Der chinesische Autohersteller steht unter Verdacht, personenbezogene Daten seiner europäischen Kunden an Dritte, insbesondere nach China, weiterzugeben. Ein Datenschutz-Verfahren könnte Konsequenzen für die gesamte Autoindustrie haben.
Schlechte Nachrichten für den chinesischen Autohersteller Nio, der seit einigen Jahren in Europa Fuss fassen will. In München, am Europa-Sitz von Nio, ist die Datenschutzbehörde aktiv geworden. Der Verdacht: Personenbezogene Daten der Nutzer von Nio-Fahrzeugen würden an Dritte weitergegeben, etwa direkt nach China. Geprüft wird, ob dies gegen die Datenschutz-Grundverordnung verstösst.
An der Geschichte ist tatsächlich etwas dran, wie Tor Indstöy bestätigt. Er beschäftigt sich beruflich seit vielen Jahren mit Cybersicherheit, etwa als Sicherheitschef des norwegischen Ölfonds und derzeit als Leiter Cybersicherheit beim Telekomanbieter Telenor. «Mir fiel auf, wie viele vernetzte chinesische Autos auf dem norwegischen Markt angeboten werden», sagt der Norweger gegenüber der «NZZ am Sonntag».
Dies ist zunächst wenig überraschend, fördert der norwegische Staat die Elektromobilität doch seit Jahren. Elektroautos sind im skandinavischen Land günstiger zu haben als solche mit Verbrennungsmotor. Da auch China E-Autos fördert, sind diese in Norwegen umso günstiger, werden sie doch zweimal subventioniert. In der Schweiz verschob Nio die Markenlancierung auf unbestimmte Zeit.
«Es gab eine ganze Reihe von Verschwörungstheorien zu chinesischen Autos und dem Ausspionieren von Personen, etwa mit den im Auto eingebauten Kameras», sagt Indstöy. «Mein Ziel war es, das in einem Privatprojekt genauer zu untersuchen.»
Da der Sicherheitsexperte ein neues Auto brauchte, kaufte er sich einen Nio ES8, ein modernes chinesisches SUV. Um seine Forschungsergebnisse – insbesondere zu den Datenflüssen aus dem Auto an Drittparteien – zu publizieren, führte er den Blog «Lion Cage». Der Name lehnt sich an das Nio-Wappentier an, den Löwen, der sich in einem Faraday-Käfig befindet, der Karosserie. «Plötzlich hatte ich 10 000 Leser, das Interesse explodierte. Ich fragte nach, ob jemand mitarbeiten wolle – jetzt sind wir 14 Personen, die hier weiterforschen.»
Dem Team rund um Tor Indstöy fiel bei den ersten Untersuchungen des Wagens auf, wie wenig der digitale Datenverkehr bei vernetzten Autos geregelt ist. Heute werden Autos laufend über die Datenwolke aufdatiert. «Für mich war diese Erkenntnis ein Augenöffner.»
Um die Datenflüsse innerhalb des Autos und nach aussen aufzuspüren und aufzuzeichnen, bauten die Techniker ein einfaches System auf: «Wir prüfen seit Dezember 2022 jeden Datenfluss in meinem Nio ES8, indem wir Cyber-forensische Werkzeuge einsetzen, etwa PiHole, Zeek, Arkime und Wireshark. Das sind Standardmethoden, nichts Aussergewöhnliches.»
Die Daten greift Indstöy an der Hardware-Schnittstelle des Nio ab. «Ich habe einen kleinen Server-Park im Kofferraum meines Autos, der ist rund um die Uhr im Einsatz, um Datenflüsse, IP-Adressen und Content aufzuzeichnen», erklärt er. Weitere Systeme spüren Datenlecks auf, die am Grundsystem vorbei arbeiten.
Die Daten landen vor allem in China
Herausgefunden hat Indstöy Schwerwiegendes – aus Sicht des Datenschutzes: Sein Nio sendet personenbezogene Daten, etwa die Inputs an den Sprachassistenten «Nomi» oder GPS-Daten aus der Benutzung des Navigationsgerätes, an Drittparteien aus. Solche Daten sind Gold wert: Aufgrund der GPS-Daten – die an Bord des Nio übrigens von Schweizer U-Blox-Chips aufgezeichnet werden – lassen sich etwa persönliche Bewegungsmuster von Nio-Fahrern feststellen, genauso wie häufig gesuchte Adressen und andere Vorlieben des Benutzers.
Die Recherchen des norwegischen Teams ergaben, dass die Nutzerdaten an verschiedene europäische, amerikanische, russische und vor allem chinesische Server übermittelt werden. «90 Prozent aller Daten wurden nach China übermittelt», sagt Indstöy.
