© Fotolia / Andre, Thinkstock (M)
Moderne Fahrzeuge wissen viel über ihre Fahrer. Was mit den Daten passiert, verrät die Autoindustrie lieber nicht. Ihre Apps senden jedenfalls mehr als nötig.
Der Fall sorgte für Aufsehen: Ende Mai 2016 verurteilte das Kölner Landgericht einen Studenten wegen fahrlässiger Tötung zu 33 Monaten Haft. Die entscheidenden Beweise lieferte ein Auto: Der Verurteilte hatte mit einem Wagen des zu BMW und Sixt gehörenden Carsharing-Anbieters Drive Now einen Radfahrer überfahren. Nach Aufforderung durch das Gericht lieferte BMW die Daten, die Sensoren des Autos gesammelt hatten. Damit ließen sich Wegstrecke und gefahrene Geschwindigkeit genau rekonstruieren.
Inzwischen rätseln viele Fahrer, was ihr Auto über sie verrät. Die Frage ist berechtigt. Denn die Technik, mit der Carsharer ihre Flotte überwachen, steckt teilweise auch in privaten Pkw. Schon lange sind Fahrzeuge mit Sensoren gespickt, die etwa Tempo, Bremsverhalten und Füllstände erfassen. Neu ist, dass sie immer mehr kommunizieren. Viele Modelle lassen sich per Bluetooth mit dem Smartphone koppeln, das seinerseits mit dem Internet verbunden ist. Oberklasse- und Elektro-Modelle verfügen oft bereits über einen Mobilfunkanschluss, über den sie sich mit Servern ihrer Hersteller verbinden. Ab April 2018 müssen alle Neuwagen mit einem System ausgestattet sein, das bei einem schweren Unfall automatisch den Standort an eine Notrufzentrale sendet (Pflicht zur Sim-Karte).
Audi, BMW, Opel, VW und Co im Test
Aus der Ferne. Per Mercedes-App lässt sich die Tür öffnen. © Thinkstock, Screenshot (M)
Wir haben 13 Automobilhersteller ausführlich zu ihrem Umgang mit Daten befragt. Zudem prüften wir, was ihre Handy-Apps versenden. Und wir ermittelten, ob sie Nutzer hinreichend darüber informieren, welche Daten die Apps verschicken und was damit geschieht. Zusätzlich haben wir die von Werkstätten genutzten Fehlerspeicher der Autos ausgelesen und geprüft, ob diese sensible Daten wie den Standort erfassen.
Ergebnis: Das Diagnosesystem speichert lediglich Fehlercodes und Messwerte wie den Kilometerstand. Ansonsten bleibt der Datenschutz bei allen Herstellern mehr oder weniger auf der Strecke. Unsere Fragen beantwortete einzig Daimler. Alle Apps sendeten mehr Daten als nötig. Der Nutzer erfährt davon wenig. Klare, verständliche Datenschutzerklärungen liegen für keine der Apps vor. Selbst auf Nachfrage gibt die Branche, die so fleißig Daten sammelt, wenig über den Umgang mit ihnen preis.
Apps machen das Auto smart
Die Kommunikationsfreudigkeit moderner Autos soll Fahrern Spaß und Komfort bringen: Mit der passenden App streamen sie ihre Lieblingsmusik auf das Autoradio, finden die nächste Werkstatt oder senden eine auf dem Handy gespeicherte Adresse ans Auto-Navi. Fahrzeuge mit eigener Sim-Karte lassen sich zudem aus der Ferne orten, etwa bei Diebstahl. Ihre Besitzer können einzelne Funktionen auch vom Sofa steuern, zum Beispiel die Tür verriegeln oder die Standheizung einschalten. Handy und Pkw kommunizieren miteinander online über den Server des Herstellers. Dabei fällt eine Vielzahl von Daten an.
Nur Daimler beantwortete Fragen
Wir wollten wissen, welche Daten Pkw und Apps sammeln, wer diese verarbeitet, in welchem Land sie gespeichert werden, wie sie gesichert sind, und ob Nutzer sie löschen können. Unseren Fragebogen schickten wir an zwölf Autobauer mit großer Marktbedeutung in Deutschland und zusätzlich an den US-amerikanischen Elektroauto-Pionier Tesla.
Die Bilanz: Von 13 Anbietern schickte uns nur Daimler den Fragebogen ausgefüllt zurück. Aktuelle Mercedes-Modelle können demnach technische Daten an das Unternehmen übertragen, etwa Füllstände, Reifendruck, Geschwindigkeiten. Der Konzern biete Kunden zudem einen Dienst, mit dem sie smarte Pkw orten können. Positiv: Bewegungsprofile würden nicht erstellt. Daimler gibt zudem an, dass Daten auf deutschen Servern liegen. Externe Spezialisten würden die Server und auch internetfähige Autos auf Sicherheitslückenprüfen. Insgesamt scheint das Datenmanagement von Daimler überzeugend.
