Tesla anses behandla personuppgifter i strid med dataskyddsförordningen (”GDPR”). Det är inte bara Tesla själva utan även Teslaägare som kan bli ansvariga för potentiella brott mot regelverket. Därutöver kan personuppgifter som samlas in av bilarna användas av polis för att avslöja eller bevisa eventuella trafikbrott. Detta framgår av en studie som tagits fram av Thilo Weichert, tidigare generaldirektör hos en av Tysklands dataskyddsmyndigeter. Studien publicerades den 19 oktober 2020 av den tyska expertgruppen för dataskydd Netzwerk Datenschutzexpertise.
Enligt studien bryter Teslas omfattande personuppgiftsbehandling mot principen om uppgiftsminimering enligt GDPR. Vidare brister Tesla i sin informationsskyldighet genom att underlåta att ange för vilka specifika ändamål och enligt vilka rättsliga grunder personuppgifter behandlas av företaget. Därutöver anses Tesla ignorera sin roll som personuppgiftsansvarig vid användning av Sentry-Mode, ett system för att kamerabevaka området runt Teslabilarna.
Studien framställer Teslas Sentry-Mode som särskilt problematisk då systemet kamerabevakar området runt bilen utan att informera de registrerade som till exempel förbipasserande eller andra bilister. Studien påpekar vidare att Teslaägare är personuppgiftsansvariga (tillsammans med Tesla) för behandling av personuppgifter som sker i samband med användning av Sentry-Mode. Detta innebär att eventuella sanktionsavgifter och skadeståndskrav kan riktas direkt mot Teslaägare. Studien kritiserar även att det finns en bevakningskamera inne bilarna (bilmodellerna 3 och Y) som riktas mot passagerarna.
Studien uppmärksammar vidare att data som samlas in av Teslabilarna kan komma att lämnas ut till polisen och andra brottsbekämpande myndigheter för att utreda eventuella brott och trafiköverträdelser. Som exempel nämner studien bland annat ett fall där Teslas datainsamling gjort det möjligt för den tyska polisen att göra en detaljerad kartläggning av en Teslaägares hastighetsöverträdelser. Eftersom Tesla hade spelat in bilens hastighet och position (per sekund) kunde polisen avslöja att Teslaägaren kört upp till 209 km/h på en hastighetsbegränsad motorväg.
Studien påpekar även att Tesla inte är den enda biltillverkaren som samlar in och behandlar personuppgifter i stor omfattning. Enligt Thilo Weichert är sannolikt att även andra biltillverkare bryter mot bestämmelserna i GDPR.
Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens har tidigare i år inlett en utredning av tio biltillverkares behandling av personuppgifter, däribland Tesla. Vidare har dataskyddsmyndigheten i den tyska delstaten Bayern (BayLDA) för avsikt att granska Teslas Sentry-Mode. Även Datainspektionen har uttalat sig om Teslas Sentry-Mode.