheimlich schlau. Sie kriegen echt alles über uns heraus. Zum Beispiel kennen sie unsere sexuellen Vorlieben ganz genau, unseren genetischen Code sowieso und die Menschen, die als Insassen mitfahren, finden sie ja auch total interessant. Zu dieser Erkenntnis kamen jedenfalls Datenschutzforscher von Mozilla bei immerhin 25 Fahrzeugherstellern.

Die meisten verbinden mit dem Namen Mozilla die Webbrowser Firefox und Thunderbird. Dabei handelt es sich um eine gemeinnützige Stiftung, die im Rahmen des Formats „Privacy not inluded“ (PNI), was man mit „Datenschutz nicht inbegriffen“ übersetzen könnte, immer wieder Produkte in Bezug auf den Datenschutz untersucht mit dem Ergebnis, dass es viele Autoproduzenten eben mit diesem Datenschutz nicht so haben.

Welche Fahrzeughersteller diesbezüglich als weniger problematisch (Renault) und welche als ganz besonders schrecklich (Nissan) bezeichnet werden, können Sie sich zum Beispiel hier ansehen:

• https://foundation.mozilla.org/de/privacynotincluded/categories/cars/

Mozilla spricht in diesem Zusammenhang von „rollenden Wanzen“

Jen Caltrider ist bei Mozilla PNI*-Programmdirektorin und spricht offen aus, was viele darüber denken. Bislang war das eigene Auto ein sehr persönlicher Raum, in dem man zum Beispiel seinen Arzt anruft, mit seinen Kindern spricht, einem guten Freund vielleicht seinen Liebeskummer anvertraut, oder Sie fahren mit Ihrem Auto an einen Ort, von dem Ihr Partner tunlichst nichts erfahren sollte. Das ist jetzt alles vorbei.

Übrigens: Wenn Sie solche Informationen interessieren, dann fordern Sie unbedingt meinen kostenlosen Praxis-Newsletter dazu an:

Ihr Kollege Misha Rykov fügt noch hinzu, dass sich der mangelnde oder besser fehlende Datenschutz auch auf die anderen Insassen des Fahrzeugs und zuweilen sogar auf ganz und gar unbeteiligte Passanten bezieht. Die Unternehmen hören, sehen oder tracken alles so, als hätten alle Ihr Handy beim Autohersteller abgegeben.

Eine gewisse Rangfolge der Datenschutzverletzung ergab sich dadurch, dass Mozilla verschiedene Kategorien einführte und einzeln bewertete:

• Datennutzung
• Datenkontrolle
• Erfolgsbilanz (Datenlecks, -hacks und -pannen)
• Sicherheit
• Künstliche Intelligenz

Viele Leser von Mozillas Darstellungen äußerten sich zum Thema. Interessant war dabei, dass die Nutzer von E-Autos die Datenschutzverstöße besonders gelassen sehen. Vielleicht erwarten sie ja von der modernen Technik gar nichts anderes mehr?

Der so beliebte Tesla jedenfalls erhielt gleich das Attribut „nicht vertrauenswürdige KI“. Der KI-unterstützte Autopilot war gemäß Berichten an immerhin 17 Unfällen mit Todesfolge und weiteren 736 Unfällen, die etwas glimpflicher verliefen, beteiligt. Die Untersuchungsverfahren dazu laufen noch.

Ebenfalls in der höheren Gunst der Nutzer stehen die Marken GMC und Mercedes-Benz, während Fiat, Dodge und Subaru eine ziemlich miserable Bewertung aufweisen.

Eigentlich wissen die Autohersteller so ziemlich alles über uns

Buick ist ein US-amerikanischer Automobilhersteller und wurde 1899 gegründet. Heute gehört er zu General Motors. Von seinen Kunden erfasst er in kontinuierlichem Strom diese Daten:

• Name
• Alter
• Geschlecht und die gegebenenfalls abweichende Geschlechtsidentität
• Sexuelle Orientierung
• Medizinische Daten wie eine Schwangerschaft
• Ethnische Zugehörigkeit, Religion und Hautfarbe
• Medizinische Beeinträchtigungen wie körperliche oder geistige Behinderungen
• Genetische, physiologische und verhaltensbezogene Besonderheiten
• Biologische Merkmale wie Finger-, Gesichts- und Stimmabdrücke, Iris- und Netzhautscans, die Gangart und den Tastenanschlag
• Gesundheitsdaten wie das Schlafverhalten
• Elektronische, visuelle, thermische, olfaktorische (Gerüche) oder Audio-Informationen
• Adresse
• Geolokalisierungsdaten und Routenverläufe sowie Fahrpläne, Richtungswechsel, Geschwindigkeiten
• Nummernschild
• Fahrzeugidentifikationsnummer (VIN)

