Spione auf Rädern: Wie Autohersteller Daten erfassen und weiterverkaufen

Welche persönlichen Daten sammeln moderne Autos über Sie und wie können Sie verhindern, dass Ihr Fahrzeug überwacht oder gehackt wird?

Was denken Sie: Welches Ihrer Besitztümer sammelt am eifrigsten Ihre persönlichen Daten, um sie zu analysieren und weiterzuverkaufen?

Ihr Auto! Laut Experten der Mozilla Foundation kommen weder Smartwatches, Smart Speakers, Überwachungskameras noch andere Geräte, die im Rahmen des Projekts Privacy Not Included analysiert wurden, an die Datenmengen moderner Autos heran. In diesem Projekt untersuchen Experten Benutzervereinbarungen und Datenschutzrichtlinien, um zu verstehen, wie die persönlichen Daten der Gerätebesitzer verwendet werden.

Zum ersten Mal in der Geschichte des Projekts erhielten absolut alle (25 von 25) untersuchten Automarken eine „Rote Karte“ für die unerträglich umfangreiche Erhebung personenbezogener Daten, mangelnde Transparenz bei deren Verwendung sowie ihre schlecht dokumentierten Datenübertragungs- und Speicherpraktiken (so ist beispielsweise nicht bekannt, ob eine Verschlüsselung verwendet wird). Schlimmer noch, 19 von 25 Marken geben offiziell an, dass sie die von ihnen gesammelten Informationen weiterverkaufen können. Das i-Tüpfelchen solcher Datenschutzverletzungen besteht darin, dass Autobesitzer fast keine Möglichkeit haben, der Datenerfassung und -übertragung zu widersprechen: Nur zwei Marken, Renault und Dacia, räumen den Besitzern das Recht ein, die erfassten persönlichen Daten zu löschen. Allerdings ist es gar nicht so einfach herauszufinden, ob es sinnvoll ist, von diesem Recht Gebrauch zu machen.

Tief in den Lizenzverträgen vergraben, die Autokäufer normalerweise akzeptieren, ohne sie zu lesen, kommt es zu äußerst empörenden Verletzungen der Persönlichkeitsrechte. Zum Beispiel die Zustimmung des Besitzers, seine sexuellen Vorlieben und genetischen Informationen weiterzugeben (Nissan), die Offenlegung von Informationen auf formlose Anfrage von Strafverfolgungsbehörden (Hyundai) sowie die Erhebung von Daten über zum Stresspegel – alles zusätzlich zu 160 weiteren Datenkategorien, die absichtlich vage Namen tragen wie „demografische Daten“, „Bilder“, „Zahlungsinformationen“, „Geostandort“ usw.

Am schlechtesten schnitt bei den Bewertungen die Marke Tesla ab, die neben all den anderen möglichen Strafpunkten das Sonderlabel „Untrustworthy AI“ erhielt.

So werden Daten im Auto erfasst

Moderne Autos sind buchstäblich vollgestopft mit Sensoren – von Motor- und Fahrwerkssensoren, die Dinge wie Motortemperatur, Einschlagwinkel oder Reifendruck messen, bis hin zu interessanteren Sensoren wie Umgebungs- und Innenraumkameras, Mikrofonen und Handsensoren am Lenkrad.

Alle sind über einen einzigen Bus angeschlossen, sodass der Hauptcomputer des Fahrzeugs alle diese Informationen zentral erhält. Darüber hinaus sind alle modernen Autos mit GPS- und drahtlosen Kommunikations-, Bluetooth- und WLAN-Modulen ausgestattet. Die Verfügbarkeit von Mobilfunk und GPS ist in vielen Ländern gesetzlich vorgeschrieben (um bei einem Unfall automatisch Hilfe zu rufen), aber die Hersteller verwenden diese Funktion sehr gerne zum Wohle des Fahrers – und zu ihrem eigenen Vorteil. Sie können Routen auf dem Bildschirm des Autos planen, Störungen aus der Ferne diagnostizieren, das Auto im Voraus starten… Und natürlich eröffnet die Brücke „Sensoren und Kameras → Autocomputer → Mobilfunknetz“ einen permanenten Kanal für die Erfassung von Informationen: wohin Sie fahren, wo und wie lange Sie parken, wie stark Sie das Lenkrad einschlagen oder beschleunigen, ob Sie den Sicherheitsgurt anlegen und so weiter.

