Studie zum Datenschutz: Elektroautos von Tesla dürften nicht zugelassen werden

Das Netzwerk Datenschutzexpertise kommt zum Schluss, dass Autos von Tesla wegen vieler Datenschutzverstöße in der EU nicht zugelassen werden dürften.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1102 Beiträge

(Bild: Jonathan Weiss/Shutterstock.com)

Von
  • Stefan Krempl

Die Art und Weise, in der Tesla personenbezogene Informationen etwa mit seinem Modell 3 verarbeitet, verstößt "in vieler Hinsicht gegen die europäischen Vorgaben" des Daten- und des Verbraucherschutzes. Zu diesem Ergebnis kommt das Netzwerk Datenschutzexpertise in einem am Montag veröffentlichten Gutachten. Nach Ansicht der Expertengruppe dürften Tesla-Fahrzeugen damit "auf europäischen Straßen nicht zugelassen werden".

Der Verfasser der Studie, der frühere schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert, listet die potenziellen Rechtsverletzungen durch den kalifornischen E-Autobauer auf fast 40 Seiten auf. Tesla benennt demnach für die jeweilige Inanspruchnahme personenbezogener Messwerte keine präzisen Zwecke und verstößt damit gegen Artikel 5 der Datenschutz-Grundverordnung (DSGVO). Das Unternehmen gebe nicht einmal an, auf welcher Rechtsgrundlage es persönliche Daten verarbeite.

Als prägnantes Beispiel der teils illegalen Praxis nennt Weichert die Video- und Ultraschallüberwachung im Fahr- und im Parkmodus und damit "eine zentrale Funktion der Tesla-Autos". Acht Kameras gewährten eine 360-Grad-Rundumüberwachung der Fahrzeugumgebung in bis zu 250 Meter Entfernung. Ergänzt würden sie durch Ultraschall- und Radarsensoren. Diese Systeme dienten der Fahrerassistenz und der "Autopilot"-Funktion, also dem halbautonomen Fahren. Sie fungierten aber auch als Dashcams, um etwa bei Unfällen im Nachhinein Informationen auszulesen.

Unabhängig von einem Zusammenstoß ließen sich per Knopfdruck jeweils die letzten zehn Minuten abspeichern und ansehen, führt der Verfasser aus. Über die USB-Schnittstelle können die einlaufenden Daten von vier Kameras dauernd unverfremdet ausgelesen und ausgewertet werden. Personen oder auch Kfz-Nummernschilder seien darüber klar zu erkennen. Eine Sprachsteuerung im Fahrzeuginnern stehe bereit.

"Schaltet man die Kameras in den seit 2019 angebotenen 'Wächtermodus', den 'Sentry-Mode', erfassen sie zudem dauernd die Umgebung", schreibt Weichert. Bemerke eines der elektronischen Augen dabei eine auffällige Bewegung, leuchte auf dem Bildschirm ein roter Punkt auf und es erfolge eine Aufzeichnung. Dafür genüge es, dass eine Person oder ein anderes Fahrzeug nahe am Auto vorbeikämen.

Sicherheitsforscher hätten gezeigt, dass sie über eine USB-Schnittstelle sämtliche Kameras im laufenden Betrieb auswerten, Kfz-Kennzeichen erfassen und sogar Gesichtserkennung durchführen konnten. Die Innenraumkamera sei nach Konzernangaben in Europa zwar nicht aktiv geschaltet. Überprüfen könne dies der Halter oder Fahrer aber nicht.

Für den Gutachter steht so außer Zweifel: "Tesla genügt nicht den Anforderungen an die Datenminimierung und die Erforderlichkeit bei der Datenverarbeitung." Der Konzern sei "insbesondere mitverantwortlich für die nicht erforderliche, umfassende, uneingeschränkte Videoüberwachung" im Wächtermodus, ignoriere aber die Folgen. Er informiere die Betroffenen zudem nicht in einer hinreichend präzisen und verständlichen Sprache über ihre Rechte oder etwa wichtige Punkte wie die Speicherdauer der erhobenen Messwerte nach der DSGVO.