Alle Informationen von Sensoren und Kamerabildern sowie aus dem Infotainmentsystem einschließlich dem Radio- und Rücksitz-Infotainment und der WiFi-Datennutzung

Das ist echt eine ganze Menge Info, aus der die Hersteller viele Rückschlüsse ziehen können, was sie auch tun.

Übrigens: Wenn Sie solche Informationen interessieren, dann fordern Sie unbedingt meinen kostenlosen Praxis-Newsletter „Unabhängig. Natürlich. Klare Kante.“ dazu an:

In den Datenschutzbestimmungen von Nissan steht es unverhohlen drin, dass diese Praxis angewandt werden „muss“, um seinen Kunden vernetzte Fahrzeugdienste anbieten zu können oder die Daten für gezielteres Marketing und interne Berichts- und Analysezwecke nutzen zu können. Auf welche Art und Weise Nissan diese vielen unterschiedlichen Daten konkret erfasst, darüber gibt der Hersteller allerdings keine Auskunft.

Mit dem Kauf und der Nutzung der Fahrzeuge wird über die AGB die Zustimmung erteilt, dass auch die Daten aller mitfahrenden Personen erfasst werden dürfen, wobei diese über diesen Umstand durch den Fahrer zu informieren sind.

Buick und Nissan sind diesbezüglich ganz offen und ehrlich, indem sie zugeben, dass aus den erfassten persönlichen Daten Schlussfolgerungen gezogen werden, um Profile über die Verbraucher zu erstellen, die deren Verhalten, Eigenschaften, Vorlieben, psychologische Tendenzen, Prädispositionen, Einstellungen, Fähigkeiten, Eignungen und Intelligenz widerspiegeln sollen. Mehr noch, Nissan steht dazu, dass das Unternehmen mit den sehr persönlichen Daten sehr viel Geld verdient.

Verschlüsselung? Wohl Fehlanzeige

Datenverschlüsselung hat ja bekanntlich den Sinn, dass andere Personen oder Organisationen den Datenverkehr nicht so einfach mitlesen können. Fragt man bei den Fahrzeugherstellern diesbezüglich nach, kommt keine Antwort mit einer Ausnahme.

Mercedes weiß darüber zu sagen, dass sich alle Produkte und Dienstleistungen mit der Zeit stark verändern und daher eine allgemeingültige Antwort darauf nicht gegeben werden kann. Man bemühe sich aber, die Funktionsweisen der Produkte und Dienstleistungen auf der eigenen Webseite sowie in den Bedienungsanleitungen zu veröffentlichen. Das war natürlich eine tolle, konkrete Information.

Übrigens: Schlechter als Nissan und Buick schnitt bei Mozilla bezüglich des Datenschutzes nur noch Metas Facebook ab.

Das Unternehmen Renault, das sich ja etwas mehr Mühe gibt beim Datenschutz, ist diesbezüglich ungefähr mit verschiedenen Dating-Apps, WhatsApp oder den Galaxy Tablets von Samsung vergleichbar. Diese liegen aber wohlgemerkt alle im unteren Drittel aller getesteten Produkte.

Wie Sie sich vor gläsernen Daten schützen können

Auch und gerade die smarten Fahrzeug-Apps sammeln über Ihr Smartphone haufenweise private Daten. Mit Blick auf den „Auto-Datenschutz“ sind vor allem diese drei Felder ausschlaggebend:

1. Miete, Kauf oder Verkauf

Bevor Sie Ihr Auto weitergeben oder verkaufen, sollten Sie es immer auf die Werkseinstellungen zurücksetzen. Auf diese Weise löschen Sie tatsächlich Ihre Daten und trennen auch die Verbindung zur App. Umgekehrt gilt dies natürlich auch, wenn Sie einen Gebrauchtwagen kaufen. In diesem Fall sollte der Vorbesitzer die Rücksetzung und die Entfernung seines Kontos durchgeführt hat.

