Experiment Datenauskunft
Wie Skoda mit lästigen Auskunftsbegehren umgeht
Wer eine Datenauskunft vom Autokonzern anfordert, wird oft mit unvollständigen Informationen abgespeist. Es lohnt sich, hartnäckig zu bleiben, wie der Erfahrungsbericht eines der Redaktion bekannten (Name geändert) Datenschutzexperten zeigt.
Es hätte so schön sein können: Ich fahre das kleine E-Auto Citigo e-iV von Skoda, das baugleich ist und demselben Konzern entstammt wie der eUp von VW und der Mii von Seat. Mit der Handy-App „MySKODA“ kann ich Eigenschaften des Fahrzeugs abfragen und unter anderem das Laden steuern oder mir den Standort des Autos anzeigen lassen.
Nach einigen Wochen meldete das Display des Autos erstmals einen „nicht fahrkritischen“ Fehler. Ich rief den Skoda-Händler an, der meinen Namen umstandslos meinem Auto zuordnen konnte. Er gab mir schnell die Auskunft, dass der Fehler harmlos sei und bei einem zukünftigen Werkstattaufenthalt behoben werden könne. Das war beruhigend.
Weniger beruhigt fragte ich mich, welche Daten meine Werkstatt und Skoda in meinem Auto erheben. Dass einige Daten an Skoda fließen werden, war mir mit den Unterschriften unter das umfangreiche Vertragswerk klar. Ich hätte den Kauf nicht an einem Datenabfluss an den Autohersteller scheitern lassen, schließlich stand für uns der Umstieg auf ein ökologisch verantwortbares kleines E-Auto fest. Die Alternativen für mich damals: keine.
Schon beim Kauf nahm ich mir aber vor, dem Thema Datenschutz später nachzugehen. Dieser Zeitpunkt war nun gekommen: Wie groß ist der Schluck aus der Datenpulle, den sich europäische Autobauer gönnen, die der DSGVO unterliegen? Wie weit kommt ein Kunde, der seine Auskunftsrechte beansprucht?
Antworten: Fehlanzeige
Im Januar 2021 adressierte ich einen Brief mit Bitte um Auskunft unspezifisch an Skoda Deutschland. Dabei simulierte ich den Stil eines Kunden, der sich leicht auftrumpfend, aber unspezifisch auf seine Rechte beruft. Ich wollte zu allen Daten eine Auskunft bekommen, die eine Profilierung meines Fahrverhaltens erlauben und erkundigte mich nach einer Datenschutz-Folgenabschätzung (DSFA); zudem willigte ich in Mail-Kommunikation ein.
Wenige Tage vor Ablauf der Auskunftsfrist von einem Monat bekam ich eine Mail von der Kundenbetreuung. Man zeigte sich sehr erfreut über mein Interesse an der Plattform „Skoda Connect“ und teilte mir mit, zu welchen Zwecken und für welche Dienste hier Daten verwendet werden, inklusive eines Links auf die dazugehörige Datenschutzerklärung. Diese Plattform kenne und nutze ich allerdings meines Wissens gar nicht; Antworten auf meine Fragen: Fehlanzeige.
Im darauf folgenden Brief wandte ich mich an den Datenschutzbeauftragten von Skoda Deutschland. Diesmal formulierte ich meine Auskunftsbitte zwar genauer, aber weiterhin ohne spezifischen Bezug zur DSGVO. Ich bat um eine vollständige Auflistung all der Daten, die Skoda in meinem Fahrzeug beziehungsweise am Motor und als Organisation erhebt und welche Analysen mit diesen Daten durchgeführt werden. Ebenso erkundigte ich mich nach bereits erfolgten Zugriffen auf diese Daten, etwa durch Werkstätten oder von Sicherheitsbehörden. Die Frage nach der DSFA bekräftigte ich.
Das Antwortschreiben traf fristgerecht ein, und zwar in Form eines hochwertig aufgemachten, mehrseitigen Schreibens einer Hamburger Anwaltssozietät. Darin wurde ich eingangs auf meine Rechte gemäß DSGVO aufmerksam gemacht, inklusive der Kontaktdaten sowohl der für Skoda zuständigen Datenschutzaufsichtsbehörde als auch der betrieblichen Datenschutzbeauftragten in Deutschland und in Tschechien.
