Wie bereits Ende des Jahres 2024 zusammengefasst, sind mehrere Fahrzeugmarken des VW-Konzerns von einem Datenleak-Skandal betroffen. Dies betraf insbesondere Volkswagen (Modelle ID.3, ID.4, ID.5, ID.7) und Seat (Modelle Cupra Born, Tavascan). Offenbar wurden Bewegungsdaten von E-Autos offenbar unzureichend gesichert in einem Amazon-Cloudspeicher abgelegt. Zudem stand die Verwaltungsoberfläche der Software, in der die Zugangsdaten zur Cloud hinterlegt waren, offenbar ohne Passwortschutz im Internet.
Dadurch konnten offenbar über Monate hinweg hochpräzise Bewegungsprofile von Fahrzeugen mit einer Genauigkeit von bis zu zehn Zentimetern potenziell für jedermann eingesehen werden. Besonders heikel war, dass über die interne Schnittstelle zusätzlich Daten von über 600.000 Nutzern der Volkswagen-App abrufbar waren, darunter Adresse und Kontaktdaten.
Was kann ich als Betroffener tun?
Betroffene können Schadenersatzansprüche geltend machen, die auf dem Kontrollverlust über ihre personenbezogenen Daten beruhen. Laut Art. 82 DSGVO steht Betroffenen eine Entschädigung zu, wenn ein Verstoß gegen die Datenschutzvorschriften vorliegt. Denn die Offenlegung solch sensibler Daten – insbesondere der genauen Fahrzeugstandorte – kann erhebliche Folgen haben: Standortdaten ermöglichen Rückschlüsse auf persönliche Lebensbereiche, wie etwa regelmäßige Besuche bei Ärzten oder Bildungseinrichtungen, und können in besonders sensiblen Fällen sogar unter die Kategorie „besondere Kategorien personenbezogener Daten“ nach Art. 9 DSGVO fallen.
In der Praxis hängt die Höhe des Schadenersatzes jedoch stark vom Einzelfall ab. Basierend auf bisherigen Erfahrungen (insbesondere rund um die Fälle von Betroffenen im Fall des Meta/Facebook-Datenskandals, wo es um Entschädigungen in Höhe von rund 100 Euro letztlich ging) könnte eine Entschädigung in diesem Datenskandal wohl im Bereich von rund 200 bis 300 Euro pro Fall liegen – das hängt aber vom Einzelfall, insb. von der Sensibilität der betroffenen Daten und deren potenzielle missbräuchliche Verwendung, ab.
Wenn Sie vermuten, vom VW-Datenleck betroffen zu sein, fordern Sie im ersten Schritt gemäß Art. 15 DSGVO eine Datenauskunft von VW an. Sie haben das Recht zu erfahren, welche personenbezogenen Daten über Sie gespeichert wurden. VW ist verpflichtet, diese Anfrage innerhalb eines Monats zu beantworten (Art. 12 Abs. 3 DSGVO). Darauf basierend können Sie dann überlegen, weitere Schritte zu unternehmen.
Muster für eine Datenauskunft
Schreiben Sie als Betroffener direkt per E-Mail ein Auskunftsschreiben an info-datenschutz@volkswagen.de und nutzen Sie dabei jenes E-Mail-Postfach, mit dem Sie bei der VW-App registriert sind. Achten Sie darauf, dass Sie die Funktion Lese- oder Empfangsbestätigung Ihres E-Mail-Anbieters anticken, damit Sie nachweisen, wann Ihr Schreiben an VW erging. Der Inhalt könnte wie folgt lauten:
Betreff: Anfrage nach Auskunft gemäß Art. 15 DSGVO
Sehr geehrte Damen und Herren,
hiermit ersuche ich gemäß Art. 15 DSGVO um Auskunft darüber, ob Sie personenbezogene Daten verarbeiten, die mich betreffen. In diesem Fall ersuche ich um die Beantwortung der folgenden Fragen innerhalb eines Monats nach Erhalt meines Schreibens (Art. 12 Abs. 3 DSGVO):
- Welche personenbezogenen Daten verarbeiten Sie und aus welchen Quellen stammen diese Daten?
- Zu welchen Zwecken werden diese Daten verarbeitet und wie lange beabsichtigen Sie, meine Daten zu speichern und zu verarbeiten?
- Wurden diese Daten an Dritte weitergegeben oder ist eine Weitergabe geplant?
- Vor dem Hintergrund aktueller Berichterstattungen über die Speicherung von Positionsdaten von Elektrofahrzeugen durch Ihr Unternehmen ersuche ich um Auskunft, ob solche Daten auch in Bezug auf Fahrzeuge, die mit meinem Konto verknüpft sind, verarbeitet wurden und ob diese Positionsdaten von dem in der Berichterstattung beschriebenen Datenleck betroffen sind.
Gemäß Art. 15 Abs. 1 und Abs. 3 DSGVO ersuche ich zudem um die Bereitstellung einer unentgeltlichen Kopie der über mich gespeicherten Daten via E-Mail.
Freundliche Grüße
[Ort, Datum, Name, Unterschrift]
Der nächste Schritt
Sobald Sie die Informationen haben, können Sie überprüfen (oder durch anwaltliche Unterstützung überprüfen lassen), ob bzw. inwieweit Sie von dem VW-Datenleak betroffen sind und ob Sie Schadenersatz für den Kontrollverlust über Ihre Daten verlangen können. Sollte dies der Fall sein, können Sie neben der finanziellen Entschädigung verlangen, dass VW für potenzielle zukünftige Schäden haftet, die aus dem Vorfall resultieren.
Ausblick
Da die Schadenersatz-Ansprüche aus heutiger Sicht wohl eher gering ausfallen werden, wird der Datenleak-Skandal von VW wohl eher durch ein zukünftiges Verwaltungsverfahren in den Medien weiter verfolgt werden. Denn falls sich erhärtet, dass VW einen Mangel an Datensicherheit nach Art. 5 Abs. 1 lit. f und Art. 32 Abs. 1 DSGVO zu verantworten hat, kann die zuständige Aufsichtsbehörde (im Fall von VW ist dies der Landesbeauftragte für Datenschutz Niedersachsen) ein Bußgeld von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, was bei der Volkswagen AG mit einem Jahresumsatz 2023 von rund 332 Milliarden Euro durchaus beträchtlich wäre.
Dass überhaupt kein Bußgeld verhängt wird, erscheint unwahrscheinlich, da es um eine hohe Anzahl von Betroffenen, um die Art von (auch sensiblen) Daten und um einen wohl sehr fahrlässige Verursachung des Datenschutzverletzung geht. Allerdings hat VW auf die Meldung der Datenschutzverletzung gut reagiert und die Sicherheitslücke unverzüglich geschlossen, was die Behörde bei der Bemessung des Bußgeldes sicherlich mit berücksichtigen wird.