Datenschutz im Auto: Wie Skoda mit lästigen Auskunftsbegehren umgeht

Die Datenauskunft von Autokonzernen ist oft unvollständig. Dennoch sollte man hartnäckig bleiben, wie der Erfahrungsbericht eines Datenschutzexperten zeigt.

Lesezeit: 7 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 273 Beiträge

(Bild: metamorworks / Shutterstock.com)

Von
  • Günther Stromheim

Es hätte so schön sein können: Ich fahre das kleine E-Auto Citigo e-iV von Skoda, das baugleich ist und demselben Konzern entstammt wie der eUp von VW und der Mii von Seat. Mit der Handy-App "MySKODA" kann ich Eigenschaften des Fahrzeugs abfragen und unter anderem das Laden steuern oder mir den Standort des Autos anzeigen lassen.

Mehr von c't Magazin Mehr von c't Magazin

Nach einigen Wochen meldete das Display des Autos erstmals einen "nicht fahrkritischen" Fehler. Ich rief den Skoda-Händler an, der meinen Namen umstandslos meinem Auto zuordnen konnte. Er gab mir schnell die Auskunft, dass der Fehler harmlos sei und bei einem zukünftigen Werkstattaufenthalt behoben werden könne. Das war beruhigend.

Weniger beruhigt fragte ich mich, welche Daten meine Werkstatt und Skoda in meinem Auto erheben. Dass einige Daten an Skoda fließen werden, war mir mit den Unterschriften unter das umfangreiche Vertragswerk klar. Ich hätte den Kauf nicht an einem Datenabfluss an den Autohersteller scheitern lassen, schließlich stand für uns der Umstieg auf ein ökologisch verantwortbares kleines E-Auto fest. Die Alternativen für mich damals: keine.

Schon beim Kauf nahm ich mir aber vor, dem Thema Datenschutz später nachzugehen. Dieser Zeitpunkt war nun gekommen: Wie groß ist der Schluck aus der Datenpulle, den sich europäische Autobauer gönnen, die der DSGVO unterliegen? Wie weit kommt ein Kunde, der seine Auskunftsrechte beansprucht?

c’t- Schwerpunkt „Überwacht im eigenen Auto“

Im Januar 2021 adressierte ich einen Brief mit Bitte um Auskunft unspezifisch an Skoda Deutschland. Dabei simulierte ich den Stil eines Kunden, der sich leicht auftrumpfend, aber unspezifisch auf seine Rechte beruft. Ich wollte zu allen Daten eine Auskunft bekommen, die eine Profilierung meines Fahrverhaltens erlauben und erkundigte mich nach einer Datenschutz-Folgenabschätzung (DSFA); zudem willigte ich in Mail-Kommunikation ein.

Wenige Tage vor Ablauf der Auskunftsfrist von einem Monat bekam ich eine Mail von der Kundenbetreuung. Man zeigte sich sehr erfreut über mein Interesse an der Plattform "Skoda Connect" und teilte mir mit, zu welchen Zwecken und für welche Dienste hier Daten verwendet werden, inklusive eines Links auf die dazugehörige Datenschutzerklärung. Diese Plattform kenne und nutze ich allerdings meines Wissens gar nicht; Antworten auf meine Fragen: Fehlanzeige.

Im darauf folgenden Brief wandte ich mich an den Datenschutzbeauftragten von Skoda Deutschland. Diesmal formulierte ich meine Auskunftsbitte zwar genauer, aber weiterhin ohne spezifischen Bezug zur DSGVO. Ich bat um eine vollständige Auflistung all der Daten, die Skoda in meinem Fahrzeug beziehungsweise am Motor und als Organisation erhebt und welche Analysen mit diesen Daten durchgeführt werden. Ebenso erkundigte ich mich nach bereits erfolgten Zugriffen auf diese Daten, etwa durch Werkstätten oder von Sicherheitsbehörden. Die Frage nach der DSFA bekräftigte ich.

