Autohersteller sammeln „genetische Informationen“ und „sexuelle Vorlieben“ von Fahrern und Insassen

Mozilla ist meist nur durch die Webbrowser Firefox und Thunderbird bekannt. Doch die gemeinnützige Stiftung tut mehr und untersucht im Rahmen ihres Formats „*Privacy not inluded“ (*PNI, Datenschutz nicht inbegriffen) regelmäßig Produkte auf Datenschutz beziehungsweise das, was davon übrig ist. Im jüngsten Beitrag beschäftigte sie sich mit 25 großen und beliebten Automarken und kam zu dem Ergebnis: Kein einziger Hersteller erfüllt die Datenschutzanforderungen von Mozilla.

Darüber hinaus antwortete lediglich ein einziger Hersteller, ein deutscher, auf die Anfrage der Datenforscher hinsichtlich der Verschlüsselung der erhobenen Daten. Zum ersten Mal in der siebenjährigen Geschichte von „Privatsphäre nicht inklusive“ erhielt damit kein einziges Produkt eine positive Bewertung.

Auf der Website von Mozilla kann man die Ergebnisse entweder nach Alphabet oder nach „Gruseligkeit“ sortieren. Die verbalen Urteile reichen dabei von „am wenigsten problematisch“ (Renault) über „leider nicht so toll“ (Audi) bis zu „heilige Sch***, das ist schrecklich“ (Nissan).

Alle anderen untersuchten Marken aus den USA, Deutschland, Japan, Frankreich und Südkorea einschließlich Jeep, Lexus, Subaru, Honda, Fiat, Kia und 15 weitere liegen dazwischen.

Die Top 25 der rollenden Wanzen – in den Augen von Mozilla

*PNI-Programmdirektorin Jen Caltrider fasste nach über 600 Stunden Recherche zusammen:

In puncto Schutz der Privatsphäre sind alle neuen Autos wahre Albträume auf Rädern, die riesige Mengen an persönlichen Daten sammeln.“

Weiter sagte sie: „Für viele Menschen ist ihr Auto ein privater Raum – ein Ort, an dem sie ihren Arzt anrufen, auf dem Weg zur Schule ein persönliches Gespräch mit ihrem Kind führen, sich vor Liebeskummer die Augen ausweinen oder an Orte fahren können, von denen die Welt nichts wissen soll. Doch diese Vorstellung entspricht nicht länger der Realität.“

Teamkollege Misha Rykov ergänzt: „Nicht zum ersten Mal deckt Mozilla die unterirdischen Datenschutzpraktiken einer Branche auf. Aber Autos sind speziell – mangelnder Datenschutz betrifft hier nicht nur Fahrer, sondern auch Insassen und manchmal sogar Passanten, die sich in der Nähe aufhalten. Die Unternehmen können Sie hören, sehen und tracken. Wenn Sie heute in einem Auto sitzen, dann ist das so, als würden Sie Ihr Handy dem Autohersteller überlassen.“

So haben alle Automarken, die Mozilla auf Datenschutz getestet hat, in mindestens zwei von fünf Kategorien die Alarmglocken der Datenschutzforscher klingeln lassen. Ihre Bewertung lautet entsprechend einheitlich: „*Datenschutz nicht inbegriffen.“

Anhand der Kategorien Datennutzung, Datenkontrolle, Erfolgsbilanz (Datenlecks, -hacks und -pannen), Sicherheit und Künstliche Intelligenz gelang es Mozilla dennoch, eine Reihenfolge zu erstellen – „von schlecht bis noch viel schlechter“:

Bei jeder einzelnen Automarke klingelten bei den Datenschützern mindestens zwei Alarmglocken. Das hielt die Internetnutzer jedoch nicht davon ab, Tesla in ihrer Wertung (siehe folgenden Absatz) auf den zweiten Platz zu wählen. Foto: ts/Epoch Times, Daten: Mozilla-Stiftung

Die Top 25 der rollenden Wanzen – in den Augen der Internetnutzer

Die Nutzer von Mozillas Webauftritt urteilen im Großen und Ganzen ähnlich. Tesla erreicht dabei jedoch einen durchaus überraschenden zweiten Platz und macht ganze 23 Plätze in der Bewertung gut (Stand 14.09.). Eine mögliche Erklärung ist, dass Nutzer E-Autos im Allgemeinen mehr Datenschutzverstöße einräumen oder die teils eklatanten Probleme aufgrund der jüngsten Berichterstattung für die meisten Nutzer weder neu noch unerwartet sind.

