Zum Inhalt springen

DSGVO und die Automobilindustrie

Last updated on 11. Juli 2019

Als Werbeagentur haben wir uns in den letzten Wochen intensiv mit der Datenschutz Grundverordnung – DSGVO befasst. In diesem Zusammenhang stellte sich für mich die Frage, welche Konsequenzen hat dies auf Fahrzeuge, die permanent Daten über unser Fahrverhalten sammeln. Mein VW aus dem Jahre 2017 blendet ständig Warnsymbole ein und kontrolliert meinen Fahrstil. Angeblich werden auch Daten über das Fahrverhalten an sich gesammelt, also wie wird gebremst und beschleunigt etc. Über einen Sensor an der Front wird erfasst wie frühzeitig ich bei Gefahren reagiere und vieles mehr. Was mein Fahrzeug genau macht, hat mich schon immer interessiert und auch die Frage, wer wann zu diesen Daten Zugang hat und wo diese Daten am Ende landen.

Der Müdigkeitssensor zeigt bei mir immer dann eine angebliche Müdigkeit an, wenn ich entspannt auf der Autobahn fahre und nicht mehr nervös beschleunige oder bremse. Eigentlich der beste und sicherste Zustand für einen Fahrer. Wenn dies aber als Müdigkeit gewertet wird, hat man bei einem Unfall unter Umständen ein Problem, da ein Gutachter behaupten könnte man sei übermüdet gefahren und das Auto hätte dies erkannt.

Solange diese Techniken nicht von einer Norm abgedeckt sind, sind sie sicherlich nicht gerichtsverwertbar. Dennoch hinterlassen sie einen Eindruck und ein Unternehmen könnte – wie auch schon Versicherungen – auf die Idee kommen meine Leasing-Verträge nach meinem bisherigen Fahrverhalten zu gestalten.

Es besteht also vor allem ein Aufklärungsbedarf von Seiten der Hersteller. Und für die Zukunft stellt sich die Frage, wie gehen wir mit den Daten um, da sie essentiell sind für das sukzessive autonome Fahren.

Um ein wenig Licht ins Dunkel zu bringen habe ich folgenden Brief an VW in Wolfsburg geschrieben:

Sehr geehrte Damen und Herren,

ich habe bei Ihnen folgendes Fahrzeug für 3 Jahre geleast:

Angebotsnummer:
Vertragsnummer:
Händler:
Modellschlüssel:

Entsprechend der Datenschutzgrundverordnung habe ich das Recht auf Auskunft, welche Daten genau über mich vom Fahrzeug gespeichert werden, zudem wo und wie diese Daten verarbeitet werden. Wer hat wann auf die Daten Zugriff?
Zudem bitte ich Sie mir alle über mich vorhandenen Daten zu übermitteln.
Ich beantrage hiermit ebenfalls, dass Sie mir mitteilen wie ich die Löschung aller Daten vornehmen und das weitere Sammeln unterbinden kann.

Ein wichtiger Aspekt der DSGVO ist die Zweckgebundenheit und die Datensparsamkeit.

Für die Erfüllung des Leasingvertrages sehe ich nur die Speicherung der gefahrenen Kilometer als integraler Bestandteil.
Alle anderen Daten, die das Fahrzeug erhebt, sind nicht relevant für die Durchführung des Vertrages. Ich bitte Sie das Sammeln dieser zusätzlichen Daten komplett einzustellen und alle vorhanden Daten, nach der Übermittlung an mich, auf allen Medien außerhalb und innerhalb des Fahrzeuges zu löschen. Ebenfalls bitte ich Sie das Sammeln aller Daten, außer des Kilometerstandes, einzustellen.

Was die Verkehrssicherheit betrifft können Daten in der jeweiligen Situation erhoben und verarbeitet werden, sollen aber innerhalb einer technisch notwendigen Zeitspanne (ein paar Sekunden, bis spätestens zum Abstellen des Fahrzeuges) wieder gelöscht werden.

Einer Übermittlung, der über mich erhobenen Daten, an Dritte widerspreche ich hiermit explizit.

Ich bitte um umgehende Mitteilung, Zusendung meiner Daten und einer Angabe, wann das Datensammeln in meinem Fahrzeug von Ihnen abgestellt werden kann und wer dafür zuständig ist.

Ich bitte ebenfalls mir mitzuteilen welche Daten Sie über mich außerhalb des Fahrzeuges erhoben haben und wer wann und wie Einsicht hat und auch diese an mich zu übermitteln.

