Moderne Fahr­zeuge wissen viel über ihre Fahrer. Was mit den Daten passiert, verrät die Auto­industrie lieber nicht. Ihre Apps senden jedenfalls mehr als nötig.

Der Fall sorgte für Aufsehen: Ende Mai 2016 verurteilte das Kölner Land­gericht einen Studenten wegen fahr­lässiger Tötung zu 33 Monaten Haft. Die entscheidenden Beweise lieferte ein Auto: Der Verurteilte hatte mit einem Wagen des zu BMW und Sixt gehörenden Cars­haring-Anbieters Drive Now einen Radfahrer über­fahren. Nach Aufforderung durch das Gericht lieferte BMW die Daten, die Sensoren des Autos gesammelt hatten. Damit ließen sich Wegstrecke und gefahrene Geschwindig­keit genau rekon­struieren.

Inzwischen rätseln viele Fahrer, was ihr Auto über sie verrät. Die Frage ist berechtigt. Denn die Technik, mit der Cars­harer ihre Flotte über­wachen, steckt teil­weise auch in privaten Pkw. Schon lange sind Fahr­zeuge mit Sensoren gespickt, die etwa Tempo, Brems­verhalten und Füll­stände erfassen. Neu ist, dass sie immer mehr kommunizieren. Viele Modelle lassen sich per Bluetooth mit dem Smartphone koppeln, das seiner­seits mit dem Internet verbunden ist. Oberklasse- und Elektro-Modelle verfügen oft bereits über einen Mobil­funk­anschluss, über den sie sich mit Servern ihrer Hersteller verbinden. Ab April 2018 müssen alle Neuwagen mit einem System ausgestattet sein, das bei einem schweren Unfall auto­matisch den Stand­ort an eine Notrufzentrale sendet (Pflicht zur Sim-Karte).

Audi, BMW, Opel, VW und Co im Test

Aus der Ferne. Per Mercedes-App lässt sich die Tür öffnen.

Aus der Ferne. Per Mercedes-App lässt sich die Tür öffnen.

Wir haben 13 Auto­mobil­hersteller ausführ­lich zu ihrem Umgang mit Daten befragt. Zudem prüften wir, was ihre Handy-Apps versenden. Und wir ermittelten, ob sie Nutzer hinreichend darüber informieren, welche Daten die Apps verschi­cken und was damit geschieht. Zusätzlich haben wir die von Werk­stätten genutzten Fehler­speicher der Autos ausgelesen und geprüft, ob diese sensible Daten wie den Stand­ort erfassen.

Ergebnis: Das Diagnose­system speichert lediglich Fehler­codes und Mess­werte wie den Kilo­meter­stand. Ansonsten bleibt der Daten­schutz bei allen Herstel­lern mehr oder weniger auf der Strecke. Unsere Fragen beant­wortete einzig Daimler. Alle Apps sendeten mehr Daten als nötig. Der Nutzer erfährt davon wenig. Klare, verständliche Daten­schutz­erklärungen liegen für keine der Apps vor. Selbst auf Nach­frage gibt die Branche, die so fleißig Daten sammelt, wenig über den Umgang mit ihnen preis.

Apps machen das Auto smart

Die Kommunikations­freudig­keit moderner Autos soll Fahrern Spaß und Komfort bringen: Mit der passenden App streamen sie ihre Lieblings­musik auf das Auto­radio, finden die nächste Werk­statt oder senden eine auf dem Handy gespeicherte Adresse ans Auto-Navi. Fahr­zeuge mit eigener Sim-Karte lassen sich zudem aus der Ferne orten, etwa bei Diebstahl. Ihre Besitzer können einzelne Funk­tionen auch vom Sofa steuern, zum Beispiel die Tür verriegeln oder die Standhei­zung einschalten. Handy und Pkw kommunizieren miteinander online über den Server des Herstel­lers. Dabei fällt eine Vielzahl von Daten an.

Nur Daimler beant­wortete Fragen

Wir wollten wissen, welche Daten Pkw und Apps sammeln, wer diese verarbeitet, in welchem Land sie gespeichert werden, wie sie gesichert sind, und ob Nutzer sie löschen können. Unseren Fragebogen schickten wir an zwölf Auto­bauer mit großer Markt­bedeutung in Deutsch­land und zusätzlich an den US-amerikanischen Elektro­auto-Pionier Tesla.

Die Bilanz: Von 13 Anbietern schickte uns nur Daimler den Fragebogen ausgefüllt zurück. Aktuelle Mercedes-Modelle können demnach tech­nische Daten an das Unternehmen über­tragen, etwa Füll­stände, Reifen­druck, Geschwindig­keiten. Der Konzern biete Kunden zudem einen Dienst, mit dem sie smarte Pkw orten können. Positiv: Bewegungs­profile würden nicht erstellt. Daimler gibt zudem an, dass Daten auf deutschen Servern liegen. Externe Spezialisten würden die Server und auch internet­fähige Autos auf Sicher­heits­lücken­prüfen. Insgesamt scheint das Daten­management von Daimler über­zeugend.