Weitere Daten werden außerdem vom Smartphone des Fahrers erfasst, wenn es mit dem Bordsystem des Fahrzeugs verbunden ist, um Anrufe zu tätigen, Musik zu hören, zu navigieren usw. Und wenn das Smartphone mit einer mobilen App des Autoherstellers zur Steuerung von Autofunktionen ausgestattet ist, können Daten auch dann gesammelt werden, wenn sich der Fahrer gar nicht im Auto befindet.

Mithilfe von Kameras, Mikrofonen, WLAN-Hotspots und Bluetooth-Funktionen können wiederum Informationen über die anderen Fahrzeuginsassen gesammelt werden. Mit ihnen lässt sich leicht herausfinden, wer regelmäßig mit dem Fahrer im Auto unterwegs ist, wann und wo sie ein- und aussteigen, welches Smartphone sie verwenden usw.

Wofür benötigen Automobilhersteller diese Informationen?

Um damit Geld zu verdienen. Abgesehen von Analysen zur „Verbesserung der Qualität von Produkten und Dienstleistungen“ können die Daten weiterverkauft und die Fahrzeugeigenschaften angepasst werden, um den Gewinn für den Hersteller zu steigern.

Beispielsweise kaufen Versicherungsunternehmen Informationen über den Fahrstil eines bestimmten Fahrers, um die Wahrscheinlichkeit von Unfällen genauer vorherzusagen und die Preise für Versicherungen anzupassen. Bereits im Jahr 2020 waren 62 % der Autos werksseitig mit dieser umstrittenen Funktion ausgestattet, bis 2025 sollen es 91 % sein.

Marketingunternehmen verwenden solche Daten auch gerne für gezielte Werbung, die auf dem Einkommen, dem Familienstand und dem sozialen Status des Eigentümers basiert.

Aber auch ohne den Weiterverkauf persönlicher Daten gibt es viele andere unangenehme Szenarien, mit denen man Daten zu Geld machen kann, z. B. das Aktivieren oder Deaktivieren zusätzlicher Autofunktionen durch Abonnements, wie es BMW mit der Sitzheizung erfolglos versucht hat, oder der Verkauf teurer Autos auf Kredit mit erzwungener Fahrzeugsperrung bei Zahlungsausfall.

Warum sind Datensammlung und Telematik außerdem kritisch zu sehen?

Auch wenn Sie der Meinung sind, dass „Werbung in Ordnung“ ist und „die gar nichts Interessantes über mich erfahren“, sollten Sie die zusätzlichen Risiken bedenken, denen Sie und Ihr Auto durch die oben beschriebenen Technologien ausgesetzt sind.

Datenlecks. Die Hersteller erfassen aktiv Ihre Daten und speichern sie dauerhaft – ohne ausreichenden Schutz. Erst kürzlich gab Toyota zu, dass Daten aus zehn Jahren durchgesickert seien, die alle in Millionen von Cloud-fähigen Fahrzeugen gesammelt wurden. Bei Audi waren Informationen von 3,3 Millionen Kunden gehackt worden. Auch andere Autohersteller wurden Opfer von Datenschutzverletzungen und Cyberangriffen. Wenn so viele persönliche Daten in die Hände echter Krimineller und Betrüger geraten statt nur Marketingspezialisten, kann dies eine Katastrophe bedeuten.

Diebstahl. Bereits 2014 haben wir die Möglichkeit untersucht, ein Fahrzeug über Cloud-Funktionen zu stehlen. Seit 2015 ist klar, dass die mögliche Übernahme eines Autos durch Kriminelle keine futuristisch anmutende Fantasie, sondern harte Realität ist. In den letzten Jahren wurde bei Autodiebstählen immer häufiger die Fernübertragung von Signalen legitimer Schlüsselanhänger ausgenutzt, aber die Häufigkeit von „TikTok-Entführungen“ von Modellen der Marken KIA und Hyundai im letzten Jahr basierte auf den intelligenten Funktionen des Autos. Alles, was der Dieb tun musste, war einen USB-Stick einzustecken.

