www.ihr-interim-cio-com - Logo Dr. Claus Michael Sattler

Interim-CIO: Dr. Claus Michael Sattler

VW Datenskandal 2.0

Chaos Computer Club deckt erneute massive Datenschutzverletzung bei Volkswagen auf

VW Datenskandal 2.0

Industrie 4.0 vollkommen falsch verstanden

Der Chaos Computer Club (CCC) hat einen schwerwiegenden Datenskandal bei Volkswagen aufgedeckt, der als VW Datenskandal 2.0 bezeichnet werden kann. Laut den Enthüllungen des CCC hat der Volkswagen-Konzern systematisch Bewegungsdaten von hunderttausenden Fahrzeugen der Marken VW, Audi, Skoda und Seat erfasst und über lange Zeiträume gespeichert [Quelle: 1]. Diese Bewegungsdaten könnte man als Maschinendaten, also als Industrie 4.0 Daten, betrachten. Besonders alarmierend ist die Tatsache, dass diese sensiblen Daten, einschließlich Informationen über Fahrzeughalter, ungeschützt im Internet zugänglich waren [Quelle: 1].

Umfang und Auswirkungen des VW Datenskandals 2.0

Der VW Datenskandal 2.0 betrifft nicht nur Privatpersonen, sondern auch Fuhrparkverwaltungen, Vorstände und Aufsichtsratsmitglieder von DAX-Konzernen sowie diverse Polizeibehörden in Europa [Quelle: 1]. Besonders brisant ist die Erfassung von Bewegungsdaten von 35 elektrischen Streifenwagen der Hamburger Polizei, die auf der VW-Plattform für Dritte einsehbar gespeichert wurden [Quelle: 1].

Die von der VW-Tochter Cariad gesammelten Informationen umfassen präzise Angaben zum Standort und Zeitpunkt des Abschaltens der Zündung [Quelle: 1]. Diese Bewegungsdaten sind mit weiteren personenbezogenen Daten verknüpft, was Rückschlüsse auf Zulieferer, Dienstleister, Mitarbeiter oder sogar Tarnorganisationen von Sicherheitsbehörden ermöglicht [Quelle: 1].

Rechtliche Implikationen des VW Datenskandals 2.0

Da ich kein Rechtsanwalt bin, darf ich hier keine rechtliche Beratung veröffentlichen. Als Datenschutzbeauftragter, ausgebildet nach dem Ulmer Modell, komme ich für mich zu dem folgenden Ergebnis: Der VW Datenskandal 2.0 stellt einen erheblichen Verstoß gegen das Bundesdatenschutzgesetz (BDSG) und die Datenschutz-Grundverordnung (DSGVO) dar. Gemäß den geltenden Datenschutzgesetzen haben die betroffenen ca. 460.000 VW-Fahrer nun das Recht, Auskunft über ihre gespeicherten Daten zu verlangen.

Relevante Paragraphen des BDSG

  • § 34 BDSG: Auskunftsrecht der betroffenen Person
  • § 35 BDSG: Recht auf Berichtigung oder Löschung personenbezogener Daten und auf Einschränkung der Verarbeitung
  • § 83 BDSG: Schadensersatz und Entschädigung

Relevante Artikel der DSGVO

  • Art. 15 DSGVO: Auskunftsrecht der betroffenen Person
  • Art. 16 DSGVO: Recht auf Berichtigung
  • Art. 17 DSGVO: Recht auf Löschung („Recht auf Vergessenwerden“)
  • Art. 18 DSGVO: Recht auf Einschränkung der Verarbeitung
  • Art. 82 DSGVO: Haftung und Recht auf Schadenersatz

Gem. Bundesdatenschutzgesetz (BDSG):

Der §34 BDSG regelt das Auskunftsrecht der betroffenen Person. Betroffene Personen haben das Recht, Informationen über die zu ihrer Person gespeicherten Daten, deren Herkunft, den Zweck der Verarbeitung und die Empfänger zu erhalten.

Gem. Datenschutz-Grundverordnung (DSGVO):

Der Artikel 15 DSGVO beschreibt das Auskunftsrecht der betroffenen Person.
Dieses Recht umfasst:

    • Bestätigung darüber, ob personenbezogene Daten verarbeitet werden,
    • Informationen zu den Verarbeitungszwecken,
    • den Kategorien personenbezogener Daten,
    • den Empfängern, gegenüber denen die Daten offengelegt wurden oder werden,
    • die Speicherdauer oder Kriterien für die Festlegung dieser Dauer,
    • das Bestehen weiterer Rechte (z. B. Berichtigung, Löschung, Einschränkung der Verarbeitung),
    • das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen,
    • Informationen zur Datenherkunft, wenn diese nicht bei der betroffenen Person erhoben wurden,
    • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Auswirkungen auf den VW-Konzern

Der VW Datenskandal 2.0 könnte weitreichende Folgen für den Volkswagen-Konzern haben. Neben möglichen rechtlichen Konsequenzen und Bußgeldern droht ein erheblicher Reputationsschaden. Das Vertrauen der Kunden in den Datenschutz bei VW dürfte stark erschüttert sein.