Zusammenfassend bitte ich um folgendes:

a. Auskunft (wo werden wann, welche Daten gesammelt, wer hat Einsicht)
b. Übermittlung meiner Daten
c. Einstellen des Datensammelns
d. Löschung aller bereits gesammelten Daten

Mit freundlichen Grüßen

Thomas Hezel

Ich bin nun gespannt wie sich der Konzern oder der Händler zu meiner Anfrage äußert.

Ein zweiter Brief an den VW-Händler in Berlin

Dieser wurde am 8.6.2018 beantwortet mit dem Ausdruck einiger Daten (Adresse, Telefonnummer, Email etc.), aber ohne die Daten, die im Fahrzeug gespeichert werden. Dies ist auch verständlich, da ich noch bei keiner Inspektion war, es also keine dirkete Gelegenheit gab die Daten auszulesen.
Es wurde mir bestätigt, dass meine Kontaktdaten aus der Werbedatei gelöscht wurden.
Bezüglich der durch das Fahrzeug gesammelten Daten hat man mich an den Konzern  verwiesen. Bezüglich der Daten in Zusammenhang mit dem Leasing-Vertrag an Volkswagen Finacial Services.

 

Update 28.5.2018 – VW-reagiert mit einer Email (unverschlüsselt) und einem nicht funktionierenden Link

 
Am 28.05.2018 um 15:38 schrieb VWGS R: WOB, KKM MARKETINGSPERRE <info-datenschutz@volkswagen.de>:
 
Sehr geehrter Herr Hezel,
 
vielen Dank für Ihre Anfrage vom 24.05.2018. Damit wir Ihre Anfrage bearbeiten können, benötigen wir zumindest Ihren Vor-und Nachnamen, Ihre Adresse sowie Ihr Geburtsdatum. Bitte ergänzen Sie ebenfalls den Halterschaftszeitraum für Ihr Leasingfahrzeug.
 
Auf der Internetseite www.datenschutz.volkswagen.de/auskunftsanfrage können Sie uns Ihre Angaben auf elektronischem Weg zusenden.
 
 
Freundliche Grüße
[Vorname / Nachnahme des Ansprechpartners — gelöscht]
Volkswagen Group Services GmbH I Standort Wolfsburg I Kaufmännische Dienstleistungen
Volkswagen Kundenbetreuung – Team Datenschutz
Braunschweiger Str. 101
38444 Wolfsburg
05361 – 9 15 XXX
Sitz der Gesellschaft: Wolfsburg
Amtsgericht Braunschweig: HRB 100516
Geschäftsführung: [Namen von mir gelöscht]
Ein Unternehmen im Volkswagen Konzern | A Volkswagen Group Company

 

Meine Antwort

Sehr geehrte Damen und Herren,

leider funktioniert der von Ihnen angebotene Link nicht!
Sie sind ebenfalls verpflichtet eine sichere Übertragung (Verschlüsselung) für Emails anzubieten.
Ich habe von Ihnen keinen öffentlichen PGP-Schlüssel.

Mit freundlichen Grüßen
Thomas Hezel

 

Update 8.6.2018 – VW-reagiert mit einer Email

Sehr geehrter Herr Hezel,

entschuldigen Sie die verzögerte Beantwortung Ihrer Anfrage. Vielen Dank für Ihren Hinweis. Bitte beachten Sie jedoch, dass eine Verschlüsselung in diesem Fall nicht notwendig ist, da keine personenbezogenen Daten übermittelt werden. Wir bedauern, dass Sie die Seite  über den angegebene Link nicht erreichen konnten.  Versuchen Sie es erneut über folgenden Link.

https://www.datenschutz.volkswagen.de/auskunftsanfrage

Sofern es  Ihnen dennoch nicht möglich ist, den angegebenen Link zu öffnen, sind wir Ihnen bei der Dateneingabe gerne behilflich. Sie erreichen uns werktags in der Zeit von 08:00 – 17:00 Uhr unter  05361 – 9 15 0 10. Im Rahmen des zwischen der Volkswagen AG und der Volkswagen Group Services GmbH bestehenden Vertragsverhältnisses wende ich mich mit obenstehendem Anliegen an Sie.

Freundliche Grüße

[Vorname / Nachnahme des Ansprechpartners — gelöscht]
Volkswagen Group Services GmbH I Standort Wolfsburg I Kaufmännische Dienstleistungen
Volkswagen Kundenbetreuung – Team Datenschutz

Danach habe ich online das Formular ausgefüllt, das jetzt funktioniert hat.

 

Update 27.6.2018 – VW-reagiert mit einer Email

Sehr geehrter Herr Hezel,

in Ihrer Anfrage mit der Vorgangsnummer xxxxx-xxxx-xxxx-xx vom 26. Juni 2018 haben Sie uns Ihr Anliegen auf Auskunft Ihrer personenbezogenen Daten mitgeteilt.