Fast alle Autobauer mauern
Audi, BMW und Tesla schickten lediglich Internet-Links oder allgemeine Infos zu ihren Datenschutzbestimmungen. Renault weigerte sich, an der Befragung teilzunehmen – mit einer erstaunlichen Begründung: Die Thematik sei zu komplex, um sie in unserem Fragebogen in „für den Verbraucher verständlicher, transparenter Weise darzustellen“. Ebenfalls keine Antworten auf unsere Fragen bekamen wir von Fiat, Hyundai, Opel, Peugeot, Seat, Škoda, Toyota und Volkswagen – trotz mehrerer Nachfragen.
Tesla erfährt potenziell alles
Tesla im Test. Während der Fahrt analysieren die Prüfer mit einem Programm den Datenstrom der App. © Stiftung Warentest
Die Mehrheit der Autobauer scheint für die Sorgen der Fahrer wenig Verständnis zu haben. Dass die Sorgen durchaus berechtigt sind, zeigt ein Blick auf die „Kundendatenschutzrichtlinie“, die Elektroauto-Vorreiter Tesla auf seiner Website veröffentlicht hat. So ist dort zu lesen, dass Tesla Informationen nicht nur über seine Autos und Apps bezieht, sondern „möglicherweise“ auch über Dritte, etwa öffentliche Datenbanken, Marketingfirmen, Werkstätten und sogar soziale Medien wie Facebook.
Per Fernzugriff könne Tesla Daten zum Fahrstil sowie Videoaufnahmen von Fahrzeugkameras sammeln. Die Infos, steht in Teslas Richtlinie, könnten bei Dritten landen, im Falle einer Ermittlung auch bei Behörden – und, Achtung, Arbeitnehmer: „Wir können Informationen (...) an Ihren Arbeitgeber weitergeben (...), wenn das Produkt nicht Ihnen selbst gehört und sofern dies nach geltendem Recht zulässig ist.“
Viele Apps senden den Standort
Nur etwas Service. Einige Apps, wie die von Toyota, bieten wenig und senden zu viel. © Thinkstock, Screenshot (M)
Was Autos mit eingebauter Sim-Karte tatsächlich übertragen, konnten wir nicht prüfen: Es ist technisch kaum möglich, sich in die Mobilfunkverbindung der verbauten Sim-Karte zu hacken. Die von den Handy-Apps der Autobauer gesendeten Daten haben wir hingegen ausgelesen. Wir prüften für je eine Android- und iOS-App der 13 Autobauer, was sie wohin senden, wenn Nutzer sie mit dem Auto verbinden oder sie daheim abseits des Pkw starten.
Das Ergebnis enttäuscht: Alle Apps sind kritisch. Die meisten übermitteln nicht nur den Namen des Nutzers, sondern auch die Identifikationsnummer seines Fahrzeugs (FIN), vielen vermutlich eher unter dem Vorgängernamen Fahrgestellnummer bekannt. Mit der FIN lässt sich der Erstkäufer des Autos ermitteln. Besser wäre es etwa, die Apps würden für die Zuordnung zum Auto einen zufälligen Code generieren.
Zudem senden die meisten Apps direkt nach dem Start den Standort an Google oder Apple, teilweise an weitere Stellen. Und das unabhängig davon, ob der Nutzer navigiert oder nur Musik hört, ob er im Auto oder in der Küche sitzt. Selbst Anwendungen, die kaum Funktionen haben, bespitzeln Nutzer, etwa die Service-App von Fiat, die heimlich mit Facebook kommuniziert. Nur Audi MMI connect schickt Infos sogar unverschlüsselt.
Einige der Daten mögen für sich genommen harmlos erscheinen, doch ihre Übertragung widerspricht dem Grundsatz der Datensparsamkeit. Apps sollten nur solche Infos erheben, die für ihre Funktion nötig sind. Je mehr Details über einen Nutzer vorliegen, desto präzisere Profile lassen sich daraus erstellen.
Kaum Infos zum Datenschutz
Laut Bundesdatenschutzgesetz und Telemediengesetz dürfen personenbezogene Daten nur erhoben werden, wenn die Person eingewilligt hat. Um einwilligen zu können, muss sie vor Installation der App über die Datensammelei aufgeklärt werden, und zwar umfassend und verständlich. Das leistet keiner der geprüften Anbieter.
Peugeot und Renault etwa haben im Google Play Store nur Dokumente auf Französisch hinterlegt – und in den Apps selbst gar keine. Auch die anderen Apps offenbaren erhebliche Mängel. Meist sind die Erläuterungen zum Datenschutz schwer zu finden oder schwammig formuliert. Auch Kurzfassungen zu den wichtigsten Datenschutzfragen, wie sie das Bundesjustizministerium fordert, fanden wir nirgends.