Finanzielle Risiken

Volkswagen könnte mit hohen Bußgeldern konfrontiert werden. Gemäß Art. 83 DSGVO können Verstöße gegen die Datenschutzbestimmungen mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden [Quelle: 2].

Reputationsschaden

Der VW Datenskandal 2.0 könnte das Image des Konzerns nachhaltig schädigen. Kunden könnten das Vertrauen in die Marke verlieren, was sich negativ auf Verkaufszahlen und Marktanteile auswirken könnte.

Rechtliche Folgen

Betroffene Kunden könnten Schadensersatzansprüche geltend machen. Zudem drohen möglicherweise Sammelklagen, die den Konzern über Jahre hinweg beschäftigen und finanziell belasten könnten.

Rolle und Verantwortung der Datenschutzbeauftragten bei VW

Im Kontext des VW Datenskandals 2.0 rückt die Rolle der Datenschutzbeauftragten bei Volkswagen in den Fokus. Ihre Aufgabe ist es, die Einhaltung der Datenschutzvorschriften zu überwachen und als Ansprechpartner für Betroffene und Aufsichtsbehörden zu fungieren.

Zeitaufwand

Gerade der letzte Punkt ist wichtig. Stellen Sie sich nur einmal vor, alle 460.000 Kunden würden Auskunft verlangen. Jeder einzelne Fall müsste vollumfänglich bearbeitet werden und auch wenn die Datenschutzprofis bei VW rasend schnell wären, bräuchten sie nach meiner Erfahrung mind. einen Tag pro Fall. Das wären also 460.000 Tage = 2191 Mann-Jahre, legt man die Verfügbarkeit je Mitarbeiter mit 210 Tagen / Jahr an.

Versäumnisse und Herausforderungen

Der VW Datenskandal 2.0 wirft Fragen zur Effektivität der Datenschutzmaßnahmen bei VW auf. Die Datenschutzbeauftragten stehen vor der Herausforderung, die Ursachen für die Datenschutzverletzung zu identifizieren und Maßnahmen zur Verhinderung ähnlicher Vorfälle in der Zukunft zu implementieren.

Technische Aspekte des VW Datenskandals 2.0

Der VW Datenskandal 2.0 offenbart gravierende technische Mängel in der Datensicherheit des Konzerns. Die Tatsache, dass sensible Daten ungeschützt in einem Amazon-Cloudspeicher zugänglich waren, deutet auf fundamentale Schwachstellen in der IT-Infrastruktur hin [Quelle: 4].

Sicherheitslücken

Die von der VW-Softwaretochter Cariad verantwortete Sicherheitslücke ermöglichte den Zugriff auf Standortdaten von rund 800.000 Elektroautos [Quelle: 4]. Besonders detailliert waren die Informationen bei Besitzern der VW-Modelle ID.3 und ID.4 [Quelle: 4].

Notwendige technische Verbesserungen

  1. Verschlüsselung aller sensiblen Daten
  2. Implementierung eines robusten Zugriffsmanagements
  3. Regelmäßige Sicherheitsaudits und Penetrationstests
  4. Einsatz fortschrittlicher Intrusion Detection Systeme

Historischer Kontext: Frühere Datenschutzverstöße bei VW

Der aktuelle VW Datenskandal 2.0 ist nicht der erste Vorfall dieser Art bei Volkswagen. Bereits in der Vergangenheit gab es Bußgelder wegen Datenschutzverstößen.

Bußgeld von 1,1 Millionen Euro im Jahr 2022

Im Juli 2022 verhängte die Landesbeauftragte für den Datenschutz Niedersachsen ein Bußgeld von 1,1 Millionen Euro gegen Volkswagen [Quelle: 5]. Grund waren Datenschutzverstöße im Zusammenhang mit Forschungsfahrten für ein Fahrassistenzsystem [Quelle: 5].

Lehren aus der Vergangenheit

Der VW Datenskandal 2.0 zeigt, dass trotz früherer Vorfälle und Bußgelder die Datenschutzmaßnahmen bei Volkswagen offenbar nicht ausreichend verbessert wurden. Dies unterstreicht die Notwendigkeit einer grundlegenden Überarbeitung der Datenschutzstrategie des Konzerns.

Reaktionen und Stellungnahmen

Volkswagen

Volkswagen hat auf die Enthüllungen des CCC reagiert und versucht, die Situation zu beschwichtigen. Der Konzern erklärte, dass der Zugriff auf die Daten „in einem sehr komplexen, mehrstufigen Verfahren“ erfolgt sei [Quelle: 1]. Laut VW habe der CCC lediglich auf pseudonymisierte Fahrzeugdaten zugreifen können, die keine Rückschlüsse auf einzelne Personen zuließen [Quelle: 1].

