General Motors hat sich bereit erklärt, 12,75 Millionen US-Dollar zur Beilegung von Datenschutzklagen in Kalifornien zu zahlen, nachdem der Autohersteller heimlich Standort- und Fahrverhaltensdaten von Hunderttausenden OnStar-Abonnenten an Datenbroker verkauft hatte - während er dies öffentlich abstritt. Der am 8. Mai 2026 bekannt gegebene Vergleich markiert die bisher größte CCPA-Strafe in der Geschichte Kaliforniens und sendet eine deutliche Warnung an jedes Unternehmen, das personenbezogene Daten als versteckte Einnahmequelle betrachtet.
Wie GM Ihre Fahrdaten ohne Ihr Wissen verkaufte
Von 2020 bis 2024 sammelten General Motors und seine Tochtergesellschaft OnStar präzise Geolokalisierungs-, Geschwindigkeits-, Brems-, Beschleunigungs- und andere Verhaltensdaten von angemeldeten Abonnenten - und verkauften sie dann an zwei Datenbroker: Verisk Analytics und LexisNexis Risk Solutions. Die Daten wurden von den Brokern verwendet, um Risikoprofile von Fahrern zu erstellen, die an Versicherungsunternehmen verkauft wurden.
Berichten zufolge verdiente GM landesweit etwa 20 Millionen US-Dollar mit diesen Datenverkäufen. Die Abonnenten wurden nie klar darüber informiert, dass ihre Fahrdaten gebündelt und verkauft wurden. In einigen Fällen fanden Benutzer, die versuchten, sich abzumelden, den Prozess verwirrend oder ineffektiv. Der kalifornische Generalstaatsanwalt Rob Bonta reichte die Klage zusammen mit den Bezirksstaatsanwälten von San Francisco, Los Angeles, Napa und Sonoma County nach dem CCPA, dem Gesetz gegen unlauteren Wettbewerb und dem Gesetz gegen falsche Werbung ein.
Rekordvergleich: Fast das Fünffache der vorherigen CCPA-Strafe
Mit 12,75 Millionen US-Dollar ist die Strafe die mit Abstand größte CCPA-Durchsetzungsmaßnahme in der Geschichte des Gesetzes - fast das Fünffache des bisherigen Rekords, der Anfang dieses Jahres durch einen Disney-Vergleich aufgestellt wurde. Der Vergleich umfasst angebliche Verstöße im Zusammenhang mit Daten, die zwischen 2016 und 2024 gesammelt wurden.
- Verkaufte Daten: Namen, Kontaktdaten, präzise Geolokalisierung und Fahrverhaltensdaten von Hunderttausenden Kaliforniern.
- Käufer: Verisk Analytics und LexisNexis Risk Solutions - beides wichtige Zulieferer der Versicherungsbranche.
- GM-Umsatz aus Verkäufen: Ca. 20 Millionen US-Dollar landesweit (2020-2024).
- Strafe: 12,75 Millionen US-Dollar - die größte CCPA-Strafe der Geschichte.
Über das Bußgeld hinaus verlangt der Vergleich, dass GM den Verkauf von Fahrdaten an Verbraucherauskunfteien für fünf Jahre einstellt, bestimmte in den letzten 180 Tagen gesammelte Fahrdaten löscht und Verisk sowie LexisNexis auffordert, die von GM erhaltenen Verbraucherdaten zu löschen.
Ihr Auto ist ein Überwachungsgerät - ob Sie es wissen oder nicht
Der GM-Fall ist ein wegweisendes Beispiel für einen breiteren und sich schnell beschleunigenden Trend: Vernetzte Fahrzeuge sind zu rollenden Datenerfassungsplattformen geworden. Moderne Autos mit Telematiksystemen wie OnStar erfassen weit mehr als nur Navigation - sie überwachen Bremsgewohnheiten, Beschleunigungsmuster, Nutzung der Sicherheitsgurte, Häufigkeit von Fahrten und präzise GPS-Koordinaten. Diese Daten sind zu einem lukrativen Produkt geworden, das ohne sinnvolle Zustimmung der Fahrer an Versicherer, Werbetreibende und Regierungsbehörden verkauft wird.
Versicherungsunternehmen suchen seit langem nach granularen Fahrverhaltensdaten, um die Prämien anzupassen. Der GM-Vergleich bestätigt, dass diese Datenpipeline im Verborgenen agierte - Abonnenten, die Komfortfunktionen wie Pannenhilfe angemeldet hatten, wussten nicht, dass ihre Fahrgewohnheiten monetarisiert und geteilt wurden.
Der Fall unterstreicht auch, dass standardmäßige Datenschutz-Tools für Fahrzeugdaten unzureichend sind. Ein VPN schützt Ihren Internetverkehr, kann aber nicht verhindern, dass das Telematiksystem Ihres Autos Standort- und Verhaltensdaten direkt an die Server des Herstellers meldet. Der Schutz der Fahrzeugprivatsphäre erfordert Gegenwehr auf legislativer und vertraglicher Ebene - und zwar durch die Forderung nach klaren Opt-out-Mechanismen und strengen Regeln zur Datenminimierung von den Autoherstellern.
Was die GM-Strafe für die CCPA-Durchsetzung bedeutet
Die kalifornischen Datenschutzbehörden wurden jahrelang für die unzureichende Durchsetzung des CCPA kritisiert. Eine Strafe von 12,75 Millionen US-Dollar - das Fünffache des bisherigen Rekords - signalisiert eine bedeutende Eskalation. Rechtsanalysten weisen darauf hin, dass die Bestimmungen des Vergleichs zur Datenminimierung möglicherweise das wirkungsvollste Element sind: GM zu zwingen, den Verkauf dieser Daten für fünf Jahre vollständig einzustellen, schafft einen Präzedenzfall dafür, dass rohe Fahrdaten keine frei handelbare Ware sind.
Der Fall wurde zwischen dem kalifornischen Generalstaatsanwalt und vier Bezirksstaatsanwälten koordiniert, was darauf hindeutet, dass Kalifornien eine behördenübergreifende Durchsetzungsinfrastruktur aufbaut, die es mit großen Unternehmensangeklagten aufnehmen soll. Ähnliche Datenpraktiken von Autoherstellern wie Toyota, Ford, Hyundai und anderen werden von Datenschutzforschern und Aufsichtsbehörden in den USA und der EU weiterhin genau geprüft.