Auskunft erhielt ich zunächst über die Typen von Daten, die so auch im Kaufvertrag stehen, sowie eine „Adressklassifizierung“ (in meinem Fall: „Privatperson“) und der „zugeordnete Händler“; im Anhang des Schreibens fanden sich dann meine konkreten Daten dazu. Ein zweiter Anhang listete weitere Datenbankfeldbeschreibungen, die offenbar durch Werkstätten abrufbar sind. So scheint Skoda den Händlern den Service anzubieten, zentral die Werkstattdaten eines Kunden bei sich hosten zu können; mit Auftragshistorie, Rechnungsnummern und weiteren Daten.
Als Empfänger wurden unter anderem ausgewiesen („Ihre Daten werden folgenden Unternehmen oder Personen offengelegt“): Banken, IT-Dienstleistern (Wartung), Skoda-Marketing, Behörden, Ämter, Sicherheitsbehörden, „unseren Finanzberatern“ und „anderen Dritten, denen wir aufgrund gesetzlicher Anforderungen personenbezogene Daten zugänglich machen“. Der Zweck der Datenverarbeitung wurde angegeben mit: „(...) um unsere vertraglichen Verpflichtungen zu erfüllen, mit Ihnen zu interagieren oder für werbliche Zwecke.“
Dystopische Fantasien
Konnte ich zufrieden sein? Der ausgewiesene Zweck der Datenverarbeitung war zu generisch, wobei die Empfängerkategorien – keine Angabe der konkreten Empfänger, die offenbar ganz selbstverständlich Zugriff auf die Daten erhalten – natürlich dystopische Fantasien beflügeln. Insbesondere wurden meine Fragen bezüglich der Analysemöglichkeiten meines Fahrverhaltens aufgrund der erhobenen Motordaten sowie des Vorliegens einer DSFA nicht beantwortet.
Deshalb schrieb ich Ende Februar auf Deutsch an den Datenschutzbeauftragten von Skoda Tschechien, dem Hauptfirmensitz von Skoda. Ich erkundigte mich explizit nach Daten und Analysen im Kontext der Motornutzung, nach Sensoren im Fahrgastraum, nach Zugriffen durch den VW-Konzern sowie Abfragen durch Werkstätten und andere Dritte. Ich bat darum, alle Aktivitäten mit den Rechtsgrundlagen für diese Verarbeitungen zu belegen.
Dieses Mal erhielt ich wieder eine Mail als Antwort, nicht fristgerecht und überraschenderweise von der Kundenbetreuung Skoda Deutschland. Die Nachricht enthielt einen Link, an dem ich meine aktuellen Daten von einem Server herunterladen können sollte. Das habe ich umgehend getan: In dem Datensatz war nur ein kleiner Teil der Daten enthalten, den ich zuvor ohnehin bereits per Brief zugeschickt bekommen hatte.
Erneut schickte ich dem tschechischen Datenschutzbeauftragten einen Brief, in dem ich auf die ersichtlich vollkommen unzureichende Auflistung der Daten hinwies. Nur wenige Tage später, Mitte April 2021, erhielt ich, per Mail und auf Deutsch, eine Antwort, die Sie auszugsweise im untenstehenden Kasten lesen können. Erwähnt wurde außerdem die praktizierte DSFA. Hiernach sei alles in Ordnung.
Glaube ich den Angaben in den sehr umfangreichen referenzierten Datenschutzerklärungen, wird mein Fahrverhalten offenbar nicht profiliert. Dies lässt die Frage aufkommen, ob dies auf einer anderen Grundlage sehr wohl doch möglich wäre. Während der Fahrt werden keine Daten versendet, aber offenbar, wenn das Fahrzeug steht.
Werkstätten können für Wartung und Reparatur auf technische Daten zugreifen und diese mit meiner Person verbinden. Das ist grundsätzlich sinnvoll. Aber ob es auch in meinem Sinne ist und ich das gegebenfalls abbestellen möchte, wurde ich nicht gefragt. Nicht zuletzt hat man mir verschwiegen, welche Daten zu welchen Zwecken aufgrund welcher Rechtsgrundlage an Dritte übermittelt wurden.
Fazit
Wenn man hartnäckig bleibt, kommt man über den Abwimmelversuch des First-Level-Supports und das Beeindruckspielchen durch Schreiben einer teuren Sozietät hinaus und erhält nicht vollkommen ins Leere laufende Antworten von Skoda. Jedoch helfen die Antworten nicht, Zweifel an der grundrechtskonformen Datenverarbeitung durch den Fahrzeughersteller auszuräumen. (hob@ct.de)