Chaos Computer Club

Linus Neumann, Sprecher des Chaos Computer Clubs, betonte die Schwere des Vorfalls: „Das Problem ist, dass diese Daten überhaupt erhoben und über einen so langen Zeitraum gespeichert werden. Dass sie obendrein schlecht geschützt waren, setzt dem Ganzen nur die Krone auf.“ [Quelle: 1]

Ausblick und mögliche Konsequenzen

Der VW Datenskandal 2.0 wird voraussichtlich weitreichende Folgen für den Volkswagen-Konzern und möglicherweise für die gesamte Automobilindustrie haben.

Regulatorische Verschärfungen

Es ist zu erwarten, dass dieser Vorfall zu einer Verschärfung der Datenschutzregulierungen in der Automobilbranche führen wird. Gesetzgeber und Aufsichtsbehörden könnten strengere Vorgaben für den Umgang mit Fahrzeugdaten erlassen.

Vertrauensbildende Maßnahmen

Volkswagen wird erhebliche Anstrengungen unternehmen müssen, um das Vertrauen der Kunden und der Öffentlichkeit zurückzugewinnen. Dies könnte die Einführung transparenterer Datenschutzpraktiken und die Gewährung größerer Kontrolle für Nutzer über ihre Daten umfassen.

Branchenweite Auswirkungen

Der VW Datenskandal 2.0 könnte als Weckruf für die gesamte Automobilindustrie dienen. Andere Hersteller werden ihre eigenen Datenschutzpraktiken überprüfen und verbessern müssen, um ähnliche Vorfälle zu vermeiden.

Fazit

Der VW Datenskandal 2.0 markiert einen Wendepunkt in der Diskussion um Datenschutz in der Automobilindustrie. Er zeigt deutlich die Risiken und Herausforderungen, die mit der zunehmenden Digitalisierung und Vernetzung von Fahrzeugen einhergehen. Volkswagen steht nun vor der Aufgabe, nicht nur die unmittelbaren Folgen des Skandals zu bewältigen, sondern auch langfristige Lösungen zu entwickeln, die das Vertrauen der Kunden wiederherstellen und zukünftige Datenschutzverletzungen verhindern.

Die Automobilindustrie insgesamt muss aus diesem Vorfall lernen und proaktiv Maßnahmen ergreifen, um die Privatsphäre und Sicherheit der Fahrzeugnutzer zu schützen. Nur so kann das Vertrauen in die digitale Transformation der Mobilität gewahrt und gestärkt werden.

Der VW Datenskandal 2.0 unterstreicht die Notwendigkeit einer kontinuierlichen Überprüfung und Verbesserung von Datenschutzpraktiken in einer zunehmend vernetzten Welt. Er sollte als Mahnung dienen, dass der Schutz personenbezogener Daten nicht nur eine rechtliche Verpflichtung, sondern auch eine ethische Verantwortung und ein entscheidender Faktor für den langfristigen Geschäftserfolg ist.

Quellen

  1. https://www.adac.de/news/vw-datenleck/
  2. https://www.datenschutzticker.de/2022/08/millionenschweres-bussgeld-gegen-volkswagen-festgesetzt/
  3. https://www.vwgroupsupply.com/one-kbp-pub/de/kbp_public/rechtliches_4/privacy_policy/privacy_policy_1.html
  4. https://www.manager-magazin.de/unternehmen/autoindustrie/volkswagen-standortdaten-von-rund-800-000-elektroautos-oeffentlich-einsehbar-a-a6c5a310-1458-48e1-9666-2cb1e0b30463
  5. https://www.lfd.niedersachsen.de/startseite/infothek/presseinformationen/1-1-millionen-euro-bussgeld-gegen-volkswagen-213835.html
  6. https://www.volkswagen-automobile-berlin.de/datenschutz
  7. https://www.ccc.de/de/updates/2024/wir-wissen-wo-dein-auto-steht
  8. https://dataagenda.de/millionen-bussgeld-wegen-nicht-datenschutzkonformer-forschungsfahrten/
  9. https://www.heise.de/news/In-der-Cloud-abgelegt-Terabyte-an-Bewegungsdaten-von-VW-Elektroautos-gefunden-10220623.html
  10. https://www.wbs.legal/it-und-internet-recht/datenschutzrecht/vier-datenschutzverstoesse-vw-muss-millionenbussgeld-zahlen-61416/
  11. Bild: ChatGPT
Dr. Claus Michael Sattler

Postfach 1142
28833 Weyhe
Deutschland

Tel.: 0049 174 6031377

E-Mail: cms@sattlerinterim.com

www.sattler-interim.com - Logo mit weißem Hintergrund
Dr. Claus Michael Sattler - interim CIO
www-transformationmittelstand.com
DDIM-Mitgliedschaft
Dachorganisation Österreichisches Interim Management
BVMID
www.renate-sattler.com - linkedin-Logo
TOP 100 INTERIM
TOP 100 INTERIM
www.china-interim-managerin.com - China Consulting Partner
www.sattler-interim.com - Logo von Renate H. Sattler
DDIM-Mitgliedschaft
Dachorganisation Österreichisches Interim Management
www.renate-sattler.com - linkedin-Logo
Post Views: 39