Moderne Autos wissen genauso viel über uns wie Smartphones. Chinesische Hersteller sehen sich deswegen mit dem Spionage-Vorwurf konfrontiert. Bedenken, die schon früher hätten kommen müssen. Vor allem beim Umgang mit dem Silicon Valley.
- Chinesische Autohersteller als Sündenbock für Fehler bei Datenschutzabkommen mit den USA.
- Die EU hat ein hohes Niveau beim Datenschutz, untergräbt es aber für die USA.
- Eine Geschichte für Table Media.
Moderne Autos sind fahrende Sensoren. LiDAR- und Kamerasysteme kartieren Umgebungen, das Bewegungsprofil ist bekannt, Mikrofone und Kameras erfassen die Insassen und Gespräche. Die Technik ist nötig, um einige zentrale Funktionen anbieten zu können. Fahrassistenten beispielsweise, Entertainment oder Sprachsteuerung. Doch die enormen Datenmengen sind mehr als nur ein zufälliger Nebeneffekt. Den chinesischen Herstellern wird jetzt unterstellt, sie würden die Fahrzeuge nutzen, um zu spionieren. Auch die Planung möglicher Sabotageakte wird ihnen unterstellt.
Spionage-Warnungen vor chinesischen Autos
Das Bundesinnenministerium unter Alexander Dobrindt sieht Risiken durch die Erfassung von Standortdaten, Gesprächsaufnahmen und Umfeldbildern, die zur Sicherheitsgefahr für Staat und Unternehmen werden können. Gleichzeitig weist das Bundesamt für Verfassungsschutz auf die enge Verzahnung zwischen der chinesischen Industrie und den dortigen Nachrichtendiensten hin, was einen staatlichen Zugriff auf Daten wahrscheinlich mache. In Polen bereitet das Verteidigungsministerium konkrete Beschränkungen vor, die es chinesischen Fahrzeugen untersagen, militärisches Gelände zu befahren oder in der Nähe strategischer Objekte zu parken.
Tatsächlich sind diese Gefahren nicht wegzudiskutieren, da die Daten nunmal gesammelt werden. Allerdings geht in der Debatte der europäische Rechtsrahmen häufig unter. Der sieht nämlich einige Schutzmaßnahmen vor:
- Datenschutz-Grundverordnung (DSGVO): Die DSGVO ist das primäre Instrument und gilt für alle in der EU betriebenen Fahrzeuge, unabhängig vom Herkunftsland des Herstellers. Sie verbietet die Übermittlung personenbezogener Daten in Staaten ohne angemessenes Schutzniveau.
- EU Data Act: Seit September 2025 voll anwendbar, regelt er den Zugriff auf generierte Daten und verbietet die Weitergabe an Drittstaaten, wenn dies im Konflikt mit EU-Recht steht. NIS2-Richtlinie: Stuft Betreiber intelligenter Verkehrssysteme als „hochkritischen Sektor“ ein. Sie erzwingt strenges Risikomanagement, Meldepflichten bei Vorfällen und die Verantwortlichkeit der Unternehmensebene für die Cybersicherheit.
- EU Cybersecurity Act: Dieser Rahmen ermöglicht die Schaffung EU-weiter Zertifizierungsschemata für IT-Produkte. Derzeit wird geprüft, vernetzte Fahrzeuge spezifisch in diesen Rechtsakt zu integrieren, um die Anforderungen über den IoT-Standard hinaus zu verschärfen.
- Technische Zulassungsvoraussetzungen: Um eine Typgenehmigung für den EU-Markt zu erhalten, müssen Hersteller verbindliche UN-Regelungen erfüllen, die die Cybersicherheit fest im Zulassungsprozess verankern. Hierzu zählt insbesondere die Regelung UN R155, die ein zertifiziertes Cybersecurity-Management-System über den gesamten Lebenszyklus des Fahrzeugs vorschreibt. Ergänzt wird dies durch UN R156, welche die Sicherheit und Authentizität von Software-Updates gewährleistet, sowie UN R157, die spezifische Standards für automatisierte Spurhaltesysteme definiert.
Datenabfluss aus Europa vor allem in die USA
Klar ist, dass all die Gesetze samt Strafen und Auflagen dahinter wenig gelten, wenn es um Spionage geht. Es sollte aber auch klar sein, dass Politikerinnen und Politiker, die lautstark den Datenabfluss an chinesische Automobilhersteller beklagen, diesen Unternehmen ganz offen einen Rechtsbruch vorwerfen. Genau den gibt es aber nach jetzigem Wissensstand nicht. Zwar warnen die Behörden vor den technischen Möglichkeiten, konkrete Beweise für einen systemischen Datenabfluss fehlen aber.
