Der kalifornische Generalstaatsanwalt Rob Bonta hat die Einigung mit dem Autogiganten am Dienstag bekannt gegeben. Hintergrund ist ein Verstoß gegen den California Consumer Privacy Act (CCPA) – das US-amerikanische Datenschutzgesetz mit europäischem Vorbild. GM hatte über seine OnStar-Tochter und das System “Smart Driver” kontinuierlich Fahrtverhalten, Bewegungsmuster und präzise Standortdaten erfasst. Diese Informationen flossen dann an Versicherer weiter, um sogenannte Driver-Scoring-Produkte zu entwickeln – also Bewertungssysteme für Autofahrer.
Das Perfide: GM gab öffentlich an, solche Daten nicht zu verkaufen. Gleichzeitig handelte das Unternehmen genau damit. Die Nutzer hatten nie wirksam zugestimmt und wussten oft nicht einmal, dass ihre Daten weitergeleitet wurden. Auch speicherte GM die Daten deutlich länger als notwendig und vermarktete sie später für ganz andere Zwecke.
Dies ist nicht der erste Fall gegen GM. Die US-amerikanische Federal Trade Commission (FTC) hatte das Unternehmen bereits untersagt, Fahrerdaten für fünf Jahre zu verkaufen. Jetzt folgt Kalifornien mit dem stärksten Mittel nach – einem Rekordbußgeld von 12,75 Millionen Dollar. Besonders bemerkenswert: Dies ist der erste Durchsetzungsfall, der sich speziell auf Dataminimierungsregeln konzentriert – also die Verpflichtung, nur notwendige Daten zu sammeln.
General Motors muss künftig strenge Transparenzanforderungen erfüllen und darf Fahrerdaten nur mit expliziter, informierter Zustimmung verarbeiten. Kaliforniens Fahrerinnen und Fahrer hatten Glück: Das US-Bundesland verbietet Versicherern, Fahrtdaten bei der Prämienberechnung zu nutzen – so entstanden zumindest keine höheren Versicherungskosten durch GMs Datenverkauf.
Für europäische Unternehmen ist der Fall ein warnendes Beispiel. Die DSGVO setzt ähnliche Standards – teils noch strenger – und Bußgelder reichen bis zur doppelten Höhe von GMs Zahlung. Das deutsche Bundesdatenschutzamt (BfDI) überwacht solche Fälle aufmerksam.