Nach den Enthüllungen des Chaos Computer Club (CCC) hat die Volkswagen-Tochter CARIAD scheinbar nicht nur umfangreiche Analysedaten von rund 800.000 Fahrzeugen unzureichend geschützt, sondern auch GPS-Daten bei Elektrofahrzeugen mit einer bis zu 10cm-genauen Auflösung gespeichert. Hierdurch kann CARIAD umfangreiche Bewegungsprofile über Autofahrer erstellen und ableiten.
Welche Fahrzeuge sind betroffen?
Von den ausgewerteten Daten sind laut CCC bisher folgende Modelle betroffen:
- Audi Q4
- Audi Q6
- Skoda Elroq
- Skoda Enyaq
- Seat Born
- Seat Tavascan
- VW ID.3
- VW ID.4
- VW ID.5
- VW ID.7
Allerdings sind die Daten der Marken Audi und Skoda in den Standortdaten um eine Positionsstelle gekürzt worden, sodass der Standort nur grob aufgelöst werden kann.
Bei VW und Seat seien die Bewegungsdaten vollständig gespeichert worden.
Welcher Zeitraum wurde ausgewertet?
Der CCC konnte über 893 Mio. Geokoordinaten aus dem zugespielten Datensatz auswerten, die sich zeitlich wie folgt verteilen:
- Seat: Dezember 2023 bis September 2024
- VW: September 2023 bis September 2024
- Audi: Februar 2024 bis September 2024
- Skoda: Juli 2024 bis September
Ob darüber hinausgehende Datensätze existieren, ist aktuell nicht bekannt. CARIAD hat auf den Hinweis des CCC hin die Sicherheitslücke zügig geschlossen. Der CCC lobte die schnelle Reaktion.
Welche Datenschutzverstöße liegen vor?
Das Datenleck sei auch dem Landesbeauftragten für den Datenschutz Niedersachsen gemeldet worden. Aufgrund der detaillierten Veröffentlichung des CCC scheinen insbesondere folgende Punkte rechtlich relevant zu werden:
- Unzureichende technisch-organisatorische Maßnahmen (TOM) zum Schutz der personenbezogenen Daten gem. Art. 32 DSGVO
- Unzulässige Speicherung ungekürzter Bewegungsdaten ohne Einwilligung oder Erforderlichkeit gem. Art. 6 Abs. 1 lit. a) bzw. f) DSGVO
Wie diese erhobenen Daten durch VW bzw. CARIAD genutzt worden sind, wird im Rahmen von Auskunftsersuchen aufzuklären sein.
Rechtlich interessant wird dabei auch die Frage sein, ob durch die Geodaten und die Möglichkeit der Ableitung von Aufenthalten in Kirchen, Krankenhäusern uvm. auch die besonders geschützten “besonderen Kategorien personenbezogener Daten” gem. Art. 9 DSGVO angenommen werden können, bei denen ein grundsätzliches Verarbeitungsverbot besteht. Dies würde eine mögliche Entschädigung erhöhen können.
Welche Ansprüche haben Betroffene des VW-Datenskandals?
Zu den möglichen Ansprüchen gegen VW bzw. CARIAD zählen:
- Entschädigungsansprüche für die aus unserer Sicht unzulässige Datenerhebung exakter Standortdaten,
- Entschädigungsansprüche für die aus unserer Sicht unzureichende IT-Sicherheit,
- Unterlassungsansprüche
- Löschungs- und Auskunftsansprüche
Die Höhe der Entschädigung wird für Betroffene dabei ein wichtiges Kriterium sein:
“Wir werden uns nicht an dem Überbietungs-Wettbewerb beteiligen, mit dem vermeintliche Höchstentschädigungen versprochen werden. Die Höhe der Entschädigung wird ein Gericht festlegen. Wichtig ist deshalb ein realistisches Erwartungsmanagement und eine transparente Aufklärung im Vorfeld”,
so Tim Platner, Geschäftsführer von VINQO und COO der VINQO Rechtsanwälte.
Betroffene schließen sich zusammen
Betroffene, die gegen VW bzw. CARIAD vorgehen möchten, können ihr Interesse unverbindlich und kostenfrei an einer möglichen “Sammelklage” anmelden. Ziel ist es, bei genügend Anmeldungen eine Bündelung zu erzielen.
“Wir haben nach nicht einmal 1,5 Tagen zahlreiche Anmeldungen verzeichnet und prüfen, welches Vorgehen auch mit Verbraucherverbänden hier angeboten werden kann. Die Abstimmungen laufen dazu aktuell auf Hochtouren. Je mehr Betroffene sich unverbindlich anmelden, desto eher lassen sich Ansprüche bündeln und Prozesskosten reduzieren”,
so Platner weiter.
Sind weitere Hersteller betroffen?
In den Kommentarspalten zum VW-Datenskandal wird gelegentlich angeführt, dass alle Hersteller derartige Daten erfassen und speichern.
