Kaliforniens Generalstaatsanwalt Rob Bonta warf dem Konzern vor, die Daten kalifornischer Fahrer ohne deren Wissen oder Zustimmung verkauft zu haben – und das, obwohl GM wiederholt versichert habe, genau dies nicht zu tun. „Diese Datensammlung enthielt präzise und persönliche Standortdaten, mit denen sich die alltäglichen Gewohnheiten und Bewegungen von Kaliforniern identifizieren ließen“, erklärte Bonta. Unternehmen dürften Daten nicht einfach aufbewahren und später für andere Zwecke nutzen.

Den Behörden zufolge verkaufte GM zwischen 2020 und 2024 Geodaten, Informationen zum Fahrverhalten sowie Namen und Kontaktdaten von Hunderttausenden Verbrauchern an die Datenhändler Verisk und LexisNexis Risk Solutions. Landesweit nahm der Konzern damit rund 20 Millionen Dollar ein. Die Daten stammten aus dem OnStar-Dienst. Verisk und LexisNexis kauften sie, um ein Bewertungsprodukt für Fahrer zu erstellen und dieses an Versicherer zu verkaufen.

Weil kalifornisches Recht Versicherern untersagt, Fahrdaten zur Festsetzung von Tarifen heranzuziehen, stiegen für Verbraucher in Kalifornien keine Prämien aufgrund dieses Vorgehens. Millionen Menschen in anderen Bundesstaaten waren dagegen von stark gestiegenen Tarifen betroffen, die aus den Datenverkäufen resultierten.

Nach Darstellung der kalifornischen Ermittler informierte GM die Verbraucher nicht über den Verkauf an die Datenhändler und täuschte sie mit der falschen Angabe, ihre Daten würden nur genutzt, um angeforderte OnStar-Dienste bereitzustellen. Laut Pressemitteilung erklärte GM sogar, keine Fahr- oder Standortdaten zu verkaufen; eine Weitergabe zu Versicherungszwecken erfolge allenfalls auf ausdrücklichen Wunsch der Kunden. Tatsächlich habe GM die Daten ohne Wissen oder Einwilligung der Kunden verkauft – und das entgegen einem internen Datenschutzprogramm, das das Unternehmen verpflichtete, Verbraucher über die Verwendung ihrer Daten und mögliche Empfänger zu informieren.

Der Vergleich verpflichtet GM, Fahrdaten künftig für fünf Jahre nicht mehr an Verbraucherauskunfteien einschließlich Datenhändler zu verkaufen. Zudem muss der Konzern Fahrdaten nach 180 Tagen löschen, sofern keine ausdrückliche Einwilligung der Verbraucher vorliegt, und Verisk sowie LexisNexis auffordern, die an sie verkauften Daten zu löschen. Darüber hinaus muss GM ein Datenschutzprogramm einrichten, um Risiken bei der Datenerhebung über OnStar zu analysieren, zu beheben und zu dokumentieren. Die entsprechenden Bewertungen sind den kalifornischen Strafverfolgern und der California Privacy Protection Agency (CPPA) vorzulegen.

Ein GM-Sprecher erklärte, das Unternehmen habe das fragliche Produkt 2024 eingestellt und seine Datenschutzpraktiken verbessert. Vernetzte Fahrzeuge seien zentral für ein modernes und sicheres Fahrerlebnis, weshalb man sich verpflichtet sehe, gegenüber den Kunden klar und transparent über die eigenen Praktiken und deren Kontrollmöglichkeiten zu informieren. Die kalifornischen Behörden hatten 2023 mit ihren Ermittlungen gegen GM begonnen – ein Jahr, bevor die New York Times berichtete, dass der Autobauer und weitere Hersteller Fahrdaten an Datenhändler verkauften, die diese wiederum an Versicherer weiterreichten.