Fast alle Auto­bauer mauern

Audi, BMW und Tesla schickten lediglich Internet-Links oder allgemeine Infos zu ihren Daten­schutz­bestimmungen. Renault weigerte sich, an der Befragung teil­zunehmen – mit einer erstaunlichen Begründung: Die Thematik sei zu komplex, um sie in unserem Fragebogen in „für den Verbraucher verständlicher, trans­parenter Weise darzustellen“. Ebenfalls keine Antworten auf unsere Fragen bekamen wir von Fiat, Hyundai, Opel, Peugeot, Seat, Škoda, Toyota und Volks­wagen – trotz mehrerer Nach­fragen.

Tesla erfährt potenziell alles

Tesla im Test. Während der Fahrt analysieren die Prüfer mit einem Programm den Daten­strom der App.

Die Mehr­heit der Auto­bauer scheint für die Sorgen der Fahrer wenig Verständnis zu haben. Dass die Sorgen durch­aus berechtigt sind, zeigt ein Blick auf die „Kunden­daten­schutz­richt­linie“, die Elektro­auto-Vorreiter Tesla auf seiner Website veröffent­licht hat. So ist dort zu lesen, dass Tesla Informationen nicht nur über seine Autos und Apps bezieht, sondern „möglicher­weise“ auch über Dritte, etwa öffent­liche Daten­banken, Marketingfirmen, Werk­stätten und sogar soziale Medien wie Facebook.

Per Fern­zugriff könne Tesla Daten zum Fahr­stil sowie Video­aufnahmen von Fahr­zeugkameras sammeln. Die Infos, steht in Teslas Richt­linie, könnten bei Dritten landen, im Falle einer Ermitt­lung auch bei Behörden – und, Achtung, Arbeitnehmer: „Wir können Informationen (...) an Ihren Arbeit­geber weitergeben (...), wenn das Produkt nicht Ihnen selbst gehört und sofern dies nach geltendem Recht zulässig ist.“

Viele Apps senden den Stand­ort

Nur etwas Service. Einige Apps, wie die von Toyota, bieten wenig und senden zu viel.

Nur etwas Service. Einige Apps, wie die von Toyota, bieten wenig und senden zu viel.

Was Autos mit einge­bauter Sim-Karte tatsäch­lich über­tragen, konnten wir nicht prüfen: Es ist tech­nisch kaum möglich, sich in die Mobil­funk­verbindung der verbauten Sim-Karte zu hacken. Die von den Handy-Apps der Auto­bauer gesendeten Daten haben wir hingegen ausgelesen. Wir prüften für je eine Android- und iOS-App der 13 Auto­bauer, was sie wohin senden, wenn Nutzer sie mit dem Auto verbinden oder sie daheim abseits des Pkw starten.

Das Ergebnis enttäuscht: Alle Apps sind kritisch. Die meisten über­mitteln nicht nur den Namen des Nutzers, sondern auch die Identifikations­nummer seines Fahr­zeugs (FIN), vielen vermutlich eher unter dem Vorgänger­namen Fahr­gestell­nummer bekannt. Mit der FIN lässt sich der Erst­käufer des Autos ermitteln. Besser wäre es etwa, die Apps würden für die Zuordnung zum Auto einen zufäl­ligen Code generieren.

Zudem senden die meisten Apps direkt nach dem Start den Stand­ort an Google oder Apple, teil­weise an weitere Stellen. Und das unabhängig davon, ob der Nutzer navigiert oder nur Musik hört, ob er im Auto oder in der Küche sitzt. Selbst Anwendungen, die kaum Funk­tionen haben, bespitzeln Nutzer, etwa die Service-App von Fiat, die heimlich mit Facebook kommuniziert. Nur Audi MMI connect schickt Infos sogar unver­schlüsselt.

Einige der Daten mögen für sich genommen harmlos erscheinen, doch ihre Über­tragung wider­spricht dem Grund­satz der Daten­spar­samkeit. Apps sollten nur solche Infos erheben, die für ihre Funk­tion nötig sind. Je mehr Details über einen Nutzer vorliegen, desto präzisere Profile lassen sich daraus erstellen.

Kaum Infos zum Daten­schutz

Laut Bundes­daten­schutz­gesetz und Telemediengesetz dürfen personenbezogene Daten nur erhoben werden, wenn die Person einge­willigt hat. Um einwilligen zu können, muss sie vor Installation der App über die Daten­sammelei aufgeklärt werden, und zwar umfassend und verständlich. Das leistet keiner der geprüften Anbieter.

Peugeot und Renault etwa haben im Google Play Store nur Dokumente auf Französisch hinterlegt – und in den Apps selbst gar keine. Auch die anderen Apps offen­baren erhebliche Mängel. Meist sind die Erläuterungen zum Daten­schutz schwer zu finden oder schwammig formuliert. Auch Kurz­fassungen zu den wichtigsten Daten­schutz­fragen, wie sie das Bundes­justiz­ministerium fordert, fanden wir nirgends.

Ältere Modelle schnüffeln nicht

Das Fazit unserer Unter­suchung ist ernüchternd: Die ganze Branche sammelt über ihre Kunden mehr Daten als erforderlich und lässt sie darüber im Unklaren, was mit den Informationen passiert. Auto­fahrern, die vor Schnüffelei sicher sein wollen, bleibt so nur übrig, auf etwas Komfort und Hightech zu verzichten. Mit älteren Wagen fährt man weit­gehend inkognito.

Dieser Artikel ist hilfreich. 64 Nutzer finden das hilfreich.