Unscheinbarer kleiner E-Stadtflitzer: Auch der Citigo von Skoda übermittelt fleißig Daten an seinen Hersteller.

(Bild: Skoda Media)

Das Antwortschreiben traf fristgerecht ein, und zwar in Form eines hochwertig aufgemachten, mehrseitigen Schreibens einer Hamburger Anwaltssozietät. Darin wurde ich eingangs auf meine Rechte gemäß DSGVO aufmerksam gemacht, inklusive der Kontaktdaten sowohl der für Skoda zuständigen Datenschutzaufsichtsbehörde als auch der betrieblichen Datenschutzbeauftragten in Deutschland und in Tschechien.

Auskunft erhielt ich zunächst über die Typen von Daten, die so auch im Kaufvertrag stehen, sowie eine "Adressklassifizierung" (in meinem Fall: "Privatperson") und der "zugeordnete Händler"; im Anhang des Schreibens fanden sich dann meine konkreten Daten dazu. Ein zweiter Anhang listete weitere Datenbankfeldbeschreibungen, die offenbar durch Werkstätten abrufbar sind. So scheint Skoda den Händlern den Service anzubieten, zentral die Werkstattdaten eines Kunden bei sich hosten zu können; mit Auftragshistorie, Rechnungsnummern und weiteren Daten.

Als Empfänger wurden unter anderem ausgewiesen ("Ihre Daten werden folgenden Unternehmen oder Personen offengelegt"): Banken, IT-Dienstleistern (Wartung), Skoda-Marketing, Behörden, Ämter, Sicherheitsbehörden, "unseren Finanzberatern" und "anderen Dritten, denen wir aufgrund gesetzlicher Anforderungen personenbezogene Daten zugänglich machen". Der Zweck der Datenverarbeitung wurde angegeben mit: "(...) um unsere vertraglichen Verpflichtungen zu erfüllen, mit Ihnen zu interagieren oder für werbliche Zwecke."

Konnte ich zufrieden sein? Der ausgewiesene Zweck der Datenverarbeitung war zu generisch, wobei die Empfängerkategorien – keine Angabe der konkreten Empfänger, die offenbar ganz selbstverständlich Zugriff auf die Daten erhalten – natürlich dystopische Fantasien beflügeln. Insbesondere wurden meine Fragen bezüglich der Analysemöglichkeiten meines Fahrverhaltens aufgrund der erhobenen Motordaten sowie des Vorliegens einer DSFA nicht beantwortet.

Mit der App MySKODA kann man den Standort des Autos ermitteln oder Fahrzeugdaten abfragen.

(Bild: obs/Skoda Auto Deutschland GmbH)

Deshalb schrieb ich Ende Februar auf Deutsch an den Datenschutzbeauftragten von Skoda Tschechien, dem Hauptfirmensitz von Skoda. Ich erkundigte mich explizit nach Daten und Analysen im Kontext der Motornutzung, nach Sensoren im Fahrgastraum, nach Zugriffen durch den VW-Konzern sowie Abfragen durch Werkstätten und andere Dritte. Ich bat darum, alle Aktivitäten mit den Rechtsgrundlagen für diese Verarbeitungen zu belegen.

Dieses Mal erhielt ich wieder eine Mail als Antwort, nicht fristgerecht und überraschenderweise von der Kundenbetreuung Skoda Deutschland. Die Nachricht enthielt einen Link, an dem ich meine aktuellen Daten von einem Server herunterladen können sollte. Das habe ich umgehend getan: In dem Datensatz war nur ein kleiner Teil der Daten enthalten, den ich zuvor ohnehin bereits per Brief zugeschickt bekommen hatte.

Erneut schickte ich dem tschechischen Datenschutzbeauftragten einen Brief, in dem ich auf die ersichtlich vollkommen unzureichende Auflistung der Daten hinwies. Nur wenige Tage später, Mitte April 2021, erhielt ich, per Mail und auf Deutsch, eine Antwort, die Sie auszugsweise im untenstehenden Kasten lesen können. Erwähnt wurde außerdem die praktizierte DSFA. Hiernach sei alles in Ordnung.