Dass die Entscheidungsträger bei chinesischen Herstellern so offensiv reagieren, könnte auch an den Erfahrungen mit den USA liegen. Hier besteht ein sogenannter Angemessenheitsbeschluss – das Data Privacy Framework (DPF). Durch dieses Abkommen wird rechtlich davon ausgegangen, dass in den USA ein angemessenes Datenschutzniveau herrscht. Daten dürfen daher dorthin abfließen, was als Erweiterung des EU-Binnenmarkts betrachtet wird. Für China existiert kein vergleichbarer Beschluss.
Die Folgen des lockeren Datenschutzabkommens mit den USA sind weitreichend.
- US-Behörden haben Zugriff auf Daten, die von US-Unternehmen (oder deren Töchtern) weltweit gespeichert werden – auch wenn diese physisch in Europa liegen. Ein Zugriff auf Fahrzeugdaten in Deutschland ist somit grundsätzlich möglich.
- Laut EuGH fehlt es EU-Bürgern an einem mangelhaften Rechtsschutz in den USA. Zwar wurde ein neues „Gericht“ zur Überprüfung von Beschwerden (DPRC) geschaffen, doch es bestehen Zweifel an dessen tatsächlicher Unabhängigkeit von der US-Exekutive und dem stark eingeschränkten Zugang.
- Die systematische Speicherung von Daten ohne konkreten Verdacht wird in den USA nach wie vor praktiziert, was im direkten Widerspruch zur europäischen Rechtsprechung steht.
Ganze Geschichte bei Table Media
In meiner Geschichte für Table Media habe ich beschrieben, welche Gefahren von chinesischen Elektroautos tatsächlich ausgehen (Visa-Probleme, Denial-of-Service…). Außerdem gehe ich der Frage nach, wie China selbst mit den fahrenden Datenkraken umgeht. Spoiler: Sie sind sich möglicher Gefahren bewusst. Für den Text habe ich ein Interview mit Prof. Dr. Indra Spiecker gen. Döhmann geführt. Sie leitet den Lehrstuhl für das Recht der Digitalisierung und das Institut für Digitalisierung an der Universität zu Köln. Auch mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit habe ich zu dem Thema gesprochen.
Datenskandal bei Tesla
Vielleicht ist die Angst, dass sich chinesische Hersteller genauso verhalten wie Tesla. Dort haben Beschäftigte zwischen 2019 und 2022 hochgradig private und teils peinliche Aufnahmen aus Kundenfahrzeugen intern geteilt, wie Reuters damals berichtete. Während Tesla öffentlich versichert, dass Kameraaufnahmen anonym bleiben und die Privatsphäre geschützt wird, erklärten ehemalige Mitarbeiter, dass die verwendete Software den Standort der Aufnahmen preisgeben konnte, was Rückschlüsse auf die Identität der Besitzer ermöglichte.
In Chatgruppen haben sie Videos und Bilder verbreitet, die von den Kameras in Kunden-Teslas aufgenommen wurden. Darunter das Video eines Mannes, der sich vollkommen nackt seinem Fahrzeug näherte. Auch Aufnahmen aus Garagen, in denen vermeintlich peinliche Gegenstände wie Sexspielzeug oder Unterwäsche zu sehen waren, wurden verbreitet. Ein besonders schockierendes Crash-Video aus dem Jahr 2021 zeigte einen Tesla, der in einem Wohngebiet mit hoher Geschwindigkeit ein Kind auf einem Fahrrad erfasste. Dieses Video verbreitete sich laut Augenzeugen „wie ein Lauffeuer“ unter den Angestellten.
Die Debatte hat natürlich auch einen wirtschaftspolitischen Hintergrund. Die Modelle erfreuen sich in Europa zunehmender Beliebtheit und sind mittlerweile auch bei deutschen Händlern nicht mehr wegzudenken. Allerdings droht Ungemach. In Deutschland hat die Kanzlei JUN legal den Hersteller MG wegen vermeintlicher Lizenzverstöße bei der Software verklagt. In China sind die Daten, die sich in E-Fahrzeugen verstecken, übrigens so gut geschützt. So gut, dass Reparaturen an den Autos ein Minenfeld sind.
Punkt! 