Tesla übermittelt laut der Studie zudem Daten in die USA sowie eventuell in weitere Drittstaaten ohne angemessenes Schutzniveau und ignoriert damit das jüngst ergangene Urteil des Europäischen Gerichtshofs (EuGH) gegen den Privacy Shield. Die Allgemeinen Geschäftsbedingungen der Firma verstießen ferner sowohl in formeller als auch inhaltlicher Hinsicht gegen die Vorgaben des Bürgerlichen Gesetzbuches (BGB).

Auch eine Datenschutz-Folgenabschätzung müsste Tesla durchführen, weil über die Fahrzeuge "eine systematische umfangreiche Überwachung im öffentlichen Straßenraum" erfolge, heißt es. "Es ist davon auszugehen, dass auch umfassende Fahrerbewertungen erfolgen und automatisiert sensitive Daten generiert werden." Es sei aber nicht erkennbar, dass Tesla eine solche Analyse durchgeführt habe.

Einschlägige Datenschutzbedenken hatten in weniger detaillierter Form bereits die ARD in einem Bericht sowie die Jury des Big Brother Awards mit einer Auszeichnung für Tesla in der Kategorie Mobilität vorgebracht. Nach Weicherts Eindruck war dadurch "die öffentliche Sensibilisierung" aber noch zu kurz gekommen. Deswegen habe er aufgrund eines "inneren Auftrags" ohne Bezahlung das Gutachten erstellt, erklärte er gegenüber heise online. Er hoffe, dass die Resultate etwa eine "verbandsklageberechtigte Verbraucherzentrale" aufgreife.

Am Zug sieht das Netzwerk auch die Aufsichtsbehörden. Zuständig in Deutschland sei vermutlich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), da Tesla als Kontakt für deutsche Kunden eine Adresse in München angebe. Die europäische Hauptniederlassung befinde sich in Amsterdam, sodass die federführende Kontrollinstanz für ein europäisches Verfahren die niederländische Behörde Autoriteit Persoonsgegevens wäre. Die Analyse sei zudem "beispielhaft für die Datenverarbeitung von Kfz-Herstellern", sodass auch "die Angebote der anderen Marktteilnehmer" hinterfragt werden sollten.

Der Präsident des BayLDA, Michael Will, stellte gegenüber heise online klar, dass die Behörde sich als Verfahrensbeteiligte an einer möglichen Untersuchung der niederländischen Kollegen sehe. Die eigene Aufgabe sei es so, etwaige Beschwerden gegen Tesla an diese weiterzuleiten beziehungsweise deren Prüfarbeit zu unterstützen. Mehrere Bürger hätten auch bereits allgemeine Sorgen über die von dem Hersteller durchgeführten Datenverarbeitungsprozesse thematisiert, aber noch keine "konkrete eigene Rechtsverletzung" dargelegt.

Die bayerischen Datenschützer hatten jüngst angekündigt, dem Wächtermodus rechtlich und technisch auf den Zahn fühlen zu wollen. Aufgrund der Corona-Maßnahmen sei es bislang aber nicht möglich gewesen, ein entsprechendes Fahrzeug "anzumieten oder anderweitig für unsere Zwecke zu erhalten", berichtete Will. Man halte an dem Vorhaben prinzipiell fest.

Eine "gemeinsame datenschutzrechtliche Verantwortlichkeit zwischen Halter und Tesla" bei der weitgehenden "Diebstahlsicherung" hält der Behördenleiter im Gegensatz zu Weichert für "nicht abschließend geklärt". Nach den Grundsätzen der zu Facebook-Fanpages entwickelten nationalen und europäischen Rechtsprechung sei zumindest gegenüber dem jeweiligen Fahrzeughalter in Deutschland aber die Datenschutzbehörde zuständig, in deren Bezirk der jeweilige Tesla-Inhaber ansässig sei. Ein Generalverdacht gegenüber allen Anbietern vernetzter, technologisch fortentwickelter Fahrzeuge sei zudem nicht haltbar. Die Autoriteit Persoonsgegevens antwortete am Dienstag nicht auf eine Anfrage zu eventuell bereits gegen Tesla laufenden Verfahren.

(mho)