Von diesem Tatbestand bekam das Bayerische Landesamt für Datenschutzaufsicht Wind. Die Datenschützer leiteten kürzlich eine Untersuchung ein. «Wir können bestätigen, dass wir derzeit ein Verfahren betreffend den Automobilhersteller Nio führen», sagt Carolin Loy, Sprecherin der Datenschutzaufsicht in Ansbach bei München. «Da es sich hierbei jedoch um ein laufendes Verfahren handelt, können wir keine konkreten Informationen oder weitere Details dazu geben.»
Das bayrische Amt ist für ganz Europa federführend zuständig und untersucht Nio auch zu Datenschutzvergehen, die in anderen europäischen Ländern anfallen. Die umfangreichen Ergebnisse von Tor Indstöy haben die Bayern jedoch noch nicht eingeholt, wie der Norweger bestätigt. «Aber ich bin in meinen Recherchen immer zu 100 Prozent transparent und offen. Meine Ergebnisse sind öffentlich zugänglich», sagt er.
Pauschale Einwilligung oder nur von Mal zu Mal?
Nio arbeitet wie die meisten Hersteller von Autos mit Online-Anbindung mit allgemeinen Geschäftsbedingungen, die bei der Inbetriebnahme des Fahrzeugs angezeigt werden. Der Nutzer muss hier einmalig zustimmen, um alle Funktionen des Wagens nutzen zu dürfen.
Bei Nio heisst es in der seitenlangen «Datenschutzerklärung Nio Connected Vehicles», Version 2.1 vom 23. August 2024: «Die meisten personenbezogenen Daten werden in Ihrem Nio Connected Vehicle verarbeitet, aber einige Dienste von Nio Connected Vehicles erfordern eine aktive Internetverbindung und tauschen Informationen mit der Nio Cloud aus.»
Die personenbezogenen Daten darf Nio gemäss der Datenschutzerklärung weitergeben an Tochtergesellschaften, Servicezentren, Dienstleister und Berater, Käufer und Dritte sowie an Strafverfolgungsbehörden, Aufsichtsbehörden und andere Parteien aus rechtlichen Gründen.
Besonders bedenklich ist diese Datenweitergabe aus zwei Gründen: Nio spezifiziert nicht, welchen Rechtsordnungen solche Behörden als Datenempfänger angehören – es könnte beispielsweise chinesisches Recht gelten. Und die Zustimmung zur Datenweitergabe erteilt der Benutzer nur einmal pauschal, nicht spezifisch vor jeder einzelnen Weitergabe.
Der Verband deutscher Autoindustrie (VDA) ist in seiner Erklärung «Drei Prinzipien für den Datenschutz beim autonomen und vernetzten Fahren» der Meinung, dass eine pauschale Einwilligung zur Weitergabe von personenbezogenen Daten von einer jeweils spezifischen Einwilligung des Kunden je Datensatz abhängt: «Der Kunde kann im vernetzten Fahrzeug stets selbst bestimmen, ob er Daten weitergeben möchte und welche.» Dies bedeutet jedoch auch: «Wenn der Kunde eine Speicherung gewisser Daten ablehnt, kann er bestimmte Dienste auch nicht in Anspruch nehmen.»
Insbesondere bei der Betriebsssoftware in vernetzten Autos hat Tor Indstöy seine Bedenken: «Offenbar ist der Zertifizierungsschutz sehr schwach. Daher ist die Häufigkeit, mit der die Software über die Cloud aufdatiert wird, besorgniserregend.» Der Sicherheitsexperte weist darauf hin, dass es bereits weltweit Cyberattacken gegeben habe, die es darauf anlegen, Hardware in einem komplexen digitalen Ecosystem so umzuprogrammieren, dass sie zur Gefahr wird. «Die Beweislage dazu ist eindeutig.»
Sollte sich in der Datenschutzuntersuchung herausstellen, dass Nio gegen zwingendes europäisches Recht verstösst, dürfte dies für alle Hersteller vernetzter Fahrzeuge Konsequenzen haben, nicht nur für chinesische. «Es sollte eine unabhängige Stelle geben, die die Datenwelt rund um smarte Autos aufnimmt und regelt», rät Indstöy. «Wenn dies nicht geschieht, schaffen wir Raum für unerwünschte Einflussnahme in unsere Gesellschaft.»
Eine Art Ombudsstelle im Stil von EuroNCAP, die heute nicht mehr nur Crashtests macht, sondern alle elektronischen Assistenzsysteme im Auto prüft, könnte eine Lösung bieten. «Wenn eine Firma beispielsweise eine Software an den Arbeitsplätzen installiert, prüft sie zunächst, ob es Sicherheitslücken geben könnte. Das könnte man auch bei vernetzten Autos tun, aber heute gibt es das noch nicht», sagt der norwegische Datendetektiv.
Ein Artikel aus der «»
