Datenschutz
Die Daten Ihres Autos gehören Ihnen. Hier steht genau, wie wir das so halten — in klarer Sprache, ohne Überraschungen im Kleingedruckten.
Die Kurzfassung
Es ist der Teil, den kein anderer Tesla-Logger bietet. Wir haben BlackCurrent so entworfen, dass Ihre Daten zu halten und Ihre Daten zu lesen zwei verschiedene Dinge sind: Wir halten sie, Sie halten den Schlüssel. Sie behalten die Kontrolle über den Schlüssel, also behalten Sie die Kontrolle über die Daten — und wir müssen Sie nie bitten, uns einfach zu vertrauen.
Was das für Sie bedeutet
- Ein Einbruch in unsere Datenbank überreicht dem Angreifer Geheimtext — ohne Ihre Passphrase nutzlos.
- Unser eigenes Team sieht im Speicher immer nur Geheimtext. Es gibt keinen internen Schalter „Fahrten dieser Person ansehen“.
- Werden wir je übernommen oder erhalten eine Anfrage nach Ihrem Verlauf, können wir nur Geheimtext weitergeben. Wir können nicht entschlüsseln, wofür wir den Schlüssel nicht halten.
- Keine Analyse, kein Werbe-Targeting, kein Datenhandel mit Ihren Inhalten — die Architektur lässt es nicht zu, selbst wenn wir es wollten.
- Unser einziges Geschäftsmodell ist Ihr Abonnement. Das ist der Deal.
So funktioniert es
Wenn Sie sich registrieren, erzeugt Ihre Passphrase einen privaten Schlüssel auf unserem Server. Wir sperren diesen Schlüssel mit Ihrer Passphrase — über ein bewusst langsames Verfahren zur Passwortstärkung, das Brute-Force unpraktikabel machen soll — und speichern nur den gesperrten Block. Ihre Passphrase wird verworfen, bevor die Registrierungsanfrage zurückkehrt.
Wenn Sie sich anmelden, leiten wir den Schlüssel kurz erneut ab, entsperren Ihren Verschlüsselungsschlüssel, sperren ihn mit einem kurzlebigen Sitzungsgeheimnis erneut, legen die sitzungsgesperrte Fassung in unserem Cache ab und vergessen die Passphrase wieder. Jede geladene Seite entschlüsselt nur so viele Daten, wie zur Darstellung dieser Seite nötig sind, im Arbeitsspeicher, und verwirft sie dann.
Wenn Ihr Tesla uns neue Telemetrie sendet, können wir nur schreiben — wir versiegeln jedes Paket mit Ihrem öffentlichen Schlüssel, sodass wir es nicht zurücklesen können, bis Sie sich anmelden.
Was wir sehen, und was nicht
| Wir sehen (immer) | Wir sehen (nur während Sie angemeldet sind) | Wir sehen nie |
|---|---|---|
| Ihre E-Mail und eine gesperrte Kopie Ihres Verschlüsselungsschlüssels | Den entschlüsselten Inhalt der Seite, die Sie gerade laden | Ihre Daten, wenn Sie abgemeldet sind |
| Ihren Abonnementstatus | Ihre Fahrten, Ladevorgänge oder Ihren Batterieverlauf in Sicherungen | |
| Die Kennung Ihres Autos (damit wir wissen, wohin die Daten gehören) | Exportierte Daten, die Sie auf Ihr eigenes Gerät herunterladen | |
| Ihren öffentlichen Schlüssel (kann nichts entschlüsseln) | Analyse-Aggregate über alle Nutzer hinweg | |
| Zeitstempel, Byte-Zahlen, Fehlerraten | Ihre Passphrase (nach Abschluss der Anmeldung) |
Was wir von Ihrem Tesla abonnieren
Teslas Fleet Telemetry lässt uns eine genaue Liste der Signale wählen, die das Auto an uns streamt. Wir wählen breit über Signalkategorien, die bestehende Funktionen antreiben und solche, die wir in den nächsten 6-12 Monaten ausliefern wollen. Die Begründung: ein Signal später hinzuzufügen kostet Monate historischer Ansammlung, bevor eine darauf gebaute Funktion Daten zum Darstellen hat. Die günstigere Richtung ist „jetzt erheben, später bauen“. Jedes Signal wird mit Ihrem Schlüssel verschlüsselt, bevor es in unserem Speicher landet, die Breite der Erhebung ändert also nichts daran, wer es lesen kann (weiterhin nur Sie).