Dies ist rechtlich jedoch nur partiell richtig.
Zutreffend bieten viele Autohersteller Funktionen an, mit denen der Standort des Fahrzeugs überwacht werden kann, z.B.
- Mercedes: me Adapter Dienste / Meine Fahrten
- BWM ConnectedDrive
Daneben bieten auch die vom VW-Datenskandal betroffenen Marken (Audi, VW, Skoda und Seat) Endanwender-Apps an, mit denen der Standort angefragt und angezeigt werden kann.
Beispiel BMW
In den 78-seitigen Allgemeinen Geschäftsbedingungen zum ConnectedDrive (BMW ConnectedDrive, Revisionsdatum: 13. Juni 2024; Version: Release 11/24) gibt BMW an mehreren Stellen an, GPS-Daten entweder in „BMW-IT-Systemen“ zu speichern oder zu verarbeiten oder an Dritte weiterzugeben:
- Concierge Services: Position
- Connected E-Mobility: ungefähre Position des Fahrzeugs (keine genaue Position)
- Connected Parking & Refueling: Positions- und Bewegungsdaten
- Emergency Call Service: genauer Standort
- Remote Control (Fernsteuerung): Abhängig von der „Auslöseart“ auch der genaue Standort
- Remote Software Upgrade: Sprachlich unklar wird von „Fahrzeugdaten“ gesprochen; Im Falle eines abgebrochenen Remote Software Upgrades, bei dem ein Roadside Assitance (sic!) Call eingeleitet wird, werden Fahrzeug-, Standort- und Bewegungsdaten mit dem Assistenzservice eines Drittanbieters geteilt
- Repair & Maintenance: Standortdaten beim Unfallhilferuf
- Technical Basis:
– Bei Diebstahlbenachrichtigung: Geoposition zum Zeitpunkt des Alarms
– Für Future Mobility Solutions werden Fahrzeug-und Bewegungsdaten gespeichert, wie z. B. GPS-Koordinaten, Sitzbelegung, Art der Route, Geschwindigkeit, Laufleistung oder der Anteil des elektrischen Fahrens bei Plug-in-Hybrid- oder Elektrofahrzeugen - Traffic Camera Information: ungefähre Position des Fahrzeugs (nicht die exakte Position) erfasst.
- Vehicle Apps: z.B. zur Verarbeitung von Positionsangaben für die Wetter-App, verarbeitet und gespeichert
Die Standortdaten werden also
- bei Servicediensten anlassabhängig erfasst,
- nur mit dem ungefähren Standort erfasst oder
- bei standortbezogenen Services verarbeitet.
Die Ausnahme stellt dabei der Abschnitt „Technical Basis“ dar, der für „Future Mobility Solutions“ Standortdaten darüber hinaus erfasst. Allerdings gibt BMW hier an:
„Future Mobility Solutions und Verbesserung der Produktqualität sind standardmäßig deaktiviert und können über das Datenschutzmenü im Fahrzeug aktiviert werden“
BMW teilt also mit, dass bei einer
- aktiv vorliegenden Einwilligung (die Wirksamkeit einmal ausgeklammert) auch
- (wohl ungekürzte) Standortdaten
für Analysedienste genutzt werden.
Unterschied zum VW-Datenleck
Die dem CCC zugespielten Datensätze scheinen – Stand jetzt – etwas anders gelagert zu sein.
Denn beispielhaft in der „Datenschutzerklärung für die Nutzung der mobilen Online-Dienste der Volkswagen AG „We Connect, VW Connect“ in Fahrzeugen der „ID.
Familie““ aus November 2024 heißt es an mehreren Stellen der Datenschutzerklärung, man verwende insoweit die gekürzten GPS-Daten:
Es verstößt dann jedoch gegen den Grundsatz der Datensparsamkeit, dennoch bei Fahrzeugen der Marken VW und Seat die vollständigen Standortdaten zu erfassen.
Bei den Marken VW und Seat konnte anhand des Datenlecks also voraussichtlich dargelegt werden, dass die Daten nicht gemäß der eigenen Datenschutzhinweise erfasst oder gespeichert worden sind.
Aktuelles Fazit
Aktuell lässt sich durch die Veröffentlichungen des CCC bisher nur festhalten, dass die GPS-Daten bei Volkswagen und Seat umfangreich erfasst worden sind.
Die Fahrzeughersteller geben in ihren Datenschutzhinweisen erwartungsgemäß einen datenschutzkonformen Umgang mit Standortdaten an – so auch Volkswagen.
Aktuell lässt sich nur bei VW ein aus unserer Sicht datenschutzwidriges Speichern der GPS-Daten durch die zugespielten Daten an den CCC darlegen. Ob auch andere Hersteller in Wahrheit GPS-Daten exzessiver speichern und verarbeiten, als es in den Datenschutzhinweisen dargestellt wird, muss weiter aufgeklärt werden.