Indes schreibt Mozilla: „Tesla ist erst das zweite Produkt, das wir jemals überprüft haben, das von uns alle Datenschutz-Warnsignale erhalten hat. (Der erste war ein KI-Chatbot, den wir Anfang dieses Jahres überprüft haben.) Bemerkenswert war, dass Tesla den Preis für ‚nicht vertrauenswürdige KI‘ erhielt. Der KI-getriebene Autopilot der Marke war Berichten zufolge an 17 Unfällen mit Todesfolge und 736 Unfällen beteiligt; es laufen aktuell mehrere Untersuchungsverfahren von Regierungen.“

Ebenfalls aufgestiegen in der Nutzerbewertung sind GMC (+16), gefolgt von Mercedes-Benz (+10), Acura (+9) und Audi (+7). Die höchsten Rückschläge müssen aktuell Fiat und Dodge mit jeweils zwölf Plätzen hinnehmen, gefolgt von Subaru (-11), Lincoln (-8) und Jeep (-6).

Statt der oben genannten Kategorien steht online indes nur eine Maßgröße zur Verfügung: die „Gruseligkeit“ der gesammelten Daten. Aus der Onlineumfrage ergibt sich folgende Rangfolge:

Teslas fünf Alarmglocken sind für die Internetnutzer wenig gruselig. Foto: ts/Epoch Times, Daten: Mozilla

Autohersteller wissen mehr von uns als wir selbst

Die Liste der gesammelten Informationen ist bedeutend länger als die der 25 Hersteller. Buick, ein 1899 gegründeter US-amerikanischer Automobilhersteller, der heute zu General Motors gehört, erfasst laut Mozilla etwa folgende Daten von seinen Kunden:

„Namen, Adresse, Geolokalisierungsdaten, Alter, ethnische Zugehörigkeit, [Haut-] Farbe, Religion, medizinische Beeinträchtigungen, körperliche oder geistige Behinderungen, Geschlecht, Geschlechtsidentität, Schwangerschaft, medizinische Bedingungen, sexuelle Orientierung; genetische, physiologische, verhaltensbezogene und biologische Merkmale wie Fingerabdrücke, Gesichtsabdrücke und Stimmabdrücke, Iris- oder Netzhautscans, Tastenanschläge, Gangart oder andere körperliche Muster, einschließlich Schlaf-, Gesundheits- oder Bewegungsdaten, Audio-, elektronische, visuelle, thermische, olfaktorische [Geruchs-] oder ähnliche Informationen.“

Hinzu kommen „Fahrzeuginformationen wie Nummernschild, Fahrzeugidentifikationsnummer (VIN), Geolokalisierung, Routenverlauf, Fahrplan, Geschwindigkeit, Fahrzeugrichtung (Kurs), Audio- oder Videoinformationen sowie Informationen, die aus Kamerabildern und Sensordaten gesammelt werden, Sprachbefehlsinformationen und Infotainmentsystem (einschließlich Radio- und Rücksitz-Infotainment) und WiFi-Datennutzung“.

Aus allen diesen Daten erlaubt sich dieser (und fast alle anderen) Hersteller, Rückschlüsse zu ziehen,

die Ihre Vorlieben, Eigenschaften, psychologischen Trends, Veranlagungen, Verhalten, Einstellungen, Intelligenz oder Fähigkeiten widerspiegeln.“

Die Liste der gesammelten Informationen von Fiat (einschließlich Jeep, Dodge und Chrysler) ist mehr als doppelt so lang. Die von Tesla ist etwa halb so lang, der Inhalt nicht weniger umfangreich.

Genetische Informationen aller Insassen

Wem das noch nicht gruselig genug ist, der kaufe sich einen Nissan oder lese zumindest die Datenschutzbestimmungen. Dort fand Mozilla folgende Formulierung:

„Sensible persönliche Daten, einschließlich Führerscheinnummer, nationale oder staatliche Identifikationsnummer, Staatsangehörigkeitsstatus, Einwanderungsstatus, Rasse, nationale Herkunft, religiöse oder philosophische Überzeugungen, sexuelle Orientierung, sexuelle Aktivität, genaue Geolokalisierung, Gesundheitsdiagnosedaten und genetische Daten.“ – Damit ist Nissan nicht allein, auch Kia sammelt Daten über das „Sexleben“ seiner Fahrer.

