-
Auto-Datenschutz
Wenn der Wagen zu viel weiß
Moderne Autos sind rollende Computer. Sie sammeln und versenden viele Daten. Vor deren Missbrauch können sich Fahrer aber in vielen Fällen schützen, vor allem vor dem Verkauf ihres Wagens.
06. Februar 2023
Moderne Autos wissen viel über Fahrerinnen, Fahrer und ihre Fahrgewohnheiten, speichern unentwegt Daten und teilen diese oft mit dem Hersteller. Zwar müssen Nutzerinnen dem nach der Datenschutz-Grundverordnung (DSGVO) zustimmen, doch welche Daten genau geteilt werden und was damit passiert, bleibt oft im Verborgenen.
In einem Auto mit vielen verschiedenen Komponenten werden unzählige Daten gesammelt, bis zu 120 Steuergeräte arbeiten in einem Fahrzeug. „Alle Zulieferer verwenden Mikrochips, unter anderem für Sicherheits- und Komfortfeatures, wie auch für das Infotainmentsystem“, erklärt Sven Hansen vom IT-Fachmagazin „c't“. „Beim Betrieb fallen viele Daten in den einzelnen Steuergeräten an, auf die ein Fahrer keinen Zugriff hat, die aber so spezifisch sind, dass man Rückschlüsse auf den Fahrer und sein Fahrverhalten ziehen kann.“
Zugriff nur auf wenige Daten
Vieles davon wird nicht lange gespeichert, sondern permanent überschrieben. Zugriff erhalten Fahrerinnen und Fahrer zudem nur auf wenige Daten. Dazu gehören etwa die Infos im Navi und im Entertainmentsystem. „Aber schon die Motordaten lassen Rückschlüsse auf ein bestimmtes Fahrverhalten zu, etwa die Motordrehzahl oder wie oft das Gaspedal durchgetreten worden ist“, sagt Hansen.
Nach der DSGVO muss der Hersteller darlegen, zu welchem Zweck im Auto Daten gesammelt werden und was mit ihnen passiert. Interesse daran, ihre Produkte mit Hilfe solcher Daten zu optimieren, haben beispielsweise Telematikdienste oder Versicherer. Nathalie Teer, Referentin Mobility & Logistics beim IT-Branchenverband Bitkom, differenziert bei den gesammelten Daten zwischen Daten, die erhoben werden müssen, und Daten für Komfortfeatures und Services, die dazu gebucht werden. „Die Menge und die jeweiligen Daten hängen teilweise vom Fahrzeug und der Marke ab“, sagt Teer.
Der Gesetzgeber gebe viele Parameter vor, die zwecks Sicherheit und Prüfung erhoben werden müssen, so Teer weiter. „Einige der Daten gehen nur an den Hersteller und sind für Kunden nicht auf den ersten Blick sichtbar.“ Dazu gehörten beispielsweise Infos, die aus dem Steuergerät bei der Hauptuntersuchung abgelesen werden.
Zugang über Infotainmentsystem und Apps
Optionale Funktionen wie Musikdienste, Fahreinstellungen oder Navigation ließen sich dagegen gut einsehen, sagt Teer. „Nutzer müssen bestimmten Funktionen aktiv zustimmen und werden über den Verbleib der Daten informiert.“ Das gelte insbesondere auch, wenn Daten mit Dritten geteilt werden. Über Dashboards im Infotainmentsystem des Fahrzeugs oder über verbundene Apps erhielten Fahrerinnen und Fahrer häufig Übersichten, um Freigaben zu erteilen, diese zurückzuziehen oder um Daten zu löschen.
Für den Datenschutz relevant sind alle Daten im Fahrzeug, sagt Christoph Krauß. „Sobald sich Fahrzeugdaten mit der Fahrzeugidentifikationsnummer oder dem Kfz-Kennzeichen verknüpfen lassen, sind diese als personenbezogen zu betrachten, da sich unter anderem Bewegungsprofile erstellen lassen“, erklärt der Professor für Netzwerksicherheit an der Hochschule Darmstadt. Er koordiniert den Bereich Secure Autonomous Driving des Athene-Forschungszentrums.
Einige Daten seien besonders sicherheitsrelevant, etwa die Steuerdaten für die Bremsen, sagt Krauß. Manipulationen dieser Daten können verheerende Auswirkungen haben. Auch viele Mehrwertfunktionen nutzen Personendaten. Dazu werden bei einer Synchronisation des Smartphones mit dem Auto Daten versendet, wie Standortsuche, Füllstände, Verriegelung und Ferndiagnose des Autos. Auch beim automatischen Notrufsystem E-Call und der Kommunikation mit anderen Verkehrsteilnehmern verschickt das Auto Infos.
Man muss auf den Hersteller vertrauen
Ein Auto speichert aber nicht alle Daten lokal, einige landen auf den Servern der Hersteller oder gehen an Drittanbieter. Es komme dabei auf Marke, Modell und Baujahr des Fahrzeugs an. „Gegen Cyber-Attacken können sich Autofahrer selbst kaum schützen und müssen darauf vertrauen, dass die Hersteller ihre Fahrzeuge und Backend-Systeme gut abgesichert haben“, sagt Prof. Krauß. „Für potenzielle Angreifer ist das Backend der Hersteller mit seinen vielen Daten deutlich interessanter als ein einzelnes Fahrzeug, daher werden eher diese Verbindungen angegriffen.“ Mit der seit Juli 2022 für neue Typzulassungen geltenden UNECE-Regelung R155 (Cybersecurity Management System) und R156 (Software Update and Software Update Management System) hat die EU dafür Richtlinien festgelegt.
Bei Autoverkauf löschen und abmelden
Der ADAC empfiehlt bei im Infotainmentsystem vorinstallierten Apps, etwa Musikstreaming-Anwendungen, eine gesonderte Abmeldung, bevor das Fahrzeug verkauft wird. Auch sei es wichtig, Verknüpfungen von Remote-Apps zu lösen, über die sich das Auto oder Funktionen des Autos per Smartphone fernsteuern lassen. Das vollständige Löschen persönlicher Daten im Infotainmentsystem sei nur über die Funktion „Zurücksetzen auf Werkseinstellungen“ möglich.
Allen, die ein Auto verkaufen, rät Sven Hansen, dem Datenschutzbeauftragten des Herstellers mitzuteilen, dass ein Halterwechsel stattgefunden hat und der Hersteller alle Daten löschen soll: „Da hat jeder Kunde ein Recht drauf und damit ist er auf der sicheren Seite vor Datenmissbrauch.“
Foto: Christin Klose/dpa-tmn