Man sollte in dem Fall unterscheiden, was der Akku kann und was in der Praxis an der Ladesäule geht.
Theoretische Akkuwerte sind schön und man kann das gut für PR nutzen, in der Praxis zählt Akkugewicht, Preis, 10-80% Ladezeit, Akkugröße.
Beiträge von Rumpelkammer
-
-
Weil die Polizei keine Daten veröffentlichen darf, wo ihre Einsätze sind, weil darüber eine Identifizierung möglich ist.
Bsp.: Die Polizei Hamburg fährt mehrfach von der Wache zur Adresse X und dann wieder zurück. Dann aber geht es an einem Tag von Adresse X zur JVA. Danach höre die Fahrten zur Adresse X auf. Gebe ich bei Google dann Adresse X ein, finde ich den Eintrag, dass dort Herr O*** Sch*** wohnt.
Für den Verstoß spielt es keine Rolle, ob die Polizei es wissentlich oder unwissentlich getan hat. Das kann aber Einfluss auf die Strafzumessung haben.
Neben der Polizei Hamburg sind in Deutschland weitere Polizeibehörden betroffen. Aber auch die Polizei in der Schweiz, Belgien, Niederlande und Schweden ist im Datenleck enthalten. Wenn es dort zu Ermittlungen kommt, hat das auch Auswirkungen auf Deutschland. Die GDPR, also EU-weite Richtlinie der DSGVO, gilt mit Ausnahme der Schweiz auch in diesen Ländern. Der LfD Niedersachsen kann wohl schlecht zu dem Ergebnis kommen, dass eigentlich alles bis auf ganz kleine Mängel okay ist, während die Behörden in den anderen Ländern eine Liste mit Fehlern zusammenstellen.
-
Ich weiß nicht, wie schnell der Vortrag online kommt. Hier mal ein paar Kernpunkte:
- Audi und Skoda sind nicht ganz so schlimm, weil die Geokoordinaten auf 1 Stelle gekürzt wurde, d.h. Koordinaten nur auf 10km genau; dafür Seat (Cupra Born) und VW komplette Koordinaten, d.h. lokalisation auf 10cm
- ca. 800T Datensätze, davon ca. 460T VW + Seat, also richtig schlimm
- man weiß, wo das geheime Forschungszentrum von VW in Skandinavien ist
- u.a. Polizei Hamburg, britische Behörden betroffen (anhand der Registrierungsdaten); Einsatzfahrten der Polizei Hamburg lassen sich nachvollziehen; sprich wer im betroffenen Zeitraum mit der Polizei Hamburg und einem ID-Einsatzfahrzeug zu tun hatte, kann die Polizei anzeigen
- Verstoß gegen DSGVO Artikel 13: Die Verarbeitung personenbezogener Daten, aus denen [...] politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von [...] Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
- man konnte Mitarbeiter beim BND, Airbase Rammstein, Verfassungsschutz durch Speicherung der Koordinaten "identifizieren"; dazu Fahrrouten Bankenviertel, Bordelle, Firmen
-
Ich bin tatsächlich gespannt, ob das nicht ein knackiges Bußgeld wegen mangelhafter TOMs gibt und auch in Hinsicht auf die Frage der Datensparsamkeit: wofür braucht man soviele personalisierte Geodatensätze?
Wir User haben mit sehr hoher Wahrscheinlichkeit tief versteckt in den AGBs die Einwilligung gegeben. Dagegen spricht ja auch nichts. Man kann die Daten nutzen, um z.B. die Ladeplanung zu optimieren, wenn es bei -5 Grad über die Kasseler Berge oder die Schwäbische Alb geht. Oder generell, um die E-Mobilität besser zu machen (Ladeangebote usw.). Dazu wertet man die Daten aus und nutzt dann das Ergebnis der Auswertung bzw. gibt die ausgewerteten Daten weiter (X Prozent der E-Auto-User fahren pro Tag maximal Strecken von 75km, bei Y Prozent stehen die Autos mindestens 7 Stunden auf der Arbeit)
Problem ist, wenn Cariad die Rohdaten ungeschützt, quasi für alle zugänglich ins Internet stellt.
Das Bußgeld im eigentlichen Datenschutzverfahren dürfte am Ende überschaubar sein. Der Reputationsschaden dürfte schwerer wiegen. Gerade in der aktuellen Situation könnte man Unterstützung der Politik brauchen. Die Wahrscheinlichkeit, dass man diese bekommt, wird dadurch nicht erhöht. Ebenso könnte eine Folge sein, dass ein Kopf rollen muss.