Wir haben die von Ihnen angegebenen Stammdaten nach eingängiger Prüfung nicht bzw. nicht vollständig in unseren Stammdatensystemen identifizieren können. Zu Ihrer eigenen Sicherheit sowie zum Schutze der Rechte Dritter sind daher weitere Identifizierungsmaßnahmen nötig.

Die Identifizierung Betroffener führen wir mithilfe des PostIdent-Services der Deutschen Post AG durch. Im Rahmen der Identifizierung mittels PostIdent haben Sie die Möglichkeit sich entweder in einer Filiale der Deutschen Post oder webbasiert per Videochat zu identifizieren.

  • Um die Identifizierung zu starten, klicken Sie bitte auf folgenden Link oder kopieren Sie den Link in Ihren Browser: [Link von mir gelöscht]

Für eine webbasierte Identifikation per Videochat benötigen Sie ein internetfähiges Endgerät mit einer angeschlossenen Kamera sowie ein gültiges Ausweisdokument. Bitte beachten Sie das beiliegende Informationsblatt zum Ablauf des PostIdent-Verfahrens.

  • Nach dem Öffnen des Links können Sie sich im Online-Portal der Post auch einen Coupon ausdrucken und diesen zusammen mit einem gültigen Ausweisdokument in eine Filiale der Deutschen Post bringen, sofern Sie eine stationäre Identifizierung bevorzugen.

Wir bitten um Ihr Verständnis, dass wir Ihre Anfrage nicht weiter bearbeiten können, bis Ihre Identität eindeutig festgestellt ist.

Im Rahmen des zwischen der Volkswagen AG und der Volkswagen Group Services GmbH bestehenden Vertragsverhältnisses wende ich mich mit obenstehendem Anliegen an Sie.

Freundliche Grüße

[Vorname / Nachnahme des Ansprechpartners — gelöscht]
Volkswagen Group Services GmbH I Standort Wolfsburg I Kaufmännische Dienstleistungen
Volkswagen Kundenbetreuung – Team Datenschutz

 

Update 24.7.2018 – PostIdent-Service ist abgeschickt

Ich habe mich per PostIdent identifiziert und warte auf eine Antwort

 

Update 21.12.2018 – VW schickt 18 Seiten Papier mit Datenbankauszügen

Es sind Serviceprozess Daten über Wartungsarbeiten und Ersatzteilenummern. Seitenweise leere Tabellen von Teilen, die nicht ausgetauscht wurden, was ja auch klar ist, da das Auto ja noch ziemlich neu ist. Was aber immer noch fehlt, und was einfach ignoriert wird, sind die ganzen Daten, die das Fahrzeug täglich über mein Fahrverhalten sammelt.

Kein Wort dazu keinerlei Aussage.

Mein Antrag all diese Daten zu löschen und das Datensammeln durch das Auto einzustellen wurde einfach ignoriert.

Was tun?

 

Update 13.6.2019 – Das Fahrzeug will zum Service

In der Anzeige blinkt bei jedem Start die Anzeige, dass das Fahrzeug demnächst zum Service soll (2 Jahre oder 30.000 km). Eine gute Gelegenheit, nochmals bei VW nachzuhaken, wie es nun bezüglich DSGVO weitergehen soll:

Sehr geehrte Damen und Herren,

mein Fahrzeug weist mich darauf hin, dass demnächst ein Service fällig ist. Bitte teilen Sie mir einen möglichen Termin zur Durchführung mit.

Entsprechend der DSGVO möchte ich Sie auffordern, bei diesem Termin ebenfalls alle Daten, die das Fahrzeug über mich und mein Fahrverhalten gesammelt hat:

  1. mir zur Verfügung zu stellen
  2. das weitere Sammeln jeglicher Daten zu unterbinden (außer Kilometerstand, der für die Vertragserfüllung notwendig ist)
  3. die schon gesammelten Daten vollständig incl. aller möglichen Backups zu löschen

Ich habe mich mit dem Sammeln von über den Kilometerstand hinausgehenden Daten nie einverstanden erklärt. Bitte beachten Sie diesbezüglich die Rechtslage entsprechend der DSGVO. Ein Einverständnis muss explizit, klar, eindeutig und verständlich mit Erklärung, was, wieso erhoben wird und wie damit verfahren wird eingeholt werden.

Eine solche explizite Einwilligung habe ich nie gegeben.

Diesbezüglich möchte ich auch nochmals auf alle von mir an Sie versandten Schreiben hinweisen.

 

Update 20.6.2019 – der Berliner VW-Händler schickt mehrere Servicetermine zur Auswahl

Eine Liste von mehreren Terminen kam schirftlich per Post.

Am Ende heitßt es lapidar in einem Satz:

Bezüglich meiner DSGVO Anfrage hätte man das Ganze an den Datenschutzbeauftragten der Firma weitergeleitet.

Ich habe daraufhin telefonisch einen Termin gebucht, die Dame am Telefon aber nochmals darauf hingewiesen, dass ich nicht möchte, dass Daten bei diesem Termin an Dritte (auch nicht die VW-Zentrale) verschickt werden.

Da die Dame mit meinem Anliegen sichtlich überfordert war, habe ich nochmals einen Brief geschrieben (Einschreiben Rückschein):

 

Sehr geehrte Damen und Herren,

ich habe heute den fälligen Servicetermin für mein Leasingfahrzeug bei Ihnen gebucht.

Leider konnte mir Frau [XXXX] am Telefon keinerlei Auskunft zur Datenfrage bezüglich DSGVO und meiner Bitte um Löschung, Übermittlung und Abstellung des Datensammelns geben.

Bitte stellen Sie sicher, dass beim Service am 1.7.2019 keinerlei Diagnosegeräte mit dem Fahrzeug verbunden werden, bevor die Daten nicht erst zum Nachweis für mich sicher kopiert und anschließend im Fahrzeug komplett gelöscht wurden. Jedweder Übertragung meiner Daten (auch automatisiert direkt zu VW) widerspreche ich hier nochmals ausdrücklich.

Sollten irgendwelche Daten, außer zur Dokumentation für mich, irgendwie aus dem Fahrzeug gelangen, muss ich Sie leider dafür haftbar machen.

Die Strafen bezüglich DSGVO belaufen sich mit bis zu 10% Ihres Bruttojahresumsatzes. Dies ist also kein Kavaliersdelikt.

Fahrzeugdaten sind sensible Daten, die ein genaues Abbild meines persönlichen Verhaltens repräsentieren. Diese sind deshalb grundsätzlich nur nach einer eindeutigen Zustimmung zu erheben. Koppelverträge sind dabei nicht zulässig.

Update 28.6.2019 – Der VW-Händler in Berlin und auch die Zentrale wissen nicht was sie tun sollen

Der Berliner VW-Händler hat heute den Servicetermin mit einem eingeschriebenen Brief und Rückschein abgesagt.

Man weißt mich darauf hin, dass man momentan nicht wisse, wie mit dem Problem umzugehen sei. Auch aus Wolfsburg gäbe es noch keine Lösung.

 

Kommentar

Ich war ziemlich „geschockt“, dass ein Jahr nach Inkrafttreten der DSGVO und nachdem es vor dem Inkrafttreten zwei Jahre Vorlauf gab, der große Konzern VW nicht weiß, wie er mit diesem Problem umgehen soll.

Ein Auto ist eine perfekte Datensammelmaschine. Google hat es gezeigt, dass ihr selbstfahrendes Auto nicht ein Auto werden soll, sondern in erster Linie ein Datensammelknotenpunkt.

Ich weiß von Mercedes, dass dort im Global Training sehr kluge Köpfe sitzen. Was macht VW? Hoffen, dass es Keiner merkt? Natürlich braucht die Automobilindustrie Daten und natürlich hängt die (noch) große deutsche Automobilindustrie momentan komplett an den American-Big-Five. Was ich nicht verstehe ist, dass man auf der Ebene der Politik nicht nach Lösungen sucht, wie man Daten sicher verwahren und den Zugang demokratisch kontrollieren kann. Ich verstehe auch nicht, warum gerade die Mobilitätsindustrie, die weiß, dass sie ohne umfangreiche Daten keine Chance im Konkurrenzkampf mit allen möglichen neuen Playern hat, nicht die Politik drängt Lösungen zu finden.

Herr Altmaier reist durchs Land und gibt nur das wider, was auf der Webseite von McKinsey steht: „Er möchte ein deutsches Google“. Zufällig ist die bei der Bundeswehr kläglich gescheiterte, ehemalige Deutschland-Chefin von McKinsey, Frau Katrin Suder, Vorsitzende des Digitalrates der Bundesregierung.

Will VW nun Google werden?

Meine Lösung, die ich VW auch geschrieben habe, ist folgende:

„Unterstützen Sie meine „Gesellschaft für Digitalisierung und Datendemokratie“ – www.datendemokratie.org, um für dieses Problem bald eine für alle Seiten positive Lösung zu finden.“

 

 

 

Autor: Thomas Hezel

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert