Vom eigenen Kfz überwacht: Auto-Apps senden weitaus mehr Daten an Hersteller als nötig

Getestet wurde jeweils eine App der 12 Automobilhersteller, von denen in Deutschland im Januar 2017 mehr als eine Million Autos angemeldet waren. Bei Hersteller Nummer 13 handelt es sich um Tesla, als Repräsentant der E-Auto-Hersteller. Die Apps wurden sowohl auf einem Android-, als auch einem iOS-Betriebssystem installiert und auf Herz und Nieren geprüft. Relevant waren dabei sowohl das Datensendeverhalten der Apps, als auch die bereitgestellten Informationen zum Datenschutz der Apps. Zusätzlich wurden die Hersteller per Fragebogen zur Datenhandhabung befragt.

Das Datensendeverhalten wurde bei allen Anwendungen als kritisch eingestuft. Unzählige Sensoren, Kameras und Fahrzeugdaten werden analysiert. Informationen über Bremsverhalten, Tempo oder Füllstände der Tanks werden über das gekoppelte Smartphone direkt an den Herstellerserver geschickt. Generell ist es für die Autobauer nicht verboten, Daten zu sammeln. Soll mithilfe dieser die verbaute Technologie verbessert werden, besteht daran ein berechtigtes Interesse. Um aber Daten mit Personenbezug erheben und nutzen zu dürfen, müssen Kunden explizit einwilligen. So verlangen es Bundesdatenschutz- und Telemediengesetz. Dieser Verpflichtung kommt keiner der Anbieter ausreichend nach. Datenschutzerklärungen seien unvollständig und wenig präzise, bei vielen die bereitgestellten Informationen nur auf Englisch.

Unabhängig davon, erheben die Apps außerdem deutlich mehr Daten, als tatsächlich notwendig. So übermitteln diese etwa Nutzername oder Fahrzeugidentifikationsnummer (früher: Fahrgestellnummer), obwohl die etwa für eine optimierte Routenplanung kaum von Belang sein dürften. Außerdem würden der Standort des Autos oder die Fahrtwege teilweise an Google bzw. den Navi-Hersteller TomTom weitergegeben – bei Android sogar dann, wenn nicht navigiert wird. Gleiches gelte auch für eindeutige Handykennungen, den Namen des Mobilfunkanbieters oder andere Nutzungsstatistiken, diese würden an die Autohersteller oder Drittanbieter von Internetdiensten gesendet. Auch wenn einige dieser Daten belanglos erscheinen mögen: kombiniert, lässt sich ein präzises Nutzerprofil erstellen. Das gilt insbesondere vor dem Hintergrund, dass man ein Auto oft über einen langen Zeitraum besitzt und nutzt, weitaus länger etwa, als ein Handy. Die Tester fordern, dass sich die Hersteller der Apps zuvorderst an den bundesdatenschutzrechtlichen Grundsatz der Datensparsamkeit halten und Daten, die nicht mehr relevant sind, gelöscht werden. Datenschützer sehen zudem kritisch, dass der Kunde keine Verfügungsmacht mehr über seine eigenen Daten zu haben scheint: In der Praxis blocken Autofirmen ab, wenn der Nutzer die eigenen Daten einsehen will.  Der Fragebogen der Stiftung Warentest blieb von 12 Herstellern unbeantwortet. Positiv zu erwähnen ist, dass die für Werkstätten relevanten Fehlerspeicher der Fahrzeuge tatsächlich nur Fehlercodes und Messwerte, nicht aber etwa den Standort oder vergleichbar sensible Daten, speicherten.

Sicher vor Schnüffelei ist derzeit wohl nur, wer auf den zusätzlichen Komfort der Apps verzichtet. Und das, obwohl einigen Datenschutzverletzungen mit leichtesten Mitteln abgestellt werden könnten. Anstatt Namen oder Fahrzeugidentifikationsnummer zu nutzen, könnte für die Zuordnung zum Fahrzeug zum Beispiel ein Zufallscode erzeugt werden. Doch die Autobauer haben das Geschäft mit den Daten schon für sich entdeckt, zumal Kfz-Daten aus Unternehmenssicht besonders wertvoll sind. So darf aufmerksam verfolgt werden, welchen Einfluss die im Mai 2018 in Kraft tretende EU-Datenschutz-Grundverordnung hat. Aus dieser ergeben sich nicht zuletzt schärfere Sanktionsmöglichkeiten für Datenmissbrauch, denen die Autobauer sicher aus dem Weg gehen wollen.