Die vollständige Signalliste — jede Kategorie, die wir empfangen, und was sie jeweils ermöglicht
| Kategorie | Was es ermöglicht |
|---|---|
| Fahrzeugstatus (wach / schlafend / fahrend / ladend) | Die Übersicht weiß, ob Ihr Auto sendet; die Sitzungserkennung (Fahrten, Ladevorgänge) liest aus diesem maßgeblichen Signal, statt aus Geschwindigkeit oder Ladezustand zu raten |
| Energie & Batterie (Ladezustand, Reichweitenschätzungen, Pack-Spannung / -Strom, Zellspannungen, Modultemperaturen) | Ansicht des Batteriezustands; Reichweitenplanung; langfristige Degradationsverfolgung |
| Laden (Status, Ampere, Leistung, eingespeiste Energie, Zeit bis voll, Ladelimit, Ladephasen) | Ladeprotokoll mit Zusammenfassungen zu kWh / km / Kosten; Erkennung Schnelllader vs. zu Hause |
| Fahren (Geschwindigkeit, Gang, Standort, Richtung, GPS-Status, Kilometerstand, Antriebsschiene) | Live-Fahrtverfolgung; Strecke und Durchschnittsgeschwindigkeit je Fahrt; Kartenspuren |
| Klima / Temperatur (Innen-/Außentemperatur, Status der Batterieheizung, Vorklimatisierung, Warnung bei geringer Heizleistung) | Verlauf der Innenraumtemperatur; Reichweitenkorrektur bei Kälte; Erkennung der Vorklimatisierungs-Auslösung |
| Reifen (Druck x 4 und Zeitstempel des zuletzt erfassten Drucks x 4) | Reifendruck-Protokoll; Erkennung schleichender Druckverluste |
| Planung (geplanter Ladebeginn / -modus / ausstehend, Abfahrtszeit, Supercharger-Reiseplaner) | Prüfen, ob Ihre Einstellungen mit dem übereinstimmen, was das Auto tatsächlich tut; Verlauf der Reiseplanung |
| Fahrzeug-Metadaten (Firmwareversion, Fahrzeugname, Fahrzeugkonfiguration: Modell, Ausstattung, Farbe, Räder, regionale Kennzeichen) | Verlauf der Firmwareupdates; Verhaltensänderungen mit Updates korrelieren; Reichweitenmodell passt zu Ihrem Auto |
| Tempomat-Status (eingestellte Geschwindigkeit, Folgeabstand) | Verlauf der adaptiven Tempomat-Einstellungen; „Sie stellten 130 km/h auf diesem Autobahnabschnitt ein“. Erhöht das Offenlegungsrisiko nicht: Ihre Geschwindigkeit an jedem Ort im Raum ist bereits durch die obigen Fahrsignale abgedeckt |
| Wächtermodus-Status | Einblicke in den Stromverbrauch: Wächtermodus-Dauer mit der Ladezustandsänderung verknüpfen, um zu berechnen „Ihr Wächtermodus kostete über Nacht am Flughafen 0,8 kWh“ |
| Autopilot-Statistiken (Gesamtkilometer, FSD-Kilometer seit Zurücksetzen; HW4-Autos ab Firmware 2025.44.25.5+) | Nur aggregierte Zähler (keine Einzelereignisse), sie beschreiben also Nutzungssummen, ohne einzelne FSD-Episoden zu rekonstruieren |
| Fahrtkontext (Zielname + Ankunftszeit, km / Minuten bis zur Ankunft, erwarteter SoC bei Ankunft, Verkehrsverzögerung, Markierungen Zuhause / Arbeit / Favorit) | „Sie sind um 18:42 mit 32% SoC zu Hause angekommen“; Funktionen mit Geofence-Bezug |
| Fortschritt des Softwareupdates (Version, Download-%, Installation-%, geplanter Start) | Hinweis „Update verfügbar / wird installiert“; Verlauf der Firmwareversionen |
| Antriebsstrang-Temperaturen (Kühlkörper-/Wechselrichter-/Statortemperaturen, Hochvolt-Verriegelungsstatus; vorne + hinten) | Verfolgung der Antriebseinheit-Degradation; Leistungsverlust an heißen Tagen korrelieren |