Im Fall von Nissan werde all dies erhoben, „um vernetzte Fahrzeugdienste anbieten zu können, die Geolokalisierungsdaten nutzen oder sich auf diese stützen, um gezielteres Marketing zu ermöglichen, sowie für interne Berichts- und Analysezwecke, …“

Die Daten werfen unter anderem die Frage auf, wie Nissan diese Daten erfassen kann. Eine Auskunft dazu gibt es durch den Hersteller nicht.

Es kommt hinzu, dass auch die Daten von allen Mitfahrern und Insassen – einschließlich Kindern – erfasst werden. Das ist nicht illegal, denn mit Kauf und Nutzung wurde den AGB zugestimmt. In diesen hat Mozilla auch gefunden, dass der Fahrer eines Nissans alle seine Mitfahrer darüber informieren muss. Konkret heißt es:

„Sie verpflichten sich, alle Nutzer[…] und Insassen Ihres Fahrzeugs über die Dienste und Systemfunktionen und -beschränkungen, die Bedingungen des Vertrags einschließlich der Bedingungen bezüglich der Datenerfassung und -nutzung sowie des Datenschutzes und die Nissan-Datenschutzrichtlinie aufzuklären und zu informieren.“

Wenigstens ist Nissan ehrlich

Wie Buick nutzt Nissan „Schlussfolgerungen, die aus den erfassten persönlichen Daten gezogen werden, um ein Profil über einen Verbraucher zu erstellen, das dessen Vorlieben, Eigenschaften, psychologische Tendenzen, Prädispositionen, Verhalten, Einstellungen, Intelligenz, Fähigkeiten und Eignungen widerspiegelt“.

Mozilla übersetzt dies wie folgt: Der Hersteller könne daraus schließen, „wie klug Sie sind, ob Sie zum Trinken neigen, ob Sie depressiv sind und ob Sie gut Schach spielen können“. Nissan sage zudem, „dass Sie mit diesen sehr persönlichen Daten so viel Geld verdienen können, wie Sie können“.

Das eigene Auto ist oft alles andere als privat. Weder bei Apps noch Fahrzeugen ist Datenschutz inbegriffen. (Zum Vergrößern klicken, öffnet in neuem Tab) Foto: Mozilla

Man müsse Nissan jedoch hoch anrechnen, dass sie all das zugeben, schreibt Mozilla. Nissan erkläre, dass sie „diese sehr intimen persönlichen Daten erfassen, weitergeben und in einigen Fällen sogar verkaufen können.“ Die Sache sei jedoch eine andere: „Es ist ziemlich wahrscheinlich, dass auch andere Autohersteller genau dieses Material erfassen, weitergeben und verkaufen. Sie sind nur nicht so offen und ehrlich in ihren Datenschutzrichtlinien.“

Statt konkreten Angaben lese man dort häufig „zum Beispiel“, „könnte beinhalten“ und „sowie andere Informationen“. Auch „etc.“ sei eine beliebte Formulierung der Autohersteller, die Datenschützer nicht gern lesen. Grund dafür sei, dass Interessierte „nur einen Auszug und keine vollständige Liste erhalten.“ Als Datenschutzforscher sei es jedoch ihr Job, „verdammt neugierig“ zu sein.

„Prüfen Sie es doch einfach selbst“

Diese Neugier der Privatsphärenforscher erstreckte sich nicht nur darauf, welche Daten erfasst werden, sondern auch, wie diese übertragen werden. Von speziellem Interesse ist dabei die Verschlüsselung, sodass ein beliebiger Dritter den Datenverkehr nicht einfach abfangen und mitlesen kann.

Diesbezüglich fragte Mozilla bei allen 25 Autoherstellern an. 24 Hersteller reagierten darauf überhaupt nicht. Einzig Mercedes antwortete – nichtssagend:

„Da sich Produkte und Dienstleistungen im Laufe der Zeit ändern, […] ist es nicht möglich, allgemeingültige Antworten auf Ihre Fragen zu geben. Wir bemühen uns, die Funktionsweise unserer Produkte und Dienstleistungen durch Veröffentlichungen wie unsere Website und Bedienungsanleitungen transparent zu machen, und fordern Sie daher auf, diese Materialien zu prüfen […].“

„Viel Glück“, kommentiert Mozilla, denn selbst sie hätten sich dabei schwergetan. Beim Vergleich mit anderen von Mozilla untersuchten Produkten schneidet Nissan etwa so schlecht ab wie Amazons Halo Band, Huaweis Watch Kids 4 Pro. Schlechter als Buick und Nissan ist nur noch Metas Facebook-Portal.