Wörtlich: Die Antwort von Skoda Tschechien

"Die Gesellschaft ŠKODA AUTO, a.s. verarbeitet Ihre personenbezogenen Daten basierend auf transparent deklarierten Informationserklärungen und Grundsätzen zum Schutz personenbezogener Daten, die wie folgt eingesehen werden können:

https://consent.vwgroup.io/consent/v1/texts/SkodaConnect/de/de/dataprivacy/latest/html

und

https://www.skoda-auto.com/other/privacy-policy-de

Auf der Grundlage der vorstehend angeführten Informationserklärung erfolgt keine Profilierung Ihres Fahrverhaltens. (...) Betreffend der Sensoren im Fahrzeug teilen wir mit, dass sie lokal mit den zugehörigen Steuergeräten verbunden sind und während der Fahrt keine Daten versendet werden. Im Fall des Verdachts auf einen Mangel oder für den Bedarf der Wartung können diese Daten mittels der Diagnostik-Geräte beim autorisierten Kundendienstpartner ausgelesen werden. Die Nutzung der Daten erfolgt zum Zweck der notwendigen Diagnostik, dies im Zusammenhang mit der Wartung oder Reparaturen.

Im Fall des Interesses bezüglich der Versendung eines eingeschränkten Datenumfangs im Rahmen des bezahlten Zusatzdienstes Connect Lite, kann der Kunde die Versendung dieser Daten in Form der zusätzlichen, bezahlten Dienstleistung bestellen. Dies stellt jedoch keinen Standard des Fahrzeugmodells Citigo dar. Bedingt wird dies durch die Zustimmung seitens des Kunden, wobei im Anschluss daran der Kunde die zugehörige Hardware und Software erhält. Konkrete Informationen zum Aufbau des Fahrzeugs unterliegen dem Geschäftsgeheimnis."

Glaube ich den Angaben in den sehr umfangreichen referenzierten Datenschutzerklärungen, wird mein Fahrverhalten offenbar nicht profiliert. Dies lässt die Frage aufkommen, ob dies auf einer anderen Grundlage sehr wohl doch möglich wäre. Während der Fahrt werden keine Daten versendet, aber offenbar, wenn das Fahrzeug steht.

Werkstätten können für Wartung und Reparatur auf technische Daten zugreifen und diese mit meiner Person verbinden. Das ist grundsätzlich sinnvoll. Aber ob es auch in meinem Sinne ist und ich das gegebenenfalls abbestellen möchte, wurde ich nicht gefragt. Nicht zuletzt hat man mir verschwiegen, welche Daten zu welchen Zwecken aufgrund welcher Rechtsgrundlage an Dritte übermittelt wurden.

Wenn man hartnäckig bleibt, kommt man über den Abwimmelversuch des First-Level-Supports und das Beeindruckspielchen durch Schreiben einer teuren Sozietät hinaus und erhält nicht vollkommen ins Leere laufende Antworten von Skoda. Jedoch helfen die Antworten nicht, Zweifel an der grundrechtskonformen Datenverarbeitung durch den Fahrzeughersteller auszuräumen.

c't Ausgabe 1/2022

In c’t 1/2022 sind wir auf vier Rädern unterwegs. Moderne Autos sammeln Daten über Insassen und Umwelt, die Begehrlichkeiten wecken. Bleibt da noch eine Chance auf Privatsphäre? Außerdem widmen wir uns Open-Source-Hardware, die sich dank guter Dokumentation akkurat nachbauen lässt – vom Lastenrad bis zum Notebook. Ausgabe 1/2022 finden Sie ab dem 17. Dezember im Heise-Shop und am gut sortierten Zeitschriftenkiosk.

(chbe)