| Powershare / V2X (Status, verbleibende Stunden, Momentanleistung, Typ, Stoppgrund) | „Ihr Haus hat über Nacht 4,2 kW aus dem Auto bezogen“ für Nutzer mit Powershare |
| Aktuelle Medienwiedergabe (Status, Quelle, Titel, Künstler, Album, Sender; keine Wiedergabeposition oder Lautstärke) | „Soundtrack dieser Fahrt“. Position + Lautstärke ausgeschlossen als wenig wertvoll und hochfrequent |
| Nutzereinstellungen (24-Stunden-Zeit, Einheiten für Ladung / Strecke / Temperatur / Reifendruck) | Bestimmt, wie wir jeden Zahlenwert auf der Übersicht darstellen. Ohne sie müssen wir raten |
Was wir bewusst nicht abonnieren, und warum
Tesla sendet weit mehr Signale aus, als wir abgreifen. Die folgenden Ausschlüsse sind nicht willkürlich — sie sind ein Markenversprechen. Verschlüsselung schützt die Daten vor uns, aber allein das Vorhandensein beweiskräftiger Daten in Ihrem Konto lädt bei Unfall-, Versicherungs- oder Strafverfolgungsstreitigkeiten zu einer gerichtlichen Anordnung Dritter ein. An diesem Punkt wären Sie diejenige Person, die zur Herausgabe ihres Schlüssels gezwungen wird. Sie gar nicht erst zu erheben umgeht das Gespräch vollständig.
| Was wir nicht erheben | Warum nicht |
|---|---|
ADAS / Kollisionswarnungen (BlindSpotCollisionWarning, ForwardCollisionWarning, LaneDepartureAvoidance, EmergencyLaneDepartureAvoidance, SpeedLimitWarning, AutomaticEmergencyBrakingOff) |
Ziel für Versicherungs- und Prozessermittlung |
Pedalstellungen (BrakePedal, BrakePedalPos, PedalPosition) |
Ziel für die Rekonstruktion des Unfallverschuldens |
Sitzbelegung und Gurte (DriverSeatBelt, PassengerSeatBelt, DriverSeatOccupied) |
Verrät, wer im Auto war; Ziel ziviler Beweisermittlung |
Innenraum-Überwachung (DoorState, Locked, FdWindow, FpWindow, RdWindow, RpWindow, SeatHeaterLeft, SeatHeaterRight, SeatHeaterRear*, GuestModeMobileAccessState) |
Belegt physische Anwesenheit und einen Zugangsverlauf, den nichts anderes, was wir erheben, ableiten kann |
Keines davon ist durch Teslas API ausgeschlossen; wir fragen es schlicht nicht ab. Sollte eine künftige Funktion eines davon wirklich brauchen, erklären wir auf dieser Seite den Grund und liefern eine fahrzeugweise Opt-in-Lösung, statt es für alle zu aktivieren.
Historische Genauigkeit und der Fall „ruhendes Auto“
Teslas Telemetrie sendet nur dann ein Signal, wenn sich sein Wert ändert. Ein Auto, das einen Monat lang parkt, sendet sehr wenig. Damit der Rückblick auf die Ansicht des letzten Monats (etwa den Ladezustand) statt eines leeren Bands weiterhin ein Diagramm zeigt, bitten wir Tesla, Schlüsselsignale in festem Takt erneut zu senden, auch wenn sich nichts geändert hat. Das erneute Senden ist begrenzt und greift nur ab Firmware 2024.44.32 oder neuer; ältere Firmware funktioniert weiterhin, das Diagramm wird in ruhigen Phasen nur dünner.
Wie sich die Cloud-Verschlüsselung einfügt
Drei Verschlüsselungsschichten liegen zwischen einem externen Angreifer und Ihren Fahrzeugdaten. Jede wehrt eine andere Bedrohung ab. Nur eine von ihnen lässt das Datenschutzversprechen halten. Wir wollen genau benennen, welche welche ist, denn „wir verschlüsseln alles“ zu sagen, ohne zu unterscheiden, wer welchen Schlüssel hält, ist der einfache Weg, in die Irre zu führen.
