Studie zum mangelnden Datenschutz bei Tesla

3. November 2020

Nach einer Studie des Netzwerks Datenschutzexpertise dürfen Autos von Tesla wegen vieler Datenschutzverstöße in der EU nicht zugelassen werden. Der Verfasser der Studie, der frühere schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert, führt die potentiellen Rechtsverletzungen in einem Gutachten auf fast 40 Seiten auf. 

Die vielen Kameras und elektronischen Messysteme, die Tesla im Model 3 verbaut hat, stellen personenbezogene Messwerte dar, für deren Inanspruchnahme Tesla keine präzisen Zwecke nennt. Dies stellt einen Verstoß gegen Artikel 5 der DSGVO dar. Als weiteres Beispiel wird die Video- und Ultraschallüberwachung während der Fahrt und im sogenannten „Sentry-Mode“ benannt. Dies ist ein Überwachungsmodus, der aktiviert werden kann, wenn das Auto geparkt ist. Acht Kameras, die rund um das Auto montiert sind, ermöglichen eine Rundumüberwachung der Fahrzeugumgebung in bis zu 250 Meter Entfernung. Über die USB-Schnittstelle können die einlaufenden Daten von vier Kameras dauernd unverfremdet ausgelesen und ausgewertet werden. Personen oder auch Kfz-Nummernschilder seien so klar zu erkennen.

Im Sentry-Mode erfassen die Kameras zudem dauernd die Umgebung. Eine kleine Bewegung im unmittelbaren Umfeld des Fahrzeugs reiche bereits, sodass im Cockpit ein roter Punkt aufleuchtet und dies aufzeichne. Dafür genüge es, dass eine Person oder ein anderes Fahrzeug nahe am Auto sei. Sicherheitsforscher hätten gezeigt, dass sie über eine USB-Schnittstelle sämtliche Kameras im laufenden Betrieb auswerten, Kfz-Kennzeichen erfassen und Gesichtserkennung durchführen konnten.

Dem Gutachten zur Folge „genügt Tesla nicht den Anforderungen an die Datenminimierung und die Erforderlichkeit bei der Datenverarbeitung.“ Tesla sei „insbesondere mitverantwortlich für die nicht erforderliche, umfassende, uneingeschränkte Videoüberwachung“ im Wächtermodus. Ignoriere aber deren Folgen. Das Unternehmen informiere die Betroffenen zudem nicht in einer hinreichend präzisen und verständlichen Sprache über ihre Rechte oder etwa über die Speicherdauer der erhobenen Messwerte.

Die Studie merkt zudem an, dass Tesla Daten in die USA sowie eventuell in weitere Drittstaaten ohne angemessenes Schutzniveau versendet. Damit ignoriere Tesla das jüngst ergangene Urteil des Europäischen Gerichtshofs gegen den Privacy Shield.

Nun seien die deutschen und europäischen Aufsichtsbehörden am Zug. In Deutschland sei vermutlich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig, da Tesla als Kontakt für deutsche Kunden eine Adresse in München angegeben habe. Die europäische Hauptniederlassung befinde sich in Amsterdam, somit für ein europäisches Verfahren die niederländische Behörde „Autoriteit Persoonsgegevens“ die zuständige Kontrollinstanz.