Darüber hinaus sind auch die herstellerspezifischen Tipps zu beachten. Gerade bei einem Ford sollten Sie sogar als Leasingnehmer oder Mieter sehr wachsam sein. Bei Tesla lässt sich die Datenweitergabe deaktivieren.

In diesem Fall kann es aber passieren, dass das Auto nur noch eingeschränkt funktioniert, stark beschädigt wird oder gar nicht mehr einsatzbereit ist, so jedenfalls warnt Tesla seine „Datenmuffel“.

2. Während der Nutzung

Eine Zustimmung zu personalisierter Werbung sollten Sie nicht erteilen. Den Verkauf Ihrer personenbezogenen Daten können Sie deaktivieren. Gleiches gilt für kontextübergreifende, verhaltensbezogene Werbung. Achten Sie darauf, dass Sie wirklich „starke Passwörter“ setzen. Jene Dienste und Apps, die eine Verbindung zum Auto aufbauen, sollten mit einer Zwei-Faktor-Authentifizierung eingerichtet werden.

Einen Zugriff auf Ihre Daten darf ausschließlich vertrauenswürdigen Dritten erteilt werden. Die iOS- oder Android-Einstellungen bieten die Möglichkeit, die Datenmenge, die über das Smartphone gesammelt wird, zu begrenzen.

Dies sollten Sie tun, wenn Sie eine mobile App mit dem Fahrzeug verbinden. Sobald Ihr Fahrzeug den Zugriff auf Android Auto, Apple CarPlay, Google und/oder Alexa Auto hat, kann es zu massiven Datenschutzverletzungen kommen.

Unabhängig von der Diskussion um Fahrzeug-Apps sollten Sie besser grundsätzlich die Standortfreigabe Ihres Mobilgeräts deaktivieren. Sobald Sie Amazon Alexa in Ihrem Fahrzeug verwenden, wird Amazon die IP-Adresse und Geolokalisierungsinformationen nutzen und Ihnen „zielgerichtete“ Werbung schicken.

3. Es liegt nicht unbedingt am Auto

Der einfachste und zugleich effektivste Weg für Datensicherheit in diesem Bereich wäre nicht Auto zu fahren. Diese Lösung mag im Interesse bestimmter Gruppen sein, ist im Alltag aber oft nicht umsetzbar. Zudem ist unbekannt, welche Daten Busse, Bahnen und Flugzeuge sammeln.

Auch das Fahren eines Autos von einem anderen Hersteller ist eher keine Lösung, denn vermutlich sammeln diese die gleichen Informationen über Kunden und Fahrer.

Alternativ bleibt, ein Auto zu fahren, welches garantiert nicht vernetzt ist. Die deutsche Automobilgeschichte bietet dafür reichlich Auswahl: Käfer, Bulli, Trabi, um nur einige zu nennen. Auch BMW und Mercedes produzierten vor Jahren noch Autos, die man ohne Computerausbildung fahren und reparieren konnte. Wer dann allerdings sein Handy ständig mitnimmt, läuft Gefahr, seine Daten dennoch preiszugeben.

Welche Daten werden von Autos in den Äther geschickt?

Oh ja, da fragt man sich wirklich, wofür die das brauchen. All diese Daten lassen jedenfalls Rückschlüsse auf den Fahrer und auf sein Fahrverhalten zu. Die folgende Datenflut wird erhoben und gespeichert (ohne Anspruch auf Vollständigkeit):

• Kilometerstand
• Geschwindigkeit
• Drehzahlen des Motors
• Anzahl der Betätigungen des Blinkers
• Abbremsverhalten
• Weitere Verkehrsdaten wie Auf- und Zuschließen des Autos oder die Sitzpositionen des Fahrers

Welche Autos haben eine Black Box?

Seit dem 6. Juli 2022 müssen sämtliche neuen Fahrzeuge mit einer Blackbox ausgestattet werden und ab dem 7. Juli 2024 ist eine Blackbox auch in den neu zugelassenen Fahrzeugen Pflicht (EU-Verordnung 2019/2144). Dies betrifft die Klassen M1 (Pkw) und die Klassen N1 (Nutzfahrzeuge bis 3,5 Tonnen).