Ältere Modelle schnüffeln nicht
Das Fazit unserer Untersuchung ist ernüchternd: Die ganze Branche sammelt über ihre Kunden mehr Daten als erforderlich und lässt sie darüber im Unklaren, was mit den Informationen passiert. Autofahrern, die vor Schnüffelei sicher sein wollen, bleibt so nur übrig, auf etwas Komfort und Hightech zu verzichten. Mit älteren Wagen fährt man weitgehend inkognito.
-
Hersteller haften auch ohne Vorsatz
- Autohersteller haben illegal getrickst. Der EuGH urteilte verbraucherfreundlich. Jetzt ist der Bundesgerichtshof dran. Der verhandelte stundenlang und urteilt im Juni.
-
Widerruf von Ratenkredit kann Tausende Euro sparen
- EuGH-Urteil: Alle bis September 2021 aufgenommenen Kredite sind widerruflich. Chance für Autokäufer: Sie sparen Tausende Euro. Aber nur, wenn sie das Auto noch haben.
-
US-Kanzlei hat Sammelklage erhoben
- Der Rechtsdienstleister Myright.de will europäischen Käufern von VW-Skandalautos zu Schadenersatz verhelfen. Myright.de hat wegen der Forderungen von 40 000...
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
@Envoye: Ihren Kommentar nehmen wir gerne als Testanregung auf und leiten sie an das zuständige Untersuchungsteam weiter. (Se)
... dieses Artikels. :-)
Ich persönlich will keine Connecting App, aber leider kann man bei modernen Autos dies nicht mehr verhindern. Es braucht klare gesetzliche Grenzen des Datenflusses und deren Weitergabe, vor allem, wenn der Fahrer/Kunde darüber nicht umfassend informiert wurde.
Off topic: Ich fahre einen 2017 Passat und die Software wird nach einem Jahr kostenpflichtig. Es gibt eine aufgeplusterte Webseite (https://www.volkswagen.de/de/konnektivitaet-und-mobilitaetsdienste/konnektivitaet/we-connect.html) ohne vernünftige Information und ohne konkrete Preisangabe für die Weiterführung. Äußerst unseriös, aber man erwartet es ja nicht mehr anders. :-(
Liebe Leser,
habt ihr es noch immer nicht verstanden? Die Fluglandebahn ist trotz masiver Proteste und sogar mit einem toten Polizisten bitter bekämpft worden und was ist heute?
Die Neue Start- u. Landebahn am Frankfurter Flughafen, sie wird heute mehr denn je genutzt! Die Elbphilharmonie? Ein sehr teures Projekt, aber heute will sie keiner missen! Was regen wir uns denn über ungelegte Eier auf? Es wird auf ganz anderen Ebenen entschieden, was gebaut, was erlaubt und was geschehen wird, trotz unseres Protestes und glaubt mir, es wird sich auch nichts ändern! Ich bin für Dahscam im Auto, denn damit kann ich meine Umschuld beweisen! Warum wird mir dieses ureigene Recht von ein paar unerfahrenen Datenschützer, die nicht mal einen PC einschalten können, vorgegeben?
Also Leute regt euch lieber über angebrannte Spiegeleier in euren Pfannen auf, als um solche Sachen, auf die Ihr keinen Einfluss nehmen wird und könnt!
Warum ist FORD nicht dabei? Was ist mit Ford Sync? Über eine Antwort würde ich mich sehr freuen.
Unterschied Telefon-Sim und die fest vom Werk eingebaute Sim:
Vom Werk eingebauter Notrufservice und Steuerung "einiger" Fahrzeug-Funktionen, wird nicht über eine eigene eingebaute Sim- oder Smartphone-Sim verwirklicht, sondern über eine dann fest eingebaute OCU (Online Connectivity Unit), die dann wirklich dauerhaft mit dem Netz verbunden ist. Also auch bei ausgeschalteter Zündung.
Die Handy-Apps, oder auch eigene Sims, eingebaut in USB-Sticks oder z.B. bei VW in der Business-Schnittstelle, sind nur bei gestecktem Schlüssel aktiv und können auch jederzeit entfernt werden, dann wird auch nichts übertragen.
Bei der werksseitig eingebauten OCU, geht die Übertragung rund um die Uhr, solange die Batterie Strom liefert.
Die OCU z.B. von VW, ist nicht zum telefonieren, nur Datenverkehr. Man kann auch aus der Ferne Fahrzeug-Funktionen ausführen, was unter Umständen gruseliger ist- als "Spionage-Apps".
Also die jetzigen Handy-Apps sind da noch harmlos.