Die zunehmende Digitalisierung und Vernetzung moderner Fahrzeuge bringt viele Vorteile im Bereich Komfort und Sicherheit. Systeme wie BMW ConnectedDrive bieten Nutzern die Möglichkeit, ihr Fahrzeug per App zu überwachen und diverse Funktionen aus der Ferne zu steuern. Doch genau diese Innovation hat in letzter Zeit für erhebliches Aufsehen gesorgt, als ein Nutzer berichtete, dass er nach Rückgabe eines BMW Mietwagens bei Sixt weiterhin vollständigen Zugriff auf das Fahrzeug besaß. Diese Begebenheit offenbart eine gravierende Sicherheitslücke und wirft grundsätzliche Fragen zum Umgang mit Fahrzeugdaten und der Übergabe bei Mietwagenfirmen auf. BMW ConnectedDrive ist eine cloudbasierte Plattform von BMW, die verschiedene Dienste wie Fahrzeugortung, Fernbedienung von Türen, Klimatisierung oder Lichtsteuerung ermöglicht.
Die Anmeldung erfolgt über eine persönliche BMW ID, die mit dem Fahrzeug über die Fahrgestellnummer (VIN) verbunden wird. So erhält der Nutzer eine Art digitale Besitzerschaft für die verknüpfte Zeit. Im Fall des betroffenen Mietwagens, welcher über Sixt in Italien angemietet wurde, stellte der Nutzer fest, dass nach der Rückgabe an die Mietwagenfirma die Kontrolle per BMW ConnectedDrive App noch immer gegeben war. Unter anderem konnte er das Fahrzeug orten, Türen lockern und verriegeln, die Hupe betätigen sowie die Beleuchtung an- und ausschalten. Dabei hatte der Sixt-Mitarbeiter bei der Rückgabe versichert, das Fahrzeug würde zurückgesetzt.
Die Tatsache, dass die Zugangsrechte zur BMW ID des vorherigen Fahrers nicht deaktiviert wurden, offenbart grundlegende Schwachstellen sowohl im Backend-System von BMW als auch in den Prozessen bei Sixt. Die Datensicherheit und Privatsphäre von Mietwagenkunden sind hier ernsthaft in Gefahr. Diese Problematik ist nicht allein auf Italien begrenzt, sondern könnte global in Mietwagenflotten auftreten, die BMW-Fahrzeuge mit ConnectedDrive-Diensten einsetzen. Ein nicht ordnungsgemäßer Reset oder das Versäumnis der Disassoziierung der BMW ID vom Fahrzeug führt zu einer andauernden Verknüpfung, die potentiell von jedem vorherigen Nutzer missbraucht werden kann. Experten warnen, dass solche Sicherheitslücken weitreichende Konsequenzen mit sich bringen.
Neben der Möglichkeit der Fernbedienung des Fahrzeugs, was ein erhebliches Risiko für die physische Sicherheit des nächsten Fahrers darstellt, werden auch personenbezogene Daten und Bewegungsprofile offengelegt. Das Tracking eines Fahrzeugs ohne Wissen des aktuellen Nutzers ist ein schwerwiegender Verstoß gegen Datenschutzbestimmungen wie die DSGVO, insbesondere wenn der vorherige Nutzer uneingeschränkten Zugang hält. Für Mietwagenfirmen bedeutet dies, dass sie ihre internen Abläufe dringend überprüfen und verbessern müssen. Viele Unternehmen verlassen sich auf standardisierte Prozesse oder einfache Fahrzeugreinigung und Kontrolle von Tachostand und Kraftstoffmenge. Die notwendigen manuellen oder automatisierten Schritte zum sicheren Zurücksetzen von digitalen Nutzerprofilen und der BMW ID Verknüpfung werden oft vernachlässigt oder gar nicht durchgeführt.
Einige Vermieter wie Enterprise scheinen das Problem erkannt zu haben und setzen Flotten- oder Mietmodi ein, die den Zugriff auf ConnectedDrive Funktionen einschränken oder komplett sperren, sodass keine persönliche BMW ID mit dem Fahrzeug verknüpft werden kann. Jedoch berichten Nutzer von Inkonsistenzen, je nach Land, Vermieter oder Fahrzeugtyp. Im Gegensatz zu früheren Jahren sind Fahrzeuge mit umfassenden Online-Diensten immer häufiger, gerade im Premiumsegment. Das erfordert von den Flottenbetreibern und Herstellern, sichere und transparente Lösungen zu etablieren, die Daten und Datenschutz der Nutzer respektieren. Der Nutzer selbst hat zwar grundsätzlich die Möglichkeit, sein Profil vor der Rückgabe zu entfernen.
Doch in der Praxis wird dies oft versäumt oder nur unzureichend erklärt. Zudem ist gerade bei kurzfristigen Mietvorgängen der Aufwand für Nutzer hoch, und es besteht ein Bewusstsein für die komplexen Konsequenzen selten. Die Rechtsexperten empfehlen bei Bekanntwerden solcher Datenschutzverletzungen eine Meldung bei den zuständigen Datenschutzbehörden, beispielsweise der DPA in Italien. Hier besteht die Möglichkeit, Bußgelder und Abhilfemaßnahmen gegen Vermieter oder Hersteller durchzusetzen. Das Beispiel von BMW ConnectedDrive und Sixt zeigt jedoch weniger ein technisches Versagen des Systems selbst – welches prinzipiell dafür ausgelegt ist, persönliche Fahrzeugsteuerung sicher zu ermöglichen – als vielmehr ein Organisations- und Prozessproblem mit Folgen für Datenschutz und Nutzersicherheit.
