Das Bayerische Landesamt für Datenschutzaufsicht (LDA Bayern) hat laut Medienberichten ein Datenschutzverfahren gegen den chinesischen E-Auto-Bauer Nio eingeleitet. Es besteht der Verdacht, dass Nio gegen die DSGVO verstoßen haben könnte, weil Daten auf Servern in China gespeichert wurden.
Autos als Datenkrake
Ich hatte ja hier im Blog bereits mehrfach darauf hingewiesen, dass moderne Fahrzeuge regelrechte Datenkraken sind, die Daten für die Hersteller sammeln. Kürzlich war VW aufgefallen, weil man Daten über eine App sammelte und diese durch eine Sicherheitslücke öffentlich wurden (siehe VW-Datenleck: Terabyte an Bewegungsdaten von E-Fahrzeugen). Aber es ist lange bekannt, dass die Hersteller viele Fahrzeugdaten und persönliche Daten des Fahrzeugbesitzers sammeln (siehe Crowd-Recherche: „Datenspende“, was wissen PKW-Hersteller über Kunden? und Datenschutz-GAU neues Auto – Mozilla untersucht Situation in den USA, folgt Europa?).
Der chinesische Hersteller von E-Autos, Nio, versucht ja in Europa Fuß zu fassen. In seinen Fahrzeugen sind zahlreiche Sensoren sowie ein Sprachassistent integriert. Potentielle Autokäufer zeigten sich in einer vor einigen Monaten durchgeführten Befragung besorgt, dass der Datenschutz bei Fahrzeugen aus China nicht so dolle ist (siehe Fahrzeuge aus China: Kunden sorgen sich um Datenschutz).
Verfahren gegen Nio vom LDA Bayern
Nun hat das Bayerische Landesamt für Datenschutzaufsicht (LDA Bayern) laut Spiegel Online (Paywall), ein Datenschutzverfahren gegen den chinesischen E-Auto-Bauer Nio eingeleitet. Nio hat zwar eine umfangreiche Datenschutzerklärung veröffentlicht, welche Daten erfasst und verarbeitet werden.
Das LDA Bayern hegt aber den Verdacht, dass Nio in Fahrzeugen persönliche Daten sammelt und diese an Server in China überträgt. Golem hat diesen Sachverhalt in diesem Artikel aufbereitet.
Hintergrund der Prüfung ist mutmaßlich eine Untersuchung des norwegischen Ingenieurs Tor Indstøy am Nio EL8. Indstøy untersuchte, welche Daten das Auto sammelt und wohin es diese übermittelt. Seine Ergebnisse aus dem 2023 gestarteten Projekt Lion Cage hat er auf LinkedIn veröffentlicht (einen Beitrag auf norwegisch findet sich hier). Er kam zum Schluss, dass etwa 90 Prozent der erfassten Daten auf Servern in China landen. Von Nio wurde dies gegenüber dem Spiegel jedoch bestritten. Jetzt muss man abwarten, was die Prüfung durch den bayerischen Datenschutz ergibt.
Ähnliche Artikel:
Risiko Keyless Go-Systeme beim Auto: Kein Schutz bei Diebstahl
Bluetooth Low Energy-Schwachstelle und der Tesla-Auto-Klau
Software: Unser Grab als PKW-Besitzer der Zukunft?
Was läuft falsch, bei modernen Autos?
Fail: Toyota ermöglicht den Remote-Start seiner vernetzten PKWs nur mit Monats-Abo
Connected-Car: Überwachung seit 15 Jahren gang und gäbe
Connected Car-Schwachstellen und PKW-Datensammelwut
ADAC: Keyless-Systeme in PKWs in 2024 immer noch leicht zu hacken
Crowd-Recherche: „Datenspende“, was wissen PKW-Hersteller über Kunden?
PKW-Sicherheit: Kia-Challenge und Hyundai-Key im Web
KIA-Schwachstelle: Millionen Fahrzeuge hack- und trackbar
Fahrzeuge aus China: Kunden sorgen sich um Datenschutz
Datenschutz-GAU neues Auto – Mozilla untersucht Situation in den USA, folgt Europa?
DSGVO-Falle Fleetback: Wenn Du die falsche Benachrichtigung bekommst
Automobile IT-Fehlentwicklungen: Touchbedienung als Risiko; Datenerfassung als Falle für Besitzer
BMW kickt Abonnement für Sitzheizung
Tesla: Ein falscher „Klick“ sorgt für 14.000 US-Dollar Kreditkartenbelastung
Tesla-Files: Datenleck zeigt die Probleme des Autobauers mit seinem Autopilot und der Sicherheit
Datenschutzbeauftragter warnt: Dashcams (speziell bei Tesla) sind unzulässig
Digades GmbH (Funkfernsteuerungen etc.) in Insolvenz – Dienste abgeschaltet
Audi, Seat, Skoda, VW: Connectivity-Dienste (Car-Net) war gestört
Webasto: Massenmail zur DSGVO-Zustimmung schief gelaufen
VW-Datenleck: Terabyte an Bewegungsdaten von E-Fahrzeugen
Valetudo: Den automatischen Staubsauger-Roboter datenmäßig zähmen
Datensicherheit und Datenschutz sind bei Fahrzeugen leider weiterhin absolute Fremdworte.
