Schon lange ist klar: Vernetzte Autos sammeln viele Daten von uns. Doch welche genau? Das verraten die Hersteller nur sehr vage. Gegenüber ihren eigenen Kunden und Kundinnen sind sie hingegen auskunftspflichtig. Netzpolitik.org hat deshalb zu einem Trick gegriffen: Es bat Autofahrer:innen, bei den Herstellern ihre gespeicherten Daten einzufordern und sie an netzpolitik.org zu spenden.

Auf diese Weise kamen fünf Datensätze von Mercedes-Benz, Volkswagen und BMW zusammen. Die kleine Stichprobe ließe zwar keine Rückschlüsse auf die gesamte Flotte einzelner Hersteller zu, betonen die Auswerter. Aber sie liefere immerhin „Anhaltspunkte darüber, in welcher Fülle und Vielfalt die Konzerne Daten sammeln“.

So speichert Mercedes etwa metergenaue Positionsdaten über drei Monate hinweg. Daraus lässt sich das halbe Leben eines Menschen herauslesen: Wo er wohnt, wann er arbeitet, wie oft er einkauft, in welchen Kindergarten seine Kinder gehen. Mehr noch: Einem Datenspender konnte das Netzpolitik-Team auf den Kopf zusagen, dass er einen Hund hat. Die Indizien: „Er fährt regelmäßig bei einem Tierfuttergeschäft vor. Außerdem fährt er regelmäßig morgens und mittags zu einem Parkplatz nahe eines Kanals. Dort bleibt er meist etwa eine halbe Stunde. Auf Anfrage bestätigte er uns, dass er an dem Kanal seinen Hund ausführt.“

Beim Kauf hatte er der Datennutzung zugestimmt, um die komfortable App nutzen zu können. Allerdings dürfte ihm wie den meisten anderen nicht klar gewesen sein, wie viele Daten er damit tatsächlich freigegeben hat. „Die Automobilkonzerne speichern sehr viele Daten, sie bewahren sie teilweise sehr lange auf und versuchen über die Nutzung der Daten exklusiv zu bestimmen“, fasst netzpolitik.org die Lage zusammen. „Hinzu kommt, dass sie den Kund:innen keinen guten Überblick geben, welche Datenarten genau gespeichert werden und die Daten teilweise nicht aufgrund von informierter Einwilligung, sondern aufgrund von ‚berechtigtem Interesse‘ speichern.“ (Die umstrittene Rechtsgrundlage „berechtigtes Interesse“ erfordert keine explizite Zustimmung.)

Bei einigen erhobenen Daten geht es lediglich um technische Details sie wie den Stand des Scheibenwischertanks, dem Reifendruck oder dem Status der Handbremse. Andere Daten können hingegen Aufschluss über Identität und Fahrstil geben – etwa Sitzeinstellung, Beschleunigungs- und Verzögerungswerte. Es wäre denkbar, dass Hersteller oder Versicherungen solche Informationen auch gegen die eigene Kundschaft einsetzen – etwa, wenn es um die Kulanz bei Schäden geht oder um Schuldfragen bei einem Unfall.

Worin genau das „berechtigte Interesse“ der Konzerne an diesen Daten bestehen und wie sich das alles mit dem Prinzip der Datensparsamkeit vereinbaren lassen soll, ist fraglich. „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“, heißt es dazu in Artikel 5 der Datenschutzgrundverordnung (DSGVO).

Wie wichtig dieses Prinzip ist, zeigte sich erst Ende vergangenen Jahres, als Bewegungsdaten von hunderttausenden Fahrzeugen der Volkswagen-Gruppe weitgehend ungeschützt im Netz auftauchten. Wirklich sicher vor solchen Leaks sind nur Daten, die gar nicht erst erhoben werden.

Bei Tesla ist der Fernzugriff auf die Fahrzeuge offenbar noch umfassender, wie sich spätestens beim Anschlag mit einem Cybertruck Anfang Januar in Las Vegas zeigte. Das Unternehmen öffnete aus der Ferne die Türen und übergab Ermittlungsbehörden Aufnahmen der bordeigenen Kameras. „Der Fall belegt, wie umfassend das Unternehmen das Fahrverhalten, die Reisewege und offenbar auch Innen- und Außenaufnahmen seiner Kunden protokolliert“, kommentiert die tesla/30152918.html">Wirtschaftswoche. „Und, dass diese Daten – entgegen der Beschwichtigungsversuche des Konzerns – bei Tesla eben nicht anonymisiert gespeichert werden, sondern ganz konkret einzelnen Fahrern zuzuordnen sind.“

Auch zuvor schon waren bei Tesla intime Videos firmenintern in Umlauf gekommen. Bei solchen Kameraufnahmen kommt noch ein weiterer Apsket hinzu: Sie betreffen auch unbeteiligte Dritte, wenn sie in den Blick der Bordkameras geraten.

Das rechtliche Instrument dagegen ist längst da – nämlich das Gebot der Datensparsamkeit in der DSGVO. Es wird Zeit, es auch durchzusetzen.