Sinn der Sache, so wird es uns jedenfalls weisgemacht, ist die Sammlung und Bereitstellung von Daten, um einen Unfallhergang genau rekonstruieren zu können. Durch die Synchronisation mit einem Smartphone können zum Beispiel Daten über den Füllstand, die Verriegelung, die Standortsuche oder die Ferndiagnose zum Fahrzeug versendet werden. Derartige Informationen werden auch bei Aktivierung des automatischen Notrufsystems „E-Call“ gesendet.

Während der Fahrt erfasst das Navigationssystem per GPS permanent die aktuelle Position des Fahrzeugs, wodurch Sie zum Beispiel (hoffentlich) rechtzeitig über einen Stau oder Notruf informiert werden. Verschiedene Sensoren messen überdies Ihre Geschwindigkeiten und Beschleunigungen sowie die gefahrenen Zeiten, um diese Daten im Speicher abzulegen.

Wem gehören eigentlich die Daten aus dem Auto?

Das Bundesdatenschutzgesetz (BDSG) sagt ganz klar dazu, dass die Daten stets dem „Betroffenen“ gehören, also mit Bezug auf ein Kfz ist der Fahrer beziehungsweise Halter des Autos gemeint.

Je mehr Elektronik, desto mehr Überwachung der Bürger

Die modernen Autos sind schon seit geraumer Zeit mit Elektronik und Kabelsträngen vollgestopft, was sie auch so schwer macht. Wir alle bewegen uns in rollenden Großrechnern mit mehr als 100 peripheren Steuergeräten, die ständig Daten sammeln und weiterverarbeiten.

Wir dürfen unser Auto also mit Fug und Recht als Datenkrake bezeichnen. Vielleicht haben wir es ja auch nicht anders verdient, legen wir doch so viel Wert darauf, moderne Menschen zu sein.

Die Daten der Blackbox werden lokal im „Event Data Recorder“ (EDR) gespeichert. Dieser ist mit dem Steuergerät des Airbags verbunden, damit die bei einem Unfall relevanten Daten für den Zeitraum zwischen fünf Sekunden vor und 0,3 Sekunden nach dem Unfall via OBD2-Port ausgelesen werden können.

Zwar liegt die Datenhoheit in der Hand des Fahrzeughalters, doch zur Beweissicherung kann der Staatsanwalt beziehungsweise ein Gericht die Auswertung der Daten mithilfe eines Gutachtens einfordern.

Die Datensammelwut der Fahrzeughersteller ist unergründlich

Die meisten Autofahrer wissen nicht, welche Daten wann und zu welchem Zweck erhoben werden. Eine Einsichtnahme wird ihnen auch nicht gewährt, sofern sie sich überhaupt für das Thema interessieren.

Im Jahr 2016 machte der ADAC diesbezüglich Stichproben mit dem Ergebnis, dass zum Beispiel die B-Klasse von Mercedes im Zweiminutentakt unter anderem die GPS-Position, die Tankfüllung, den Reifendruck und den Ölstand ans Werk funkt.

Immer nach dem Abschalten der Zündung sendet der BMW i3 den aktuellen Stand des Fehlerspeichers, den Ladezustand der Batterie und die gewählten Fahrmodi an die Bayerischen Motorenwerke. Der Renault Zoe sendet alle 30 Minuten den Batteriestatus und den Fahrzeugstandort an die Zentrale.

Wie finden die Deutschen eigentlich den Blackbox-Zwang?

Der Deutsche Verkehrssicherheitsrat (DVR) beauftragte zur Klärung dieser Frage das Marktforschungsunternehmen Ipsos, das Ende 2017 artig eine repräsentative Umfrage bei circa 2000 Erwachsenen durchführte, 1500 davon besaßen einen Autoführerschein.

Im Ergebnis sprachen sich 34 Prozent für den verpflichtenden Einbau eines Unfalldatenspeichers (UDS) aus, nachdem der DVR dazu erklärt hat, dass sich Unfalldatenspeicher automatisch nach wenigen Sekunden löschen, aber nach einem Unfall beweiskräftige Daten zur Verfügung stellen.

Etwas mehr als 42 Prozent plädierten dafür, dass der Einbau einer Blackbox immer freiwillig geschehen sollte und 14 Prozent halten die Blackbox nur in Firmenwagen für sinnvoll.