| Schicht | Was verschlüsselt ist | Wer den Schlüssel hält | Wovor das schützt |
|---|---|---|---|
| 1. Infrastruktur | Die zugrunde liegenden Festplatten und der Speicher | Unser Cloud-Anbieter, automatisch | Verlorene, gestohlene oder ausgemusterte Hardware. Die Festplatte ist für jeden außerhalb des Anbieters ohne gültige Anfrage unlesbar. |
| 2. Plattform | Prüfprotokolle, Teslas Berechtigungs-Tokens, Ihr sitzungsgesperrter Verschlüsselungsschlüssel | Der Cloud-Anbieter, auf unserem Konto | Kompromittierung unseres Anwendungscodes oder unserer Betreiber-Zugangsdaten. Ein Angreifer mit unseren Zugangsdaten muss zum Entsperren immer noch den Schlüsseldienst des Anbieters aufrufen; diese Aufrufe hinterlassen einen Prüfeintrag, den wir einsehen können. |
| 3. Ihre Fahrzeugdaten | Jede Fahrt, jeder Ladevorgang, jeder GPS-Punkt, jeder Batteriezyklus in unserem Speicher | Sie allein, abgeleitet aus Ihrer Passphrase | Alles Übrige. Der Cloud-Anbieter kann die Schichten 1 und 2 unter rechtmäßigem Zwang lesen. Schicht 3 kann er nicht lesen, weil der Schlüssel seine Hardware nie erreicht. |
Was das konkret bedeutet:
- Ein rechtmäßiger Durchsuchungsbeschluss gegen den Cloud-Anbieter kann ihn zwingen, auf den Schichten 1 und 2 zu entschlüsseln. Sie geben Prüfprotokolle heraus, Teslas Berechtigungs-Tokens (die dem Antragsteller denselben Blick auf Ihren Tesla geben, den wir haben — Teslas Live-Kanal, nicht Ihre historischen Daten) und die Geheimtext-Blöcke, die Ihre Fahrzeugdaten speichern. Die Blöcke selbst können sie nicht entschlüsseln; das erfordert Ihre Passphrase, die der Anbieter nie gesehen hat und die wir sofort nach der Anmeldung verwerfen.
- Eine Kompromittierung unseres Codes oder unserer Betreiber-Zugangsdaten ist durch dieselbe Architektur begrenzt. Schicht 2 ist prüfbar — wir können sehen, wer wann welche Sitzung entsperrt hat. Schicht 3 ist für uns unlesbar, egal ob wir kompromittiert sind, denn der entsperrte Verschlüsselungsschlüssel existiert nur im Arbeitsspeicher, während Sie die App aktiv nutzen.
- Eine Kompromittierung von Ihnen (Ihre Passphrase, Ihr Gerät) ist das Einzige, wogegen diese Architektur nicht schützen kann. Das ist der inhärente Preis dafür, den Schlüssel selbst zu halten: Niemand sonst kann ihn verlieren, und niemand sonst kann ihn für Sie wiederherstellen. Notieren Sie ihn.
Wo das alles lebt
Die gesamte BlackCurrent-Infrastruktur läuft innerhalb der Europäischen Union, bei einem bekannten Cloud-Anbieter, in einer Region, die dem EU-Datenschutzrecht unterliegt. Ihre verschlüsselten Daten verlassen sie nie. Wir nutzen keine Analysedienste Dritter, keine Werbenetzwerke und keine Datenhändler.
Die ehrlichen Grenzen
Kein Sicherheitsdesign ist absolut, und wir zeigen Ihnen lieber die Kanten, als so zu tun, als gäbe es keine. Hier sind sie in klarer Sprache, jeweils mit dem, was wir dagegen tun — ungefähr in der Reihenfolge, wen es betreffen sollte. Die meisten Menschen werden keine davon je berühren.
1. Während Sie angemeldet sind, liegt Ihr Schlüssel kurz in unserem Arbeitsspeicher
Ihr Verschlüsselungsschlüssel liegt während aktiver Anfragen in unserem Arbeitsspeicher. Würden unsere Server während Ihrer Sitzung kompromittiert, könnte ein Angreifer mit Zugriff auf diesen Speicher Ihre Daten lesen, solange Ihre Sitzung offen bleibt. Strikte Ende-zu-Ende-Verschlüsselung wie bei Signal würde das ausschließen; unsere tut es nicht.
Maßnahmen, die wir getroffen haben:
- Aggressive Zeitüberschreitungen bei Inaktivität (Standard: Abmeldung nach 30 Minuten ohne Aktivität).
- Keine lesbaren Klartextkopien werden je auf Festplatte oder in Protokolle geschrieben — durchgesetzt von einem strukturierten Logger mit einer Positivliste sicherer Felder.
- Der Produktivzugriff wird protokolliert; jedes Mal, wenn der Schlüsseldienst eine Sitzung entsperrt, wird dieser Aufruf protokolliert und ist überprüfbar.
