Die Datenspuren, die wir hinterlassen, haben längst große Teile unseres Alltags erobert und gehen weit über Smartphones und Computer hinaus – das beste Beispiel dafür sind unsere Autos und das Internet der Dinge. Wer so umfassende Daten hat, kann leicht unsere Vorlieben analysieren oder unser Verhalten vorhersagen. Wir fordern daher mehr Transparenz und Selbstbestimmung darüber, welche Daten Unternehmen überhaupt sammeln und verarbeiten dürfen, sowie Zugang zu den Daten, die wir selbst produzieren – z.B. im eigenen Auto.

Eine gute Basis – mit Luft nach oben

In Europa haben wir im weltweiten Vergleich zum Glück relativ hohe Standards für den Schutz unserer Privatsphäre, z.B. durch die Datenschutzgrundverordnung (DSGVO). Diese müsste aber noch viel besser durchgesetzt werden. Dass das nicht ausreichend der Fall ist, liegt u.a. daran, dass sich nationale Datenschutzbehörden, wie z.B. die irische (die u.a. für den Facebook-Konzern Meta und TikTok verantwortlich ist) oft querstellen. Die irische Behörde versucht gerade sogar, Datenschutzverfahren den Augen der Öffentlichkeit weitgehend zu entziehen. Auch das Ausmaß, in dem uns private Unternehmen immer noch tracken und analysieren, zeigt, dass wir beim Schutz der Privatsphäre noch nicht auf einem Niveau sind, das unsere Grundrechte ernst nimmt. Es bleibt also noch viel zu tun!

Doch dank der Arbeit von vielen engagierten Menschen erzielen wir immer wieder neue Erfolge. Das gibt Hoffnung und Mut. Dazu gehört z.B. ein Recht auf Schadenersatz, das der EuGH Nutzer:innen, die durch Datenschutzverstöße Schäden erlitten haben, erst kürzlich eingeräumt hat – angestoßen durch Aufdeckungen um den österreichischen Postskandal. Auch skrupellose Werbe- & Profilingfirmen kommen nicht ungeschoren davon, das Unterschlagen von Nutzer:innendaten durch Unternehmen oder das Umgehen der DSGVO hat Konsequenzen und der diskriminierende AMS-Algorithmus ist vorerst ausgesetzt.

Fahrende Spione?

Moderne Autos sind oft mit allerlei Technik ausgestattet. Daran ist prinzipiell nichts falsch. Kann eine gute Motorsteuerung doch z.B. die Effizienz oder ein Fahrassistent oder automatischer Notruf die Sicherheit erhöhen.

Doch welche Daten sammeln aktuelle Autos eigentlich? Und wer hat Zugriff auf die Informationen, wie ich mein Auto benutze? Wann und wie oft, mit wie vielen Mitfahrenden? Wo ich mich mit dem Auto bewege, wie mein Fahrstil ist? Welche Musik ich gerne höre oder welche Kontakte in meinem Telefonbuch gespeichert sind? Daten dazu gibt es im Auto zu Hauf: „technische“ Daten zu Nutzung und Fahrstil wie Drehzahl, Geschwindigkeit, GPS-Daten, Gurtstraffungen, Anzahl der Personen im Auto, Öffnen von Türen aber auch die umfangreichen Daten aus dem Infotainmentsystem.

Selbstbestimmung & Transparenz

Was u.a. alles erfasst wird, hat z.B. kürzlich der ADAC getestet. Manches davon ist auch gesetzlich vorgeschrieben, wie z.B. in der ab 2024 verpflichtenden „Blackbox“. Moderne Autos brauchen die Daten ihrer Mess- und Steuerinstrumente natürlich, um zu funktionieren. Auch für die Werkstatt sind solche Diagnosedaten wichtig. Dazu würde es vermutlich aber ausreichen, die Daten lokal im Auto zu speichern.

Wie viel davon bleibt nun aber wirklich im Auto und wie viel wandert direkt zum Hersteller? Wie werden die Daten analysiert und verarbeitet, an wen womöglich weitergegeben? Über diese Fragen wissen im Moment oft nur die Autohersteller selbst Bescheid. Ein Mitspracherecht der Autobesitzer:innen gibt es de facto nicht. Fest steht jedoch: Wenn die Daten aus dem Auto mit einer Fahrzeugidentifikationsnummer oder einem KFZ-Kennzeichen verknüpft werden können, lassen sie umfassende Rückschlüsse auf die Fahrer:innen zu. Sogar unterschiedliche Fahrer:innen desselben Autos könnten z.B. einfach anhand von Fahrersitzeinstellungen o.ä. unterschieden werden.

Aufgrund dieser Tragweite sollte jede:r selbst bestimmen können, ob, wie und von wem die Daten, die so konkrete Rückschlüsse auf die eigene Person zulassen, analysiert und weiterverarbeitet oder sogar weitergegeben werden dürfen. Wir fordern daher auch Transparenz darüber, welche Daten überhaupt erhoben und gespeichert werden, wie sie verarbeitet und an wen sie weitergeleitet werden. Denn nur wer weiß, welche Informationen potenziell verarbeitet werden, kann dieser möglichen Verarbeitung und Weiterleitung an den Hersteller oder seine Partner zustimmen oder eben nicht.