Inzwischen sind schon sehr viele Fahrzeuge mit einer Blackbox ausgestattet, denn seit Mitte 2022 werden neue Modelle für den Markt nur damit zugelassen. Die Modelle S und X von Tesla sind prominente Beispiele für all die Fahrzeuge, die bereits ab Werk mit solch einer Blackbox ausgestattet sind.

Im Mai 2016 fand ein tödlicher Unfall zwischen einem Lkw und einem Tesla Model S statt. Auf der Datengrundlage der Blackbox konnte das Unfallgeschehen rasch aufgeklärt werden. Der Autopilot des Tesla hatte den Lkw als hochhängendes Schild interpretiert und sah keinen Grund für die Einleitung einer Bremsung.

Und der Fahrer des Tesla dachte nicht daran, selbst abzubremsen, denn er schaute sich gemütlich eine Harry-Potter-DVD an, schöne neue, bunte, digitale Welt.

In einem anderen Fall raste die Fahrerin eines Tesla Model X ungebremst auf die Wand eines Kaufhauses zu. Sie verwies danach auf die Fehlfunktion des Assistenzsystems. Die Auswertung der Fahrzeugdaten zeigte allerdings, dass diese Systeme während der Fahrt gar nicht eingeschaltet waren.

Eine Studie der „National Highway Traffic Safety Administration“ (NHTSA) hat nachgewiesen, dass allein schon die Installation einer Blackbox dazu führt, Unfallzahlen zu senken. Sehr wahrscheinlich wird sich die Datensammlung im Auto immer weiter ausweiten, die smarte digitale Zukunft ist nicht mehr aufzuhalten, weil damit einfach zu viel zu verdienen ist.

Gibt es für den Autofahrer eigentlich Möglichkeiten, das Versenden von Daten via Blackbox an den Fahrzeughersteller abzuschalten?

Viele moderne Fahrzeuge bieten Einstellungen zur Datenfreigabe oder -übertragung. Durchsuchen Sie das Menü des Fahrzeugs, um festzustellen, ob es überhaupt Optionen gibt, mit denen Sie die Datenübermittlung steuern können. Die Einstellungen im Infotainment-System oder in den Fahrzeugoptionen bieten oftmals die Möglichkeit, die Datenübertragung gezielt einzuschränken.

Wie Sie grundsätzlich die Datenschutzeinstellungen konfigurieren können, gibt das Handbuch des Fahrzeugs her. Einige Hersteller bieten auf ihrer Webseite oder über den Kundendienst durchaus einen Service an, wenn Sie Fragen zur Einschränkung oder Deaktivierung der Datenübermittlung haben.

Es lohnt sich auf jeden Fall, regelmäßig zu prüfen, ob neue Software-Updates für Ihr Fahrzeug verfügbar sind. Diese Updates können in der Tat Einstellungen zur Datenschutzkontrolle oder zur Deaktivierung bestimmter Übertragungen enthalten. Prüfen Sie auch die Möglichkeit, bestimmten Datenübertragungen durch das Widerrufen von Einwilligungen beim Hersteller zu widersprechen.

Auf dem Markt sind darüber hinaus Geräte von Drittanbietern im Angebot, die die Datenübertragung von Fahrzeugen beschränken oder sogar ganz blockieren. Zu beachten ist dabei aber, dass die Verwendung solcher Tools möglicherweise Auswirkungen auf die Funktionalität bestimmter Fahrzeugfunktionen haben kann.

Es gibt auch fahrzeugunabhängige Diagnosegeräte, die keine Daten an einen Fahrzeughersteller senden. Diese ermöglichen grundlegende Diagnosefunktionen ohne Versand der Daten.

Wer sich in der Sache an bestimmte Dienstleister wendet, die sich auf Fahrzeugtechnologien spezialisiert haben, sollte beachten, dass gewisse Anpassungen einen Einfluss auf die Garantiebedingungen haben können.

Weitere Informationen zu diesem Thema finden Sie zum Beispiel auf diesen Webseiten:

• https://exkulpa.de/datenschutz/datenverarbeitung-im-auto/#t-1652861017353/
• https://goodtravelsoftware.com/

Übrigens: Wenn Sie solche Informationen interessieren, dann fordern Sie unbedingt meinen kostenlosen Praxis-Newsletter „Unabhängig. Natürlich. Klare Kante.“ dazu an:

Dieser Beitrag wurde am 15.11.2023 erstellt.