Wenn genau diese Bedrohung Ihre Hauptsorge ist, passt eine selbst gehostete Alternative wie TeslaMate besser.
2. Eine künftige, gezielte gerichtliche Anordnung ist das Einzige, das wir nicht wegkonstruieren können
Wenn eine Behörde uns anweist, künftige Sitzungen einer bestimmten Person abzufangen, können wir uns technisch nicht weigern. Die Daten, die wir bereits ruhend haben, sind für sie nutzlos (wir können sie ohne Ihren Schlüssel nicht entschlüsseln), aber wir können nicht garantieren, dass eine künftige Sitzung keinem erzwungenen Abfangen unterliegen könnte. Wir werden einen Transparenzbericht veröffentlichen.
3. Teslas Berechtigungs-Tokens werden mit unserem Schlüssel gehalten, nicht mit Ihrem
Teslas Berechtigungs-Tokens (das, was Tesla uns gibt, um Ihre Daten in Ihrem Auftrag zu empfangen) müssen nutzbar sein, während Sie offline sind — sonst könnten wir keine neue Telemetrie in Ihr Konto streamen. Diese Tokens sind mit unserem Schlüssel verschlüsselt, nicht mit Ihrem. Wir behandeln sie als Zugangsdaten zu Tesla, nicht als Ihre Fahrzeugdaten. Sie können sie jederzeit über Ihr Tesla-Konto widerrufen, und wir löschen sie, wenn Sie kündigen.
4. Neue Telemetrie ist beim Eintreffen für einen Moment lesbar
Wenn Ihr Auto neue Daten an unseren Ingest-Server streamt, existieren diese Daten für einige hundert Millisekunden im Arbeitsspeicher, bevor wir sie mit Ihrem öffentlichen Schlüssel versiegeln. In dieser Form werden sie nie auf Festplatte oder in Protokolle geschrieben. Der Teil unseres Codes, der dieses Versiegeln vornimmt, wird als Open Source veröffentlicht, damit Sie die Aussage überprüfen können.
Was das in der Praxis bedeutet
Wenn wir gehackt werden — die gestohlene Datenbank, der Speicher oder die Sicherungen enthalten nur Geheimtext. Der Angreifer braucht die Passphrase jeder einzelnen Person, je für sich, um irgendetwas zu lesen.
Wenn wir eine gerichtliche Anordnung zu Ihren historischen Daten erhalten — wir geben Geheimtext heraus. Wir können keinen Klartext liefern. Wir sagen Ihnen, dass die Anordnung erfolgt ist, sofern rechtlich erlaubt.
Wenn Sie Ihre Daten herausholen wollen — die „Export“-Funktion erstellt innerhalb Ihrer laufenden Sitzung eine vollständige Kopie Ihrer Daten und übergibt sie Ihrem Browser als Datei. Ihr Browser erhält lesbaren Klartext; unsere Server speichern ihn nie dauerhaft.
Wenn Sie Ihre Passphrase verlieren — sind die Daten endgültig weg. Das ist die Kehrseite davon, dass niemand sonst sie lesen kann: Es gibt keinen „Passwort zurücksetzen“-Knopf, der Ihren Verlauf entschlüsseln könnte, denn ein solcher Knopf kann nicht existieren, ohne das ganze Versprechen zu brechen. Wählen Sie eine Passphrase, die Sie sich merken können, und bewahren Sie sie in einem Passwortmanager auf; das ist der eine Schlüssel zu allem.
Überprüfung
Wir ermutigen Sie, unserem Marketing nicht zu vertrauen. Drei Dinge helfen Ihnen, die Aussage zu überprüfen:
- Der Teil des Codes, in dem lesbarer Klartext kurz lebt (der Live-Stream-Versiegler), wird zum Start als Open Source veröffentlicht.
- Das vollständige Architekturdokument wird zusammen mit dem Code veröffentlicht.
- Ein Sicherheitsaudit durch Dritte wird vor der allgemeinen Verfügbarkeit veröffentlicht.
Diese Seite ist die Datenschutzbeschreibung in klarer Sprache. Eine separate rechtliche Datenschutzerklärung mit den Angaben zum DSGVO-Verantwortlichen, Cookie-Informationen und regionaler Compliance-Sprache wird vor dem öffentlichen Start veröffentlicht. Fragen: hello@blackcurrent.app.