DatenschutzHackerangriffeCyberkriminalität

General Motors zahlt 12,75 Millionen Dollar: Kalifornien ahndet illegale Fahrtdatenverkäufe

Von CyberDeutsch Redaktion
General Motors zahlt 12,75 Millionen Dollar: Kalifornien ahndet illegale Fahrtdatenverkäufe
Zusammenfassung

General Motors muss in Kalifornien eine Geldstrafe von über 12 Millionen Dollar zahlen, weil das Unternehmen Fahrtdaten von Millionen von Verbrauchern ohne deren Zustimmung gesammelt, gespeichert und an Datenmakler verkauft hat. Die Vereinbarung ist die höchste Geldbuße, die bislang unter dem kalifornischen Datenschutzgesetz (CCPA) verhängt wurde. GM hatte von 2020 bis 2024 Standortdaten, Fahrtverhalten, Namen und Kontaktinformationen durch seinen OnStar-Dienst erfasst und an Unternehmen wie Verisk und LexisNexis weitergegeben, um damit etwa 20 Millionen Dollar zu verdienen. Diese Daten sollten eigentlich nur zur Bereitstellung von Notfalldiensten und Navigation genutzt werden. Für deutsche Nutzer und Unternehmen ist dieser Fall bedeutsam, da er zeigt, wie Automobilhersteller weltweit mit sensiblen Fahrtdaten umgehen. Obwohl Kalifornien seine Bürger vor Versicherungsprämien-Erhöhungen durch entsprechende Gesetze schützte, waren Verbraucher in anderen US-Staaten betroffen. Mit der europäischen Datenschutz-Grundverordnung (DSGVO) haben deutsche und europäische Nutzer zwar stärkere Rechte, doch zeigt der Fall, dass auch etablierte Automobilhersteller Datenschutzverletzungen begehen können. Deutsche Behörden könnten ähnliche Ermittlungen gegen Autobauer einleiten.

Das kalifornische Justizministerium kündigte die Einigung am Freitag an und kritisierte General Motors scharf. Der Automobilhersteller hatte Fahrzeugstandortdaten, Fahrtverhalten, Namen und Kontaktinformationen von Verbrauchern zwischen 2020 und 2024 systematisch gesammelt und weitergegeben – ein Geschäft, das GM landesweit etwa 20 Millionen Dollar einbrachte.

Zentrum des Skandals war OnStar, ein Dienst, der offiziell als Notfallfunktion und Navigationssystem vermarktet wird. GM suggerierte Nutzern jedoch falsch, dass ihre Daten ausschließlich zur Erbringung dieser Dienste verwendet würden. Intern hatte das Unternehmen bereits ein Datenschutz-Compliance-Programm, das die Offenlegung solcher Praktiken verpflichtend machte – GM ignorierte diese Standards jedoch systematisch.

Attraktiv war das Angebot für die Datenmakler Verisk und LexisNexis, da sie damit ein Fahrerprofil-Produkt für Versicherungsunternehmen entwickelten. Kalifornien profitierte hierbei von seinem strengen Versicherungsrecht: Die Regulatoren verhinderten, dass die erworbenen Fahrtdaten zu höheren Prämien führten. Millionen Bürger in anderen US-Staaten waren jedoch mit drastischen Versicherungskostenerhöhungen konfrontiert.

Die Einigung verpflichtet GM zu erheblichen Maßnahmen: Der Verkauf von Fahrtdaten an Meldestellen pausiert für fünf Jahre. Darüber hinaus müssen Fahrtdaten nach 180 Tagen gelöscht werden, es sei denn, der Nutzer stimmt explizit zu. GM muss auch Verisk und LexisNexis auffordern, bereits übermittelte Daten zu löschen. Zusätzlich wird das Unternehmen verpflichtet, ein Datenschutz-Risikomanagement-Programm zu etablieren und dessen Ergebnisse an Kaliforniens Behörden zu berichten.

Für deutsche Unternehmen ist dieser Präzedenzfall erheblich. Die DSGVO erlaubt zwar technisch ähnliche Datenverarbeitung, verlangt jedoch explizite, informierte Zustimmung. Eine vergleichbare Praxis durch deutsche Automobilhersteller hätte nicht nur DSGVO-Bußgelder bis zu vier Prozent des Jahresumsatzes zur Folge, sondern könnte auch reputationsmäßig verheerend wirken. Das BSI und der BfDI werden solche Fälle international aufmerksam verfolgen. Auch deutsche Verbraucher sollten überprüfen, welche Konnektivitätsfunktionen ihrer Fahrzeuge Daten erfassen und an wen diese weitergegeben werden.

Ähnliche Artikel