Die Herausforderung für die Automobilindustrie besteht darin, Flottenfahrzeuge in einem eigenen, abgesicherten Bereich der ConnectedDrive Dienste zu managen, damit nach einer einzelnen Nutzung keine vorherigen Daten oder Steuerungsmöglichkeiten mehr erreichbar sind. Zudem verlangen Kunden und Datenschutzgesetze eine eindeutig geregelte Fahrzeugübergabe mit vollständiger Entfernung personenbezogener Verknüpfungen. Auch muss das Problem der komplexen Nutzerprofile und vielfachen Authentifizierungswege adressiert werden, die insbesondere bei Fremdnutzung und beim Wechseln von Fahrern verwirrend und fehleranfällig sind. Moderne Fahrzeuge bieten zahlreiche personalisierte Einstellungsmöglichkeiten, von Sitzpositionen bis Musik- und Navigationsprofilen, welche sich häufig automatisch mit dem BMW ID Konto synchronisieren. Eine saubere Trennung dieser Daten zwischen verschiedenen Nutzern in Miet- und Sharing-Modellen ist essentiell und bisher offenbar unzureichend umgesetzt.
Neben dem Datenschutz steht auch die physische Sicherheit im Fokus. Die Fernsteuerung von Fahrzeugfunktionen durch fremde Nutzer stellt eine neue Kategorie von Risiken dar, die es so bei klassischen Fahrzeugen ohne Verbindung nicht gab. Öffnen, Verriegeln, Standortüberwachung oder gar das Starten der Klimaanlage können vom falschen Nutzer erheblichen Schaden anrichten oder die Privatsphäre verletzen. Für den Verbraucher bedeutet dies, dass beim Mieten eines BMW mit ConnectedDrive Funktionen erhöhte Aufmerksamkeit geboten ist. Vor der Fahrzeugrückgabe sollte man sicherstellen, dass die persönliche BMW ID aus dem Autofahrprofil entfernt wird und keine Verknüpfung mehr besteht.
Auch empfiehlt es sich, nach der Rückgabe die eigene BMW ID über die App auf nicht verknüpfte Fahrzeuge zu prüfen. Damit kann ein unbefugter Zugriff zumindest frühzeitig erkannt werden. Ein junger Trend, der durch die Digitalisierung von Mobilität entsteht, ist das zunehmende Bedürfnis nach klaren Standards, Transparenz und Verantwortlichkeiten rund um vernetzte Fahrzeuge. Hersteller, Vermieter und Regulierungsbehörden stehen hier vor neuen Herausforderungen. Die Verbindung von physischen Fahrzeugen mit cloudbasierten Identitäten und Steuerungsmöglichkeiten erfordert komplexe Sicherheitskonzepte, die im Miet- und Sharing-Bereich besonders sensibel sind.
Rückmeldungen aus der Nutzergemeinschaft und unabhängige Testungen wie die hier dokumentierte Case Study zu Sixt BMW Flottenfahrzeugen können dabei helfen, Mängel aufzudecken und Druck für notwendige Verbesserungen aufzubauen. Technisch bieten künftig weiterentwickelte Flottenmanagementsysteme bessere Automatisierungen für die Löschung von Nutzerprofilen, abgesicherte Übergabe-Modi und verstärkte Zugriffskontrollen an. Gleichzeitig müssen Unternehmen in ihren Abläufen und bei der Mitarbeiterschulung nachziehen, damit die Prozesse auch verlässlich umgesetzt werden. BMW könnte beispielsweise verpflichtende Rücksetzprozeduren im ConnectedDrive Fleet Service erzwingen, die für alle Fahrzeuge einer Mietflotte deaktivierbare, temporäre Profile statt privilegierter Nutzerkonten bereitstellen. Ebenso könnten Systemwarnungen bei fehlendem Zurücksetzen aktiviert werden.
Abschließend bleibt festzuhalten, dass die Vorteile moderner vernetzter Fahrzeuge unbestritten sind. Der Komfort der Steuerung per App, Fahrzeugortung oder Echtzeit-Informationen ist ein bedeutender Fortschritt. Doch ohne konsequentes Sicherheits- und Datenschutz-Management entstehen neue Schwachstellen, die den Gesamterfolg der Technologie gefährden. Die Geschichte des Mietwagenzugriffs bei Sixt zeigt exemplarisch, wie kritisch es ist, die digitale Übergabe ebenso sorgfältig zu gestalten wie die physische. Für Nutzer von Mietwagen heißt das: wachsam sein, Profile vor der Rückgabe entfernen und im Zweifelsfall nachhaken.
Für Anbieter und Hersteller bedeutet es, Prozesse und Systeme dringend zu prüfen und anzupassen, um das Vertrauen ihrer Kunden zu bewahren und rechtlichen Risiken vorzubeugen. Die zukünftige Mobilität verlangt ein Zusammenspiel von Technologie, Datenschutz und klaren Verantwortlichkeiten, das nur durch gemeinsames Engagement aller Beteiligten reibungslos funktionieren kann.