Überwachung von Angehörigen. Wenn das Auto nicht Ihnen, sondern einem Verwandten oder dem Arbeitgeber gehört, kann der Besitzer den Standort des Autos verfolgen, geografische Beschränkungen für die Nutzung festlegen, Geschwindigkeitsbegrenzungen und zulässige Lenkzeiten festlegen und sogar die Lautstärke des Audiosystems regeln! Viele Automarken wie Volkswagen und BMW bieten solche Funktionen an. Wie wir aus unseren Stalkerware-Untersuchungen und den jüngsten Skandalen rund um das AirTag-Tracking wissen, sind solche Funktionen geradezu eine Einladung zum Missbrauch.

Wie lassen sich die Risiken begrenzen?

Aufgrund der Größe des Problems gibt es keine einfachen Lösungen. Wir haben daher hier eine Reihe von Optionen zur Risikominderung zusammengestellt, in absteigender Reihenfolge der Radikalität der Maßnahmen:

  1. Gehen Sie zu Fuß oder fahren Sie mit dem Fahrrad.
  2. Kaufen Sie ein altes Automodell. Fast alle vor 2012 hergestellten Autos verfügen über sehr begrenzte Möglichkeiten zur Datenerfassung und -übertragung.
  3. Kaufen Sie ein Auto mit einer minimalen Anzahl an „intelligenten“ Sensoren und/oder ohne Kommunikationsmodul. Einige Hersteller bieten Basiskonfigurationen mit eingeschränkten Funktionen an, aber dazu müssen Sie das Benutzerhandbuch sehr genau studieren. Das Fehlen eines speziellen Kommunikationsmoduls (GSM/3G/4G) im Auto ist ein sicheres Zeichen für seine begrenzten Fähigkeiten. Beachten Sie, dass immer mehr Autos bereits in der Grundausstattung über Smart-Funktionen verfügen (den Anfang machten in dieser Entwicklung die Smart-TVs – sie verdienen Geld mit der Erfassung und dem Verkauf von Daten).
  4. Installieren Sie die mobile App Ihres Autos nicht auf dem Smartphone. Natürlich ist es oft praktisch, das Auto über das Smartphone zu starten oder es vor dem Einsteigen warmlaufen zu lassen, aber ist es notwendig, für diese Funktionen mit sehr persönlichen Informationen zu bezahlen – zusätzlich zu dem Geld, das Sie ohnehin schon ausgeben? Darüber kann man sicherlich trefflich streiten.
  5. Lassen Sie die Kopplungsfunktionen CarPlay von Apple oder Android Auto deaktiviert. Wenn diese Funktionen aktiviert sind, erhält der Hersteller des Betriebssystems Ihres Smartphones alle möglichen Informationen aus dem Auto, und das Auto ruft wiederum Informationen vom Telefon ab.
  6. Verbinden Sie das Auto nicht per Bluetooth oder WLAN mit Ihrem Telefon. Auch auf diese Weise verlieren Sie einige Funktionen, aber zumindest sendet das Auto keine Informationen über das Telefon an den Hersteller und lädt auch nicht das Adressbuch des Telefons oder andere persönliche Daten herunter. Ein Kompromiss wäre, dass Sie eine Bluetooth-Verbindung nur für die Protokolle „headset“ und „headphones“ herstellen: Dann können Sie die Musik von Ihrem Telefon über die Autolautsprecher wiedergeben, aber andere Datentypen (z. B. das Adressbuch) werden nicht übertragen.
  7. Ein zusätzlicher Tipp, der die vorherigen nicht ausschließt: Mozilla schlägt vor, eine Sammelpetition an die Autohersteller zu unterzeichnen, in der diese aufgefordert werden, ihr Geschäftsmodell zu ändern und kein Geld mehr mit dem Ausspionieren ihrer Kundschaft zu verdienen. Alle Macht den Petitionsteilnehmern!
Tipps