"In vieler Hinsicht" würde Tesla bei der Verarbeitung von personenbezogenen Daten gegen EU-Vorgaben für den Datenschutz verstoßen. Das ist der Schluss, zu dem das deutsche Netzwerk Datenschutzexpertise in einem aktuellen Gutachten kommt. Auf fast 40 Seiten nennt der frühere Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, die möglichen Verstöße. Das Gutachten kommt zu dem Ergebnis, "dass wegen vieler Datenschutzverstöße diese Fahrzeuge auf europäischen Straßen nicht zugelassen werden dürften".

Zentral ist dabei, dass das Unternehmen nicht präzise genug aufzählt, wofür eigentlich personenbezogene Messwerte genutzt werden. Selbst die Rechtsgrundlage für die Datenverarbeitung werde nicht ausgeführt.

Umfassendes Überwachungspotenzial

Dabei haben gerade Tesla-Autos ein umfassendes Potenzial zur Überwachung – schließlich würden acht Kameras eine 360-Grad-Rundumüberwachung der Fahrzeugumgebung in bis zu 250 Meter Entfernung gewähren, heißt es in dem Bericht. Dazu kämen zwölf Ultraschallsensoren.

Die Sensoren seien einerseits als Fahrerassistenz vorgesehen, andererseits dienen sie aber auch der "Autopilot"-Funktion, also dem teilautonomen Fahren. Außerdem können sie als Dashcams genutzt werden, etwa wenn ein Unfall erfolgt ist. Über die USB-Schnittstelle könnten die einlaufenden Daten von vier Kameras dauernd unverfremdet ausgelesen und ausgewertet werden.

Stundenlange Übertragung an US-Server

Trotzdem sei weitgehend unklar, welche Sensordaten an Tesla übermittelt und gespeichert werden und welche im Auto bleiben und überschrieben werden. In den Nutzungsbedingungen fänden sich keine erkennbaren Grenzen. "Eine Analyse des vom Fahrzeug aus erfolgenden Datentransfers ergab, dass eine teilweise stundenlange Datenübertragung auf Server an der US-amerikanischen Westküste erfolgt", so Weichert.

"Dabei wird eine WLAN-Verbindung genutzt. Welchen Inhalt die per WLAN übertragenen Daten haben, blieb unklar, da die Datenpakete verschlüsselt übermittelt werden." Tesla-Chef Elon Musk zufolge würden keine Livevideos aus Autos in Deutschland übertragen werden – das schließe aber nicht aus, dass zeitversetzt sehr wohl Videoinhalte übertragen werden.

"Wächtermodus" mit Kennzeichenerfassung und Gesichtserkennung

Besonders fragwürdig sei das beim seit 2019 angebotenen "Wächtermodus" bzw. "Sentry-Mode", der dauerhaft die Umgebung erfasst. Bei einer auffälligen Bewegung leuchtet ein roter Punkt auf dem Bildschirm auf, und die Aufzeichnung beginnt. Dafür reiche es, wenn eine Person nahe am Auto vorbeigeht oder ein anderes Fahrzeug vorbeifährt. Mit der Technologie ist es möglich, sämtliche Kameras im laufenden Betrieb auszuwerten, Kfz-Kennzeichen zu erfassen und sogar Gesichtserkennung durchzuführen.

Aus Sicht des Datenschützers verzichte Tesla somit darauf, die Datenverarbeitung präzise zu benennen, und genüge nicht den Anforderungen an die Datenminimierung – die Datenschutzgrundverordnung (DSGVO) sieht nämlich vor, dass Unternehmen nur so viele Daten speichern dürfen wie unbedingt notwendig. Außerdem sei Tesla "mitverantwortlich für die nicht erforderliche, umfassende, uneingeschränkte Videoüberwachung und die darauffolgende Verarbeitung sowohl im Fahr- wie auch im Parkmodus, wenn der Wächtermodus eingeschaltet ist". Zudem fehlten Angaben zu Zwecken, der Rechtsgrundlage, den berechtigten Interessen, der Speicherdauer und der Angemessenheit im Empfängerland.

Daten fließen in die USA

Dazu kommt nämlich, dass Daten in die USA und womöglich weitere Länder fließen, ohne dass ein angemessenes Schutzniveau sichergestellt wird. Damit ignoriert Tesla das "Privacy Shield"-Urteil des EuGH vom Sommer, das den Datentransfer zwischen EU-Staaten und den USA über ein Abkommen regelte. Datenschutzgesetze stehen im Konflikt mit der US-Judikatur – Erstere schreiben einen sensiblen Umgang mit Daten vor, die Weitergabe an einen Drittstaat ist nur gestattet, wenn auch dort ein bestimmtes Schutzniveau erreicht wird. Die Gesetzeslage in den Vereinigten Staaten, allen voran der "Cloud Act", zwingt Unternehmen aber dazu, Behörden die Überwachung von Nicht-US-Bürgern zu ermöglichen.

Aufgrund des Ausmaßes der Verarbeitung müsste zudem eine Datenschutzfolgeabschätzung erfolgen – es bestehe das Risiko "einer systematischen umfangreiche Überwachung öffentlich zugänglicher Räume" und eine umfangreiche Verarbeitung "besonderer Kategorien personenbezogener Daten", außerdem würden Entscheidungen zur Überwachung – wie etwa beim Wächtermodus eben – automatisiert getroffen.

Zuständig für die Aufsicht von Tesla ist wohl die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens. Tesla hat seinen europäischen Sitz nämlich in Amsterdam. (muz, 22.10.2020)