Datenleck bei Tesla – was bedeutet es für Verbraucher?
Schon am 25. Mai veröffentlichte die deutsche Wirtschaftszeitschrift Handelsblatt einen Bericht darüber, dass diesem eine erhebliche Menge von vertraulichen Daten zugespielt wurden. Sämtliche der insgesamt 100 Gigabyte umfassenden Daten stammen hierbei aus dem Inneren des Tesla-Konzerns.
Erst nach der Veröffentlichung meldete sich auch der Autobauer selbst zu Wort und gab an, dass die Daten durch einen ehemaligen Mitarbeiter entwendet worden seien. Dieser nutzte scheinbar die unzureichende Sicherung aus, um eine Vielzahl von Daten in seinen Besitz zu bringen, auf welche dieser eigentlich gar keinen Zugriff haben dürfte.
Mitarbeiter und Kundendaten betroffen
Der dem Handelsblatt zugespielte Datensatz enthält sowohl empfindliche Daten von Mitarbeitern als auch Kunden. Die Art der geleakten Daten scheint im Hinblick auf beide der betroffenen Gruppen prekär.
So konnte der oder die Täter etwa Gehälter, Adressen, Namen und auch Sozialversicherungsnummern von (derzeitigen und ehemaligen) Mitarbeitern in seinen Besitz bringen. Betroffen sind sowohl Mitarbeiter des Brandenburger Standortes in Grünheide als auch Mitarbeiter anderer deutscher und auch internationale Unternehmensstandorte.
Auch die Kundendaten lassen Besorgnis aufkommen. Hier sind Namen, Bankdaten, Fahrzeugidentifikationsnummer und die Fahrzeughistorie betroffen.
Wer seine eigene Betroffenheit abfragen will, kann hierfür den Betroffenheitscheck des Handelsblattes nutzen.
Geleakte Daten enthalten Aufzeichnungen über fehlerhaften Autopiloten
Ebenfalls unangenehm für den Autokonzern dürfte der Umstand sein, dass neben den geleakten Personendaten auch zahlreiche Aufzeichnung über Fehlverhalten des von Tesla entwickelten Autopiloten “Full Self Driving (FSD)” an die Öffentlichkeit gelangten.
So wurden durch das Leck allein 1.000 Unfälle, 2.400 Beschwerden über unnötige Beschleunigungen und 1.500 Beschwerden über Bremsfehlfunktionen bekannt.
Täter wollte wohl fehlende Sicherung der Daten demonstrieren
Ein wichtiger Unterschied zu anderen Datenlecks, wie etwa bei Facebook oder Twitter, ist, dass der oder die Täter scheinbar nicht auf den Verkauf der entwendeten Daten aus waren.
Vielmehr ging es diesen wohl darum, die Unsicherheit des von Tesla genutzten Systems zu demonstrieren und öffentlich zu machen, um die bestehenden Missstände zu verändern. So waren es auch die Täter selbst, welche die Landesdatenschutzbeauftragte Brandenburg über die Sicherheitslücken informierten.
Nach den derzeit verfügbaren Informationen wurde der Datensatz lediglich dem Handelsblatt zur Verfügung gestellt und nicht etwa im Darknet veröffentlicht oder weiterverkauft. Unklar ist jedoch, ob die Täter selbst noch im Besitz der Daten sind und, falls ja, wie sicher die Daten bei diesen bzw. beim Handelsblatt verwahrt sind.
Schadensersatzansprüche der Betroffenen noch unklar
Ob für Betroffene des Tesla-Datenlecks Schadensersatzansprüche bestehen, ist noch unklar. Denn ein Datendiebstahl, welcher lediglich zum Aufzeigen von Schwachstellen diente, hat die deutschen Gerichte bisher noch nicht beschäftigt.
Dass hier ein Verstoß gegen die Datenschutzgrundverordnung bestand, scheint hingegen auf der Hand zu liegen. Gerade aufgrund der Empfindlichkeit der Daten hätten diese keinesfalls von einzelnen Mitarbeitern derart flächendeckend abgerufen und gar runtergeladen werden können. Eine hohe Bußgeldzahlung dürfte dem Konzern somit unstrittig bevorstehen.
Die verbleibende Frage ist jedoch, ob auch den Betroffenen ein Schaden entstanden ist, welche diese nun ersetzt verlangen können. Das wäre dann der Fall, wenn diese aufgrund des Lecks berechtigter Weise Sorge oder Angst verspüren beziehungsweise Negativfolgen wie etwa Spam oder auch Identitätsdiebstahl ausgesetzt sind.
Da die Daten bisher nur an eine Zeitschrift gegeben worden zu sein scheinen, bleibt dies durch die Gerichte zu klären. Unklar ist zudem, ob die Daten nicht in Zukunft doch noch Gegenstand krimineller Handlungen werden.
Zusammenfassung
Das Tesla-Datenleck betrifft eine Vielzahl empfindlichster Daten von Kunden und auch Mitarbeitern des Elektroautobauers. Ob den Betroffenen einen Anspruch auf Schadensersatz zusteht, obwohl die Daten bisher nicht öffentlich zur Verfügung gestellt wurden, bleibt abzuwarten.
Gerade vor dem Hintergrund, dass der Fall Tesla exemplarisch für eine Vielzahl großer Konzerne stehen dürfte, ist ein gerechter Ausgleich jedoch notwendig.