Des Weiteren hat der BGH vor einigen Wochen ein wegweisendes Urteil getroffen. Es reicht bereits aus, dass derjenige, der die Daten sicher verfahren soll, die Kontrolle verliert, um einen Schadensanspruch zu begründen. Sprich mit den abgegriffenen Daten muss nicht erst etwas angestellt werden oder die betroffene Personen muss einen Schaden nachweisen, um Schadensersatz zu bekommen. Im Fall von Facebook sind das 100 € für eine betroffene Person.
Datenlecks bei Facebook: So prüfen Sie, ob Sie betroffen sind | Verbraucherzentrale.deSind Daten aus Ihrem Facebook-Konto in falsche Hände geraten? Facebook bietet Möglichkeiten an, mit denen Sie das herausfinden können. Der Bundesgerichtshof…www.verbraucherzentrale.de800.000 Datensätze mal 100 € sind 80 Mio. €. Das war für einen einfachen Datensatz. Ein Bewegungsprofil ist etwas ganz anderes. Das wäre quasi nur der immaterielle Schaden.
Angenommen die Polizei Hamburg mit ihren ID.4 muss jetzt die Einsätze der letzten Monate durchgehen und schauen, wo geheime Einsatzorte, Asservatenkammer usw. sind oder ob die Autos an Sicherheitskonvois teilgenommen haben und deshalb Routen usw. geändert werden müssen. Dann können die den realen Aufwand in Rechnung stellen.
-
Klar ist das Alles kein Ruhmesblatt, aber so weit ich das bisher gelesen habe, wurde die Sicherheitslücke aufgedeckt (und geschlossen) bevor die Daten von Dritten abgegriffen wurden. 🤔
Es ist keine Sicherheitslücke, sondern durch eine fehlerhafte Konfiguration war der Zugriff auf Daten möglich. Dass, was Cariad da gemacht hat, ist ein ONS ohne Kondom. Kann gut gehen, muss aber nicht.
Ob und wenn ja, in welchem Umfang Daten abgeflossen sind, muss sich noch zeigen. Cariad geht zwar nach aktuellem Stand davon aus, dass das nicht passiert ist.
Essen wir mal die letzten Reste Spekulatius:
myskoda App hat öfter Schluckauf und jetzt wird eine Lücke wegen eines Anfängerfehlers bekannt.
Entweder hat in der Zeit jemand Daten abgesaugt und die Server damit in die Knie gezwungen oder es ist ein weiteres Indiz, dass Cariad keine Software kann.
Oftmals tauchen die Datensätze erst später auf. Zuerst wird oftmals versucht, diese Datensätze im Dark Web zu Geld zu machen.
Wer seine Daten mal checken will, kann hier mal schauen:
Have I Been Pwned: Check if your email has been compromised in a data breachHave I Been Pwned allows you to search across multiple data breaches to see if your email address or phone number has been compromised.haveibeenpwned.com -
Ich finde überall Meldungen über den Leak, die sich auf den Spiegel-Artikel und CCC stützen. Darin ist dann eine schmallippige Aussage von VW/Cariad eingearbeitet. Ich finde aber weder von VW noch Cariad eine offizielle Stellungnahme dazu. Der Artikel vom Spiegel und auch der CCC-Vortrag fallen nicht vom Himmel. Da muss man sich Gedanken machen.
Und über die Positionsdaten lassen sich Dinge rekonstruieren. Die Mehrzahl der Fahrzeuge wird uninteressant sein, aber Fahrzeuge von Journalisten, Behörden etc. sind ein lohnendes Ziel. Und selbst bei einer 08/15-Person wird es interessant, wenn er mitttwochs alle 14 Tage vor gewissen Örtlichkeiten hält.
-
Heute Abend um 22.05 Uhr gibt es den entsprechenden Vortrag:
-
Ich warte auf die erste Kanzlei, die gegen VW klagt. Das kann ganz schnell teuer werden. Der BGH hat letztens gegen Facebook geurteilt, dass bereits der kurzzeitige Kontrollverlust über personenbezogene Daten ausreicht, um immateriellen Schadensersatz zu rechtfertigen.
-
-
Fu**. Brainfart. Das muss nicht 150 € Ladeguthaben sein, sondern 100 € Ladeguthaben sein. Alternativ 150 kWh Ladeguthaben.
Meine Rechnung geht so:
EnBW gibt einem 70 € THG-Prämie. Dann kostet die das real 70 €. 100 € Ladeguthaben sind im Tarif L (0,3277 ct netto), knapp 300 kWh. Selbst wenn EnBW die im Einkauf 20ct netto kosten, macht das nur Ausgaben von 60 €.