Renault, am anderen Ende der mobilen Datenschutzkatastrophen, liegt etwa auf dem Niveau von WhatsApp, Samsungs Galaxy Tablets und diversen Dating-Apps. Alle Hersteller liegen damit deutlich im schlechtesten Drittel aller getesteten Produkte.

Wie Sie sich schützen können

Mozilla hat in seiner Untersuchung neben den Fahrzeugen vor allem auch die mehr oder weniger smarten Apps der Fahrzeughersteller eingeschlossen. Neben den Fahrzeugen selbst sammelten diese über Ihr Smartphone eine nicht unerhebliche Menge privater Daten. Die wichtigsten Hinweise zum Datenschutz im Auto lassen sich in drei Kategorien zusammenfassen:

Bei Miete, Kauf oder Verkauf:

• Setzen Sie Ihr Auto immer auf die Werkseinstellungen zurück, bevor Sie es verkaufen oder eintauschen, um Ihre Daten zu löschen, und trennen Sie die Verbindung zur App.
• Stellen Sie beim Kauf eines Gebrauchtwagens immer sicher, dass der Vorbesitzer sein damit verbundenes Konto entfernt und auf Werkseinstellungen zurückgesetzt hat.

Hinzu kommen einige herstellerspezifische Tipps, die sich auf die jeweiligen Apps beziehen, wie zum Beispiel BMW CarData oder FordPass Connect. Bei Ford empfiehlt es sich, dies auch als Mieter oder Leasingnehmer zu beachten.

Auch für Käufer und Fahrer von Modellen des General-Motors Konzerns (Cadillac, GMC, Chevrolet, Buick) sowie Ford und Lincoln gibt es weitere Hinweise. Das gleich gilt für Tesla-Fahrer. Bei letzterem könne man zwar die Datenweitergabe deaktivieren, Tesla warnt jedoch davor, dass es in diesem Fall dazu kommen kann, dass „Ihr Fahrzeug nur eingeschränkt funktioniert, schwer beschädigt wird oder nicht mehr einsatzbereit ist“.

Bei der Nutzung:

• Geben Sie keine Zustimmung zu personalisierter Werbung.
• Deaktivieren Sie den Verkauf Ihrer personenbezogenen Daten sowie kontextübergreifende verhaltensbezogene Werbung.
• Verwenden Sie immer starke Passwörter und richten Sie eine Zwei-Faktor-Authentifizierung für Apps und Dienste ein, die eine Verbindung zu Ihrem Auto herstellen.
• Geben Sie nur vertrauenswürdigen Dritten Zugriff auf Ihre Daten.
• Wenn Sie eine mobile App mit dem Auto verbinden, achten Sie darauf, die Menge der Daten zu minimieren, die über die App gesammelt werden – Sie können die iOS- oder Android-Einstellungen verwenden, um die über ein Smartphone gesammelten Daten zu begrenzen.
• Bedenken Sie eine mögliche Datenschutzverletzung, wenn Sie Ihrem Fahrzeug Zugriff auf Apple CarPlay, Android Auto, Google und/oder Alexa Auto gewähren. Stellen Sie besser sicher, ob Sie diesen wirklich Zugriff auf Ihre Fahrzeugdaten gewähren möchten.

Gilt auch bei anderen Gelegenheiten

• Deaktivieren Sie die Standortfreigabe Ihres Mobilgeräts.
• Verwenden Sie Amazon Alexa nicht in Ihrem Auto, wenn Sie Bedenken haben, dass Amazon die IP-Adresse und Geolokalisierungsinformationen sammelt und verwendet, um Ihnen zielgerichtete Werbung zu schicken.

Es liegt nicht unbedingt am Auto

Der einfachste und zugleich effektivste Weg für Datensicherheit in diesem Bereich wäre, nicht Auto zu fahren. Diese Lösung mag im Interesse bestimmter Gruppen sein, ist im Alltag aber oft nicht umsetzbar. Zudem ist unbekannt, welche Daten Busse und Bahnen sammeln.

Auch das Fahren eines Autos von einem anderen Hersteller ist eher keine Lösung, denn vermutlich sammeln diese die gleichen Informationen über Kunden und Fahrer.

Alternativ bleibt, ein Auto zu fahren, welches garantiert nicht vernetzt ist. Die deutsche Automobilgeschichte bietet dafür reichlich Auswahl: Käfer, Bulli, Trabi, um nur einige zu nennen. Auch BMW und Mercedes produzierten vor Jahren noch Autos, die man ohne Computerausbildung fahren und reparieren konnte.

Wer dann allerdings sein Handy ständig mitnimmt, läuft Gefahr, seine Daten dennoch preiszugeben.