Volkswagen-Datenpanne: Bewegungsdaten von 800.000 Elektroautos ungeschützt im Netz

veröffentlicht am 12.02.2025

  Etwa 800.000 Elektrofahrzeuge der Marken VW, Audi, SEAT und Škoda sind betroffen, darunter auch Fahrzeuge in Österreich.

Nach Recherchen des Chaos Computer Clubs (CCC) und des Nachrichtenmagazins Der Spiegel standen durch eine gravierende Sicherheitslücke bei der Volkswagen-Tochter CARIAD die Standortdaten von 800.000 Elektroautos aus dem Volkswagen-Konzern ungeschützt im Internet. Durch den Abgleich mit anderen Daten im Netz hätten umfangreiche Bewegungsprofile über Autofahrer:innen erstellt und abgeleitet werden können. Besonders brisant: Die GPS-Daten waren auf zehn Zentimeter genau gespeichert, sodass detaillierte Bewegungsprofile erstellt werden konnten, die Rückschlüsse auf sehr persönliche Lebensbereiche, wie z.B. regelmäßige Besuche bei Ärzten, ermöglichen.  Zusätzlich enthielt die Software Zugangsdaten für eine interne Konzern-Schnittstelle, über die Daten von mehr als 600.000 Nutzer:innen der Volkswagen-App abrufbar waren. Wer somit das Auto mit der App verknüpft hatte, könnte besonders betroffen sein. In diesen Fällen war es möglich, Bewegungsdaten einer konkreten Person zuzuordnen.

Betroffen sind VW-Modelle ID.3, ID.4, ID.5 und ID.7 sowie die Seat-Modelle Cupra Born und Tavascan im Zeitraum vom Dezember 2023 bis September 2024.

Verstöße gegen die Datenschutzgrundverordnung (DSGVO)

Expert:innen sehen folgende Verstöße gegen die DSGVO:

• Volkswagen hätte für eine angemessene Datensicherheit sorgen müssen. Es ist ein gravierendes Versäumnis, wenn ein Unternehmen in dieser Größe ein Verwaltungsinterface seiner Software ungeschützt und frei über das Internet zugänglich macht.
• Da die Bewegungsdaten der Fahrzeuge den Nutzer:innen der VW-App direkt zugeordnet werden können, gelten sie als personenbezogene Daten gemäß der DSGVO. Es braucht daher eine rechtliche Grundlage, damit VW diese Daten rechtmäßig nutzen darf. VW beruft sich auf ein "berechtigtes Interesse" – nämlich darauf, seinen Kund:innen verbesserte Produkte und Dienste anzubieten. Dabei dürfen die Interessen der Nutzer:innen nicht weniger wichtig sein als die Interessen von VW. Grundsätzlich kann die Verbesserung von Produkten ein legitimer Grund für die Datennutzung sein. Doch die Verarbeitung muss auch notwendig sein. Angesichts der großen Menge an gesammelten Daten ist das fraglich. Laut VW werden unter anderem Lade-, Fahr- und Parkdaten, Batteriegröße, IT-Nutzungsdaten wie User ID, GPS-Daten (teilweise gekürzt) sowie Fahrzeugzustandsdaten wie Service-Intervalle und Warnmeldungen erfasst.
• Es ist auch rechtlich interessant, ob durch die Geodaten, die Ableitungen über Aufenthalte in Kirchen, Krankenhäusern und so weiter ermöglichen, als "besondere Kategorien personenbezogener Daten" gelten. Diese sind besonders geschützt und unterliegen einem grundsätzlichem Verarbeitungsverbot.