Android-Patchevel Oktober 2024 in einem vollständig aktualisierten Fahrzeug mit permanenter Internetverbindung?
Ein Fahrzeugausweis, welche Daten wann wo erfasst und wie weiter gegeben und verarbeitet werden, analog z.B. dem Energieausweis für Hausgeräte?
Eine unaufgeforderte Auskunftspflicht zumindest für die Vertragshändler in einfacher Sprache, so wie es im Gesundheitswesen mit den negativen Möglichkeiten von Maßnahmen zwingend erfolgen sollte?
Oder gar ein zwingender „Low-Data-Modus“, bei dem tatsächlich nur dann eine Verbindung aufgebaut wird, wenn eCall ausgelöst wird?
Für die Mehrzahl der Fahrer mag das alles genauso akzeptabel sein, wie auf ihren Handys auch.
Da wird ja tendenziell eher in den Appstores 1-Sterne-Gewertet, wenn TAN-Apps den Support für seit Jahren veraltete Betriebssysteme einstellen. Und man greift zur Werbe-getrackten Kostenlosversion der Apps. Der Aufschrei beim VW-Tracking der ID-Fahrzeuge ist ja auch ausgeblieben.
Aber während ich ein Handy einfach mal ausschalten kann oder vieles selbst so modifizieren kann, dass es möglichst wenig preisgibt, geht das bei Autos leider nicht.
Und ich kann bei Neu- oder Gebrauchtanschaffungen faktisch keinen datenschutzbewussten Wagen kaufen, wenn ich nicht deutlich ins Segment 10+ gehe.
Mich wundert, dass das von den sonst sehr kritischen großen Verbänden und Medien (Heise, ADAC, CCC, Verbraucherzentralen, Datenschutzkonferenz und wie sie alle heißen) überhaupt nicht aufgegriffen wird.
Die Politik wird erst dann handeln, wenn die Gesellschaft es fordert [Aluhut auf] und auch dann erst mal nur zögerlich, da ja auch Interessen der großen deutschen Autokonzerne massiv betroffen sind. [Aluhut ab]
Im Kartellrecht gibt es doch eine Sektorenuntersuchung. Vielleicht sollte der Datenschutz so etwas auch mal für die Automobilindustrie starten?
@GB und andere: irgendeine Idee, warum das Thema selbst in der Fachwelt so unterrepräsentiert ist?
Du gibst Dir die Antwort selbst:
Das ist doch sowas von lächerlich. ALLE diese Connected-Karren von heute von JEDEM Hersteller sind ein Datenschutz-Albtraum. Ob die Daten nun in China oder USA (Tesla!!) oder überall (könnte ich mir bei den Software-Laien VW gut vorstellen) landen, ist letztlich egal, denn irgendwo, wo sie nicht hingehören, werden sie landen.
Einzige Abhilfe: Nicht kaufen, schrauben lernen. Meine Autos sammeln keine Daten. Gegen kamerabewehrte andere Autos, die ständig die gesamte Umgebung filmen und mich u.U. auch hilft das nicht, aber IN meinem Auto bin ich privat.
ich fürchte, Du hast schlicht die DSGVO nicht verstanden, die ist Grundlage der Untersuchung
Gemeint ist mutmasslich: Das LDA Bayern könnte gegen alle und insbesondere auch alle deutschen Hersteller Datenschutz Untersuchungen einleiten und würde fündig werden…
Falls sich GBs Antwort auf meinen ersten Kommentar und nicht auf noway bezog:
Ja, genau wie Anonym es schreibt, ist es gemeint.
Analogien zur IMHO wünschenswerten Sektorenuntersuchungsmöglichkeit wie im Kartellrecht sollten sich finden lassen.
Naja, DSGVO ist ja grundsächlich schön und gut, aber auf geduldiges Papier schreiben kann man vieles. Wer überprüft wirklich, ob das auch alles so stimmt? Und gibt es einen „Datenschutzvorfall“, sind die Daten halt trotzdem raus. Und ja, ich denke, bei jedem würde man fündig werden, würde man hinreichend untersuchen. Es fängt ja schon damit an, dass alle Hersteller sich in der Richtung völlig intransparent geben und den allermeisten Autofahrern gar nicht bewusst ist, dass sie in einer rollenden Wanze sitzen. Aber gut, das stört sie bei ihren Smartphones auch nicht.
Sicher ist es nur, wenn die Daten gar nicht erst erhoben werden.
Alles andere ist m.E. Schönreden und Augenwischerei. Ich persönlich traue in der Hinsicht inzwischen niemandem mehr, gerade weil ich aus anderen Bereichen auch die Datenschutzpraxis kenne.