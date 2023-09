Düsseldorf Ein ehemaliger Tesla-Mitarbeiter hat vor einem Gericht im US-Bundesstaat Kalifornien eine Sammelklage gegen den Elektroautobauer eingereicht. Hintergrund ist ein Datenleck, von dem Tesla zufolge allein in den USA mehr als 75.000 Mitarbeiter betroffen sind. In der am Dienstag eingereichten Klage heißt es, das Leck sei „eine direkte und unmittelbare Folge der Versäumnisse“ Teslas.

Der ehemalige Produktionsmitarbeiter Benson Pai arbeitete von 2016 bis 2021 in der Tesla-Fabrik im kalifornischen Fremont. Er wirft seinem früheren Arbeitgeber vor, „leichtfertig oder fahrlässig“ mit den Daten seiner Beschäftigten umgegangen zu sein. Das US-Unternehmen habe seine IT-Systeme nicht „angemessen geschützt“, das Datenleck nicht „rechtzeitig erkannt“ und die Betroffenen nicht „unverzüglich und genau“ informiert.

Auslöser sind die Tesla-Files, über die das Handelsblatt erstmals im Mai berichtete. Insider haben der Redaktion mehr als 100 Gigabyte Daten zugespielt, die aus dem Innersten des Konzerns kommen.

In den mehr als 23.000 Dateien finden sich viele personenbezogene Informationen zu Kunden und Mitarbeitern weltweit – darunter Gehälter, Privatadressen und Sozialversicherungsnummern. Den Informanten zufolge hätten viele Tesla-Mitarbeiter sie quasi frei abrufen können.

Damit habe Tesla gegen Vorgaben der US-Verbraucherschutzbehörde FTC verstoßen, heißt es in der nun eingereichten Klage. Diese verpflichte Unternehmen unter anderem, Daten von Kunden und Mitarbeitern zu schützen, verschlüsselt aufzubewahren und sie „ordnungsgemäß zu vernichten“, sobald es sie nicht mehr benötige.

Tesla habe aber nicht einmal grundlegende Industriestandards in Sachen Datenschutz befolgt, klagt Ex-Mitarbeiter Pai. Und weiter: „Trotz der Fülle und Verfügbarkeit von Informationen über die Bedrohungen und bewährter Praktiken zur Abwehr dieser Bedrohungen hat die Beklagte beschlossen, diese zu ignorieren.“

Angst vor Identitätsdiebstahl

Pais Anwälte Joshua B. Swigart von Swigart Law Group APC und Ben Travis von Ben Travis Law APC machen in der Klage unter anderem Schadenersatzforderungen „in einer noch zu bestimmenden Höhe“ geltend. In einem zu der Klage gehörenden Formular ist als Forderung 100 Millionen US-Dollar eingetragen. Tesla ließ eine Handelsblatt-Anfrage dazu zunächst unbeantwortet.

Das Unternehmen muss nun innerhalb von drei Wochen auf die Klage reagieren. Tesla beschuldigt zwei frühere Mitarbeiter, gegen interne „Sicherheits- und Datenschutzrichtlinien“ verstoßen und die Daten an das Handelsblatt weitergegeben zu haben. Der Autobauer geht juristisch gegen die ehemaligen Beschäftigten vor.

Pai reicht das nicht. Dass seine Daten „als Folge der Versäumnisse“ Teslas von „unbekannten oder unbefugten Dritten“ eingesehen wurden und „jetzt oder in Zukunft im Dark Web zum Verkauf angeboten werden können“, habe bei ihm „große Ängste ausgelöst“, heißt es in der Klage. Er sei „sehr besorgt“, dass er Opfer von Betrug oder Identitätsdiebstahl werden könnte.

Auch Tesla sieht diese Gefahr offenbar als gegeben an. In einem Schreiben an die von dem Datenleck betroffenen Mitarbeiter kündigte das Unternehmen an, sie mit „einer kostenlosen Mitgliedschaft bei Experian’s IdentityWorks“ zu unterstützen. Diese bietet „Kreditüberwachungs-, Identitätserkennungs- und -auflösungsdienste“.

Ex-Mitarbeiter Pai kritisiert dieses Angebot in seiner Klage als „völlig unzureichend“. Betroffene von Datenlecks hätten „in der Regel mehrere Jahre lang“ mit den negativen Folgen zu kämpfen. Personenbezogene Daten wie Sozialversicherungsnummern ermöglichen es Kriminellen, Identitäten zu stehlen und Straftaten wie Kreditkartenbetrug zu begehen.

Tesla warnt Investoren vor Folgen des Datenlecks

Fragen werfe auch Teslas Verhalten nach Bekanntwerden des Lecks auf. Das Unternehmen habe ihn erst am 18. August über seine abgeflossenen Daten informiert, beklagt Pai, dabei habe Tesla am 10. Mai durch Fragen des Handelsblatts von dem Leck erfahren. Diese Zögerlichkeit habe zu einem „erhöhten Betrugsrisiko“ für ihn und die anderen Betroffenen geführt.

Tatsächlich hätte Tesla schon 2018 gewarnt sein müssen. Dem Handelsblatt liegt eine interne E-Mail vom 20. September 2018 vor, in der eine Mitarbeiterin darauf hinweist, dass „große Mengen vertraulicher und sensibler Daten“ identifiziert worden seien, die für „eine sehr große Anzahl von Tesla-Mitarbeitern zugänglich und sichtbar sind“. Ihre Kollegen müssten unbedingt sicherstellen, dass diese Daten nur Nutzern zugänglich sind, die wirklich damit arbeiten.

Auch bei den Tesla-Files reagierte das Management behäbig. Aus internen Dokumenten geht hervor, dass der Elektroautobauer seit Anfang Februar von den Recherchen des Handelsblatts weiß. Demnach meldeten sich ehemalige und aktuelle Mitarbeiter in der Zentrale, weil sie von der Redaktion kontaktiert worden waren.

Anfang März leitete Tesla eine interne Untersuchung ein. Erst im Mai informierte das Unternehmen die zuständigen Datenschutzbehörden und erst im August die eigenen Mitarbeiter. Heute sind mehrere europäische und US-amerikanische Datenschutzbehörden mit dem Fall befasst.

Sollten sich die Vorwürfe erhärten, wäre die Angelegenheit „auch wegen der großen Zahl der weltweit betroffenen Personen besonders schwerwiegend“, teilte die für das deutsche Werk in Grünheide zuständige Datenschutzbehörde in Brandenburg mit.

Tesla nannte das Datenleck in seinem Quartalsbericht an die US-Börsenaufsicht SEC in einer Reihe mit Ermittlungen der SEC und des US-Justizministeriums gegen Tesla und Konzernchef Musk. Eine „ungünstige Entwicklung“ könne zu einer „wesentlichen negativen Auswirkung“ führen – und zwar in Bezug auf Teslas „Geschäftstätigkeit, unsere Betriebsergebnisse, unsere Aussichten, unseren Cashflow, unsere Finanzlage oder unsere Marke“.

Beim Datenschutz hat Tesla inzwischen nachgebessert. Das Unternehmen werde auf Wunsch seiner Rechtsabteilung die Zugriffsrechte in internen Systemen stärker kontrollieren, kündigte Tesla in einer Mitteilung an die Belegschaft an. Mitarbeiter müssten zudem sicherstellen, dass die „erforderlichen Zugriffskontrolleinstellungen“ angewendet und regelmäßig überprüft werden.