Selbstbestimmung, Wettbewerb & Reparatur

Gebrauchsgegenstände müssen ab und an repariert werden. Gutes Technikdesign und allgemeine Verfügbarkeit von Ersatzteilen kann das stark erleichtern. Beim Auto hängt dieses „Recht auf Reparatur“ inzwischen auch stark vom Zugang zu den internen Systemen im Auto und ihren Daten ab. Wir fordern daher, dass auch Autobesitzer:innen selbst auf die Daten Zugriff haben und frei über sie verfügen können – sodass sie sie z.B. der Werkstatt ihrer Wahl zur Verfügung stellen oder Tüftler selbst einfache Reparaturen durchführen können. Erleichtern könnte das z.B. der EU Data Act.

Derzeit nutzen aber viele Autohersteller diese Abhängigkeit und künstlichen Hürden in digitalen Systemen aus, um einen Wettbewerbsvorteil zu erlangen. So legen sie z.B. freien Werkstätten Steine in den Weg. Zugang zu relevanten Fahrzeuginformationen für Kund:innendienst und Reparaturen bekommen die Werkstätten dann oft nur, wenn sie hohe Preise dafür bezahlen. Das muss sich ändern!

IT-Sicherheit – auch im Auto

Die Vernetzung von Fahrzeugen birgt auch ein hohes Sicherheitsrisiko. Fahrzeugbordnetzte sind daher üblicher Weise aufgeteilt, sodass z.B. über ein mit dem Auto verbundenes kompromittiertes Smartphone trotzdem nicht einfach auf kritische Systeme wie Motor oder Bremsen zugegriffen werden kann.

Angreifer:innen dürften sich aber eher für die Serverstruktur der Autohersteller interessieren, wo die Daten von unzähligen Fahrzeugen zusammenlaufen, als für einzelne Fahrzeugen. Werden Daten vom eigenen Auto also an den Hersteller gesendet, muss man sich nicht nur auf die rechtmäßige Verarbeitung durch den Hersteller verlassen, sondern auch auf seine IT-Sicherheitsvorkehrungen. Es soll übrigens auch vorkommen, dass Hersteller selbst die Daten von Millionen Autobesitzer:innen unabsichtlich öffentlich machen (Englisch).

Schutz der Privatsphäre von Beginn an

Im Fall von Autos, die auch die Umgebung überwachen, wie z.B. Teslas es tun, werden nicht nur sensible Daten der Menschen im Auto gesammelt, sondern auch von allen, die einfach nur am Auto vorbeifahren oder -gehen. Tesla gehört zwar zu den Unternehmen, die damit werben, dass „deine Daten dir gehören“, wertet aber trotzdem zu „Analysezwecken“ alle möglichen Daten inkl. Kameraaufnahmen aus – scheinbar auch während das Auto geparkt ist. Umso beunruhigender wenn das betreffende Unternehmen nicht einmal die Daten der eigenen Mitarbeiter:innen ordentlich schützt.

Statt nach einer Klage selbst Maßnahmen für die Einhaltung der DSGVO zu ergreifen, wälzt Tesla die Verantwortung aber einfach auf die Autobesitzer:innen ab. Dem könnte man z.B. entgegenwirken, indem man gleich bei Zulassungsverfahren von automatisierten Fahrfunktionen (die Kameras nutzen) den Datenschutz und die Privatsphäre der Betroffenen miteinbezieht. Das wäre unserer Meinung auch für „Sicherheitsfunktionen“ wie Teslas „Wächtermodus“ oder andere Systeme, die potenziell sensible Daten sammeln, denkbar und sinnvoll.

Hilf mit!

Trotz der umfangreichen Informationen, die moderne Autos über uns verraten, gibt es in dem Bereich noch sehr wenig Rechtsprechung zum Schutz unserer Privatsphäre. Teilweise wissen wir auch gar nicht genau, was Autohersteller alles sammeln und was sie damit machen. Wir wollen, dass sich das ändert. Ein erster Schritt dahingehend ist, herauszufinden, wie Autohersteller Daten sammeln und verarbeiten.

Hilf auch du mit für mehr Transparenz und gegen die Ausbeutung von Daten über unsere Gewohnheiten! Wie? Stell einfach mit dieser Vorlage ein Auskunftsersuchen an deinen Autohersteller! Mehr dazu hier. Die Crowdrecherche von netzpolitik.org ist zwar auf bestimmte Hersteller eingeschränkt, wir ermutigen aber auch alle anderen Besitzer:innen von (neueren) Autos, ein Auskunftsersuchen zu stellen. Die Hersteller müssen euch die Informationen laut DSGVO innerhalb eines Monats kostenlos zur Verfügung stellen. Lasst uns von unseren Rechten Gebrauch machen!