Autos sammeln per App immer mehr und detailliertere Daten über ihre Fahrer – allerdings ohne deren Wissen oder Zustimmung. Zu diesem Fazit kommt die Stiftung Warentest, die erstmals die Apps der Autohersteller getestet und dabei festgestellt hat, dass deutlich mehr Daten an die Firmen gesendet werden als nötig. Besonders beunruhigend demnach: Die Hersteller informieren weder ihre Kunden über diese Praxis, noch gewähren sie den Fahrern Zugriff auf die eigenen Daten.

Datenschützer beschäftigen sich seit Jahren mit den Problemen vernetzter Autos: Fahrassistenzsysteme und Apps machen die Fahrten zwar sicherer und komfortabler, überwachen die Fahrer dafür aber stärker. Unzählige Sensoren, Kameras und Fahrzeugdaten werden analysiert und über gekoppelte Smartphones und die Apps der Firmen direkt an die Herstellerserver geschickt. Laut Stiftung Warentest sind darunter etwa Informationen über Bremsverhalten, Tempo oder Füllstände der Tanks.

Um solche Daten überhaupt erheben und nutzen zu dürfen, müssen Kunden laut Bundesdatenschutzgesetz und Telemediengesetz explizit einwilligen. Das geschieht laut Testbericht aber bei keinem der geprüften Anbieter. Thilo Weichert, Jurist und Datenschutzexperte, bemängelt, dass die juristischen Möglichkeiten aktuell nicht ausreichen: "Es gibt ein Vollzugsdefizit in Deutschland", sagt er. Die Regierung reagiere bislang kaum auf Verstöße gegen den Datenschutz.

Schont die Regierung die deutschen Autobauer?

Weichert sieht dahinter Kalkül, um die heimischen Autobauer zu schützen. "Bei der Aufsichtsbehörde in Ansbach wird das Datenschutzgesetz für die dort ansässigen Autobauer sehr frei ausgelegt." Die Dienstleister nutzten diese Gelegenheit und sammelten deutlich mehr Daten als erforderlich. "Die Autobauer haben das Geschäft mit den Daten, das bisher nur andere betrieben haben, für sich entdeckt", sagt Weichert.

Generell ist das Datensammeln für die Hersteller nicht verboten. "Wenn mit den Daten die verbaute Technologie verbessert werden soll, gibt es auch ein berechtigtes Interesse", sagt Weichert. Dann sei das Datensammeln legitim. Ebenso müssen etwa Carsharing-Autos Daten sammeln, um die Abrechnung zu erstellen oder um Schadensfälle dokumentieren zu können. Wichtig dabei sei aber, dass Daten gelöscht werden, sobald sie nicht mehr relevant sind. "Wann ich wo den Scheibenwischer eingeschaltet habe, spielt keine Rolle. Diese Daten müssen unverzüglich gelöscht werden", sagt Weichert.

Die Fahrtrouten werden an Google weitergegeben

Die Apps der Autobauer erheben aber deutlich mehr Daten – und geben diese laut Testbericht teilweise unverschlüsselt weiter. Sie kennen beispielsweise Nutzernamen oder die Fahrzeugidentifikationsnummer, die für eine optimale Routenplanung kaum relevant sein dürfte. Den Standort des Autos oder die Fahrtwege geben die Apps sogar an Google und den Navi-Hersteller TomTom weiter. Bei Android sogar auch dann, wenn gerade nicht navigiert wird.

Kfz-Daten sind aus Unternehmenssicht besonders wertvoll. Standortdaten ließen sich deutlich besser weiterverwenden als nur simple Daten der Internetnutzung, wie sie etwa ein Smartphone liefert. Gleichzeitig könnten präzisere Nutzerprofile erstellt werden. "Ein Auto besitzen wir viele Jahre, während wir das Smartphone nach ein bis zwei Jahren austauschen", sagt Weichert. Profile des alten Smartphones mit dem neuen zu verknüpfen sei zwar nicht unmöglich, aber aufwendig. Im Auto gesammelte Daten bildeten hingegen einen deutlich längeren Zeitraum ab und ließen damit viel mehr Rückschlüsse auf den Nutzer zu.

Die Autofirmen blocken ihre Nutzer ab

Was in den Apps von Audi, BMW und den anderen Herstellern wirklich passiert, wissen die wenigsten. Kein Anbieter gibt ausreichende Informationen zum Datenschutz, bei vielen werde man auf englischsprachige Erklärungen verwiesen, die aber viele Unschärfen habe, so Stiftung Warentest. Weichert findet besonders bedenklich, dass Betroffenen ihre Daten vorenthalten werden: "Die Verfügungsmacht über die Daten hat immer der Nutzer." In der Praxis blocken die Autofirmen aber ab, wenn Nutzer diese Daten einsehen wollen.

Mit der EU-Datenschutz-Grundverordnung gibt es ab März 2018 zwar schärfere Sanktionsmöglichkeiten für Datenmissbrauch. Unternehmen können dann mit Zahlungen von bis zu vier Prozent des Jahresumsatzes bestraft werden, wenn sie den Datenschutz nicht einhalten. Die Autobauer hätten aber schon jetzt die einfache Möglichkeit, ihre Apps mit datenschutzfreundlichen Werkseinstellungen anzubieten, so Weichert. "Hier könnte der Automobilindustrie tatsächlich ein Softwareupdate helfen."