Allein im 1. Halbjahr 2020 wurden in Europa 33.164 Tesla Fahrzeuge neu zugelassen. Zahlreiche Vorteile werden dem Kauf eines Tesla Autos zugeschrieben, bspw. das autonome Fahren, selbstständiges Einparken oder eine stetige Wertsteigerung durch regelmäßige Software Updates.
Solche Features basieren auf zahlreichen Datenverarbeitungsprozessen, welche, zumindest in Europa, an der europäischen Datenschutzgrundverordnung (DSGVO) zu messen sind. Tesla stand bereits mehrfach in der Kritik, die DSGVO nicht einzuhalten. Zuletzt veröffentlichte das Netzwerk Datenschutzexpertise am 19.10.2020 ein diesbezügliches mehrseitiges Gutachten mit dem Ergebnis, dass „die Datenverarbeitung durch Tesla, etwa dessen Modell 3, in vieler Hinsicht gegen die europäischen Vorgaben des Datenschutzes und des Verbraucherschutzes verstößt“.
Auf zunächst zwei Aspekte des Gutachtens wird nachfolgend Bezug genommen:
1. Video- und Ultraschallüberwachung im Fahr-und im Parkmodus
Sachverhalt:
Das Tesla Automobil ist mit acht Kameras ausgestattet, welche eine 360-Grad-Rundumüberwachung der Fahrzeugumgebung in bis zu 250 Meter Entfernung ermöglichen, sowohl im Fahr-als auch im Parkmodus. Dabei nehmen die Kameras die Umgebung in hoher Auflösung auf, sodass Personen oder auch Kfz-Nummernschilder klar zu erkennen sind.
Datenschutzrechtliche Bewertung:
Für jede Datenverarbeitung bedarf es einer Rechtsgrundlage. Da Einwilligungen der von der Videoüberwachung betroffenen Personen nicht vorliegen, kommt eine Rechtfertigung gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht.
Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, soweit sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und Interessen, Grundrechte oder Grundfreiheiten der betroffenen Personen nicht überwiegen.
Personenbezogene Daten sind dabei alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Aufgrund der hohen Bildauflösung ist eine Identifizierbarkeit der Betroffenen möglich, sodass ein Personenbezug hergestellt werden kann und die Rechtmäßigkeit der Videoüberwachung nach den Vorschriften der DSGVO zu bewerten ist.
Die Videoüberwachung muss einem konkreten Zweck dienen. Es bedarf eines berechtigten Interesses, welches vom Unternehmen grundsätzlich nachzuweisen ist. Die Filmaufnahmen sollen der Gewinnung von Beweismitteln dienen, bpsw. bei Unfällen. Dies ist grundsätzlich ein legitimer Zweck der mit der Videoüberwachung verfolgt werden kann. Den berechtigten Interessen des Verantwortlichen dürfen jedoch keine überwiegenden Interessen, Grundrechte oder Grundfreiheiten der betroffenen Personen entgegenstehen. Die Aufzeichnung von Bilddaten greift grundsätzlich in das Persönlichkeitsrecht ein. Problematisch ist hierbei insbesondere die permanente Überwachung. Kameras sollten grundsätzlich so eingestellt werden, dass Personen nur im berechtigten Ausnahmefall erfasst werden. Die Datenverarbeitung beschränkt sich hier gerade nicht auf konkrete Ereignisse oder Personen, die in das Ereignis verwickelt sind oder sich regelwidrig verhalten. Vielmehr werden wahllos Daten sämtlicher Personen aufgezeichnet, die sich im Aufnahmebereich der Kameras aufhalten. Dieses Vorgehen steht zum verfolgten Zweck in keinem Verhältnis, da alle Verkehrsteilnehmer unter Generalverdacht gestellt werden und eine Datenverarbeitung auf Vorrat vorgenommen wird. Da eine solche dauerhafte Überwachung den Betroffenen auch nicht bekannt ist, überwiegen die Interesse und Grundfreiheiten der Betroffenen die Interessen des Unternehmens.
2. Datenübermittlung an unsichere Drittstaaten, wie bspw. USA
Sachverhalt:
Hinsichtlich der internationalen Datenübermittlung äußert sich Tesla wie folgt: „Mit der Nutzung unserer Produkte oder Dienstleistungen … erklären Sie sich mit der Übermittlung von Informationen von Ihnen, über Sie oder über Ihre Nutzung … in Länder außerhalb Ihres Wohnsitzlandes, einschließlich der USA, einverstanden […]. Insbesondere ist Tesla zertifiziert und befolgt das EUU.S. Privacy Shield Programm und das Swiss-U.S. Privacy Shield Programm [….].
Datenschutzrechtliche Bewertung:
Gemäß Art. 44 ff DSGVO sind Daten nur dann an Drittstaaten zu übermitteln, wenn diese ein angemessenes, dem europäischen Datenschutzrecht vergleichbares, Datenschutzniveau vorweisen. Das EU-US Privacy Shield, welches ein solches Datenschutzniveau attestierte, ist vom Europäischen Gerichtshof im Juli 2020 für ungültig erklärt worden. Für Datenübermittlungen in die USA, die bisher ausschließlich auf das Privacy Shield gestützt wurden, besteht nun Handlungsbedarf, da solche Transfers nicht mehr als DSGVO-konform gelten. Auf der Internetseite von Tesla finden sich keine Angaben dazu, wie auf das Urteil des Europäischen Gerichtshof reagiert wurde – ob andere Garantien getroffen wurden, bspw. Standardvertragsklauseln abgeschlossen wurden. Die Datenübermittlung in die USA ist daher aus datenschutzrechtlicher Sicht unzulässig.
Weitere Aspekte werden gesondert in weiteren Blogbeiträgen dargestellt.
6. November 2020 @ 8:13
Ich bin mir nicht sicher ob dieser Umstand bei der datenschutzrechtlichen Bewertung berücksichtig wurde.
Eine AUFZEICHNUNG von Bilder (im Stand oder während der Fahrt) erfolgt nur, wenn der Besitzer das Fahrzeug mit einem präparierten Speicher erweitert.
Das einfache einstecken eine USB-Sticks ist dazu nicht ausreichend.
1. November 2020 @ 14:14
Es neben den Kamerathemen vielen auch nicht bewusst, dass man sich beim Verkauf seines Teslas am besten verhalten müsste wie beim Verkauf des eigenen Handys. Telefonbuchdaten, WLan Passwörter,.. alles ist da grundsätzlich gespeichert und auslesbar.
https://insideevs.com/news/419525/tesla-data-leak-personal-info-ebay/
Dann halt noch die Kabinenkamera, mit der aus der Ferne die Fahrer beobachtet werden können. Da nun die in China produzierten Teslas in den EU Markt geschwemmt werden, frage ich mich, wie sichergestellt ist, dass das sicher ist. Und nicht etwa Videodaten in China landen.
Von den aktuellen Betatestern fur Tesla’s neustes FSD Relese erfährt man, dass Gigabyteweise Videodaten „zu Optimierungszwecken für FSD“ upgeloaded werden, sobald sie zuhaus im Wlan parken.
6. November 2020 @ 8:17
Die Daten von allen Tesla-Fahrzeugen landen in den Rechenzentren von Tesla (Tesla-Mothership). Ein „Tesla“ hat einen direkten Zugang zum Internet, sondern wird immer über das „Mothership“ geroutet.
31. Oktober 2020 @ 10:01
Ich glaube nicht, dass alle Menschen damit einverstanden wären, wenn sie in einem Umkreis von 250 Meter beim Vorbeispazieren an einem parkenden Auto in jeder Situation hochauflösend gefilmt werden. Sollten diese personenbezogenen Bildaufnahmen dann auch noch ohne Zustimmung von Betroffenen unausgepixelt auf nicht datenschutzkonforme (Drittland-)Server übertragen und dort gespeichert und aufbewahrt werden, liegt nicht nur eine DSGVO-Verletzung, sondern auch eine Urheberrechtsverletzung (Recht am eigenen Bildnis) vor. Betreibt der Zulassungsbesitzer in diesem Fall nicht eine meldepflichtige Videoüberwachungsanlage? Wie ist die Kennzeichnungspflicht als Verantwortlicher umzusetzen? Welche Möglichkeiten hat ein Betroffener, sein Auskunftsrecht wahrzunehmen? Kann aus Art. 79 DSGVO ein unmittelbarer Zugang von Betroffenen zu einem Zivilgericht – ungeachtet zivilrechtlicher Ansprüche – abgeleitet werden, um die Rechtmäßigkeit dieser Datenverarbeitung beurteilen zu lassen?
30. Oktober 2020 @ 14:25
Um ein Hindernis festzustellen, würden auch andere Methoden ausreichen (Schall, Laser u.v.m.).
Die Tatsache, dass auch die europäischen Regierungen diese omnipräsenten fahrbaren Überwachungsdrohnen dulden und fördern, zeigt, in welche Richtung sich die Gesellschaften entwickeln sollen.
https://www.heise.de/news/Autonomes-Fahren-Vereinigte-Arabische-Emirate-locken-Autohersteller-mit-Daten-4847606.html
https://www.heise.de/tp/features/Das-neue-Arabien-KI-gestuetzte-Ueberwachung-in-den-Vereinigten-Arabischen-Emiraten-4840539.html
30. Oktober 2020 @ 16:17
Moderne Fahrzeuge – nicht nur autonome – sind ohnehin voller Kameras. Verkehrszeichenerkennung, Rückfahrkamera, Rückspiegelkamera. Ob autonomes Fahren auch ohne Kamera ginge mag ich nicht beurteilen – ich vermute aber mal nicht, genau wie nur Kamera ohne die anderen Sensoren nicht klappen würde. Schall ist z. B. sicher störanfällig. Autonomes Fahren ist ja auch viel mehr als reine Hinderniserkennung. Und es geht dabei sicher auch um Haftungsfragen – wenn ein autonomes Fahrzeug einen Unfall hat, müssen die Daten ausgewertet werden, dabei helfen optische Aufnahmen auch. Ob und wie viele der Daten das Fahrzeug verlassen dürfen, und wohin diese übermittelt werden dürfen, ist eine andere Frage. Eine Verpflichtung zur sicheren Verarbeitung innerhalb der EU wäre dabei natürlich zu begrüßen, das beschränkt sich aber nicht nur auf Fahrzeuge. Nach dem Scheitern von Safe Harbor und Privacy Shield wird es langsam eng. Wobei auch die Verarbeitung innerhalb der EU Begehrlichkeiten wecken wird, wie man gerade an der massiven Ausweitung der Zugriffsbefugnisse auf das Schengener Informationssystem sieht. Da dürfen demnächst ja auch Hinz und Kunz dran.
30. Oktober 2020 @ 12:12
Joah. Ohne Kameras gehts halt nicht. Bin zwar kein Freund von Digital first – Bedenken second, aber wenn Europa in diesem Bereich eine Rolle spielen möchte wird man dazu Lösungen finden müssen, wie das automatisierte Unkenntlichmachen von Personen, was mittlerweile kein Problem darstellt. Außerdem sollte man immer im Hinterkopf haben, inwieweit hierbei auch Protektionmus eine Rolle spielt, also der Schutz der europäischen Autoindustrie (die es einfach nicht auf die Reihe bekommt und von der internationalen Konkurrenz lachend abgehängt wird).