Sammelklage gegen GM, OnStar und LexisNexis Risk Solutions [PDF]
(static01.nyt.com)- Der in Florida ansässige Romeo Chicco hat eine Sammelklage gegen GM, OnStar und LexisNexis Risk Solutions eingereicht, weil nach dem Kauf eines Cadillac XT6 Fahrdaten ohne seine Zustimmung erfasst und übermittelt und für die Versicherungsprüfung genutzt worden seien
- Kern der Ansprüche sind ein Verstoß von LexisNexis gegen den Fair Credit Reporting Act, Verstöße von GM und OnStar gegen den Florida Deceptive and Unfair Trade Practices Act sowie eine Verletzung der Privatsphäre nach dem Common Law Floridas
- Der Kläger behauptet, aus dem Kaufvertrag und den OnStar-Hinweisen keine Datenweitergabe oder separate Anmeldung bei OnStar Smart Driver erkannt zu haben und diesem Programm nie zugestimmt zu haben
- Der im Januar 2024 erhaltene Verbraucherbericht von LexisNexis enthielt unter Telematics 258 Fahrereignisse, darunter Fahrzeiten, Beschleunigung, starkes Bremsen, Ereignisse bei hoher Geschwindigkeit, Strecke und VIN
- Als unmittelbare Schäden werden die Ablehnung von Versicherungsanträgen und stark gestiegene Versicherungsprämien angeführt; der Kläger bestreitet die Nutzung negativer Informationen ohne Definition, Berechnungsmethode oder Kontext der Fahrereignisse
Grundstruktur der Klage
- Romeo Chicco hat im Namen von Personen in ähnlicher Lage eine Sammelklage eingereicht
- Beklagte sind drei Unternehmen
- General Motors LLC
- OnStar LLC
- LexisNexis Risk Solutions Inc.
- Die Ansprüche stützen sich auf drei Grundlagen
- Fair Credit Reporting Act, 15 U.S.C. § 1681 ff.
- Florida Deceptive and Unfair Trade Practices Act, Fla. Stat. § 501.201 ff.
- Verletzung der Privatsphäre nach dem Common Law Floridas
- Der Kläger behauptet, unzutreffende oder negative Fahrinformationen seien ohne seine Kenntnis und Zustimmung gemeldet worden, und die Übermittlung sowie Offenlegung der Daten stellten eine Verletzung der Privatsphäre dar
- Ebenfalls enthalten ist die Behauptung, durch das Verhalten der Beklagten Schäden und erhebliches seelisches Leid erlitten zu haben
Zuständigkeit und Parteien
- Der Fall wurde beim U.S. District Court for the Southern District of Florida eingereicht
- Wegen Verstößen gegen Bundesrecht gilt die Zuständigkeit für Bundesfragen; die Ansprüche nach einzelstaatlichem Recht stützen sich auf ergänzende Zuständigkeit
- Der Kläger ist eine natürliche Person mit Wohnsitz im Palm Beach County, Florida, und behauptet, nach dem FCRA ein consumer zu sein
- GM und OnStar sind Unternehmen, die in Florida geschäftlich tätig sind
- LexisNexis wird als globales Daten- und Analyseunternehmen dargestellt, das in Florida geschäftlich tätig ist
- In der Klageschrift werden GM und OnStar als furnisher definiert, die Informationen an Verbraucherberichtsagenturen liefern, und LexisNexis als consumer reporting agency im Sinne des FCRA
Kauf des Cadillac und OnStar-Hinweise
- Der Kläger kaufte um den 16. November 2021 bei Ed Morse Cadillac in Delray Beach, Florida, einen neuen Cadillac XT6 des Modelljahrs 2021
- Im Kaufvertrag seien zwar Verkaufsdetails enthalten gewesen, doch der Kläger behauptet, folgende Punkte hätten gefehlt
- OnStar
- LexisNexis
- Datenweitergabe
- Datenschutzbezogene Punkte
- Der Kläger behauptet, ein Vertreter des Autohauses habe gesagt, OnStar Smart Driver sei nichts, „was im Autohaus verkauft wird“, und OnStar lege dem Händler nicht offen, wer wann an einem Datenaustauschprogramm teilgenommen habe
- Unmittelbar nach dem Kauf lud der Kläger die MyCadillac Application auf ein Mobilgerät herunter
- Am 18. November 2021 erhielt er eine E-Mail, dass ein Testzeitraum für Cadillac Connected Services sowie Safety & Security-Schutz begonnen hätten
- Die E-Mail wies ihn an, die blaue OnStar-Taste zu drücken, um einen Welcome Call zu starten
- Enthaltene Leistungen waren Connected Navigation, OnStar Safety & Security, Remote Access und In-Vehicle Data
- Der Kläger behauptet, er habe die blaue Taste nicht gedrückt, weil er keine OnStar-Dienste wollte, und in der E-Mail sei das OnStar Smart Driver Program nicht erwähnt worden
- Später erhielt er OnStar-Diagnose-E-Mails, verstand diese nach eigener Darstellung jedoch als Funktion der MyCadillac-App
- Auf der Rechnung seien weder Käufe noch Zahlungen für OnStar-bezogene Dienste enthalten gewesen, behauptet er
Streitpunkt Zustimmung zu Smart Driver
- Um Februar 2024 stellte das Autohaus dem Kläger die OnStar Smart Driver FAQ zur Verfügung
- Der relevante Abschnitt der FAQ erklärt, dass OnStar ohne Zustimmung des Kunden keine Daten zum Fahrverhalten erfasse
- Laut FAQ müssen Kunden sich zusätzlich zu den grundlegenden OnStar-Diensten separat bei OnStar Smart Driver anmelden, und für Smart Driver ist eine gesonderte Zustimmung erforderlich
- Nach Zustimmung und Anmeldung können je nach Fahrzeugleistung folgende Daten erfasst werden
- Ereignisse mit starkem Bremsen
- Ereignisse mit starker Beschleunigung
- Geschwindigkeiten über 80 Meilen pro Stunde
- Durchