Datenleck bei Volkswagen betrifft auch 22’000 Fahrzeuge in der Schweiz

Foto: Volkswagen-Logo
Visualisierung: Fahrzeuge von Volkswagen in Europa
Visualisierung: Fahrzeuge von Volkswagen in Europa.

Bei Volkswagen wurde Ende 2024 ein neues Datenleck bekannt. Die Daten von mehr als 800’000 Fahrzeugen, auch Bewegungsdaten, lagen ungenügend geschützt im Internet.

In der Schweiz sind rund 22’000 Fahrzeuge betroffen. Die Daten betreffen Volkswagen selbst, aber auch die Marken Audi, Seat (einschliesslich Cupra) und Skoda.

Das Datenleck wurde am 38. Chaos Communication Congress in Hamburg an einem Vortrag unter dem Titel «Wir wissen wo dein Auto steht – Volksdaten von Volkswagen» aufgedeckt (Folien, Aufzeichnung).

Der «Hackerkongress», den der deutsche Chaos Computer Club (CCC) jedes Jahr zwischen Weihnachten und Neujahr durchführt, ist bekannt für das Aufdecken von Sicherheitslücken.

Welche Daten bei Volkswagen sind betroffen?

Das Datenleck erfolgte bei der VW-Tochtergesellschaft Cariad. Das Unternehmen soll die grottige Software in Fahrzeugen aus dem VW-Konzern verbessern.

Cariad hatte es versäumt, die Zugangsdaten zum verwendeten Cloudspeicher bei Amazon Web Services (AWS) zu schützen. In erster Linie betroffen sind E-Fahrzeugen auf Grundlage der gemeinsamen MEB-Plattform.

Fahrzeuge aus dem VW-Konzern liefern in vielen Fällen zahlreiche Daten an Volkswagen, unter anderem auch Bewegungsdaten. Der VW-Konzern betreibt über seine Tochtergesellschaft Cariad eine entsprechende Vorratsdatenspeicherung.

Im Datenleck fanden sich Nutzerdaten (Namen, E-Mail-Adressen und Telefonnummern), Fahrzeugdaten (Modell, VIN, …) und Daten zur E-Mobilität (Batteriezustand, Kilometerzähler, Ladeverhalten, Warnungen, …).

Was zeigen die Bewegungsdaten über Besitzer von Volkswagen-Fahrzeugen?

Im Datenleck fanden sich ferner rund 9.5 TB an Statusmeldungen einschliesslich Geokoordinaten, zum Teil auf 10 cm genau. Mit diesen Geokoordinaten kann ein Bewegungsprofil von VW-Fahrzeugen und ihren Besitzern erstellt werden.

Die Bewegungsdaten zeigen beispielsweise, wo jemand wohnt und arbeitet oder wo jemand einkauft und seine Kinder zur Schule bringt. Die Bewegungsdaten zeigen aber auch den Besuch im Bordell, den Einsatz der Polizei oder den Besuch bei einer Redaktion oder Botschaft.

Im erwähnten Vortrag wurde mit eindrücklichen Visualisierungen unter anderem aufgezeigt, welche VW-Fahrzeuge beim deutschen Bundesnachrichtendienst (BND) und anderen Behörden stehen. Eindrücklich war auch ein Blick auf das Betriebsgelände von Volkswagen in Wolfsburg.

Die Visualisierungen erinnern an die Veranschaulichung der Vorratsdatenspeicherung in der Schweiz am Beispiel von Nationalrat Balthasar Glättli im Jahr 2014.

Wie reagiert Volkswagen auf das Datenleck?

Volkswagen spielt das Datenleck gemäss einem Artikel im SPIEGEL herunter und sieht keinen Handlungsbedarf.

VW spricht von «pseudonymisierten Daten» und behauptet fälschlicherweise, der Zugriff auf die Daten habe «die Umgehung mehrerer Sicherheitsmechanismen», «ein hohes Maß an Fachwissen und einen erheblichen Zeitaufwand» und die «Kombination verschiedener Datensätze» erfordert. VW sieht auch «keinerlei Handlungsbedarf, da keine sensiblen Informationen wie Passwörter oder Zahlungsdaten betroffen» seien.

Die Verantwortung schiebt VW den Kunden zu, die «grundsätzlich frei darüber entscheiden [könnten], ob sie Produkte und Services nutzen, die die Verarbeitung personenbezogener Daten erforderlich machen». Und überhaupt böten «[s]ämtliche Fahrzeuge mit Online-Funktionen […] die Möglichkeit, diese jederzeit zu deaktivieren».

Tatsächlich wurden die Besitzer von VW-Fahrzeugen in der Schweiz bislang weder von Volkswagen noch von der Importeurin AMAG über das Datenleck informiert.

Welche datenschutzrechtlichen Folgen drohen Volkswagen?

Screenshot: Website des Landesbeauftragten für den Datenschutz Niedersachsen

Die zuständige Datenschutz-Aufsichtsbehörde gemäss europäischer Datenschutz-Grundverordnung (DSGVO) ist der Landesbeauftragte für den Datenschutz Niedersachsen.

Man wird sehen, ob die unabhängige Aufsichtsbehörde in Niedersachsen in der Lage ist, die Angelegenheit aufzuklären. Das Bundesland ist mit 20 Prozent an VW beteiligt.

Die Angelegenheit wird sicherlich auch andere Aufsichtsbehörden im Europäischen Wirtschaftsraum (EWR) interessieren.

Im Vordergrund steht ein Versagen von VW bei der Gewährleistung der «Sicherheit der Verarbeitung» gemäss Art. 32 DSGVO. Möglich wäre eine Busse von bis zu 10 Millionen Euro oder von bis zu zwei Prozent des gesamten weltweiten Jahresumsatzes.

In der Schweiz könnte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) eine Untersuchung eröffnen (Art. 49 DSG). Bei Verantwortlichen im Ausland zeigte der EDÖB zuletzt allerdings keinen Biss.

Möglich wäre in der Schweiz auch ein Strafverfahren gegen einzelne verantwortliche Personen aufgrund der Verletzung der Sorgfaltspflichten, nämlich weil die Mindestanforderungen an die Datensicherheit nicht eingehalten wurden (Art. 61 lit. c DSG).

Dabei ist umstritten, ob die Formulierung dieser Mindestanforderungen in der Datenschutzverordnung (DSV) für ein Strafverfahren ausreichen. Ferner sitzt die mutmassliche Täterschaft im Ausland.

Es handelt sich nicht um das erste Datenleck bei Volkswagen. Im Jahr 2021 waren rund 3.3 Millionen Kunden und potenzielle Kunden in Nordamerika von einem Datenleck betroffen, insbesondere Kunden der Marke Audi.

Wo endet der Datenhunger von Volkswagen?

Screenshot: Medienmitteilung «Datenschutzbehörden im Austausch mit der Volkswagen AG über neuartige Datenverarbeitung in Kundenfahrzeugen»

Der Datenhunger von Volkswagen hört bei den bislang gesammelten und gespeicherten Daten nicht auf. VW nutzt bereits auch «Sensor- und Bilddaten der Umgebung aus Kundenfahrzeugen».

Auf diese brisante Bearbeitung von Daten aus Volkswagen-Fahrzeugen verweist die niedersächsische Datenschutz-Aufsichtsbehörde in einer Mitteilung vom 26. September 2024:

«Der Landesbeauftragte für den Datenschutz Niedersachsen steht […] im engen Austausch mit der Volkswagen AG […] über die Einführung neuer Verfahren zur Verarbeitung von Fahrzeugdaten zur Verbesserung und Fortentwicklung der Fahrassistenz- und Fahrsicherheitssysteme.»

Und:

«Die Volkswagen AG beabsichtigt, künftig Sequenzen von Sensor- und Bilddaten der Umgebung aus Kundenfahrzeugen zu nutzen, um Fahrerassistenzsysteme und automatisierte Fahrfunktionen als zentrale Technologien für die Verbesserung der Verkehrssicherheit schneller und kontinuierlicher weiterentwickeln zu können. Ab dem vierten Quartal 2024 will das Unternehmen bei Zustimmung der Fahrzeugnutzenden damit beginnen, in einigen Fahrzeugserien – zunächst nur in Deutschland – anhand vorher festgelegter, eng definierter Szenarien das Ausleiten von solchen Daten auszulösen und diese zu verarbeiten.»

3 Kommentare

  1. Ich weiss ja nicht,ob ich betroffen bin. Wir wurden von VW nicht info.
    Es ist immer das gleiche bei VW,das man über die Garage vertröstet wird,z.B. es gäbe ein Update-wann
    und wo kein Ahnung.
    Das gleiche gilt auch für Garantie Fälle jeglicher Art.
    Man schiebt es heraus bis die Garantie abgelaufen ist-dann plötzlich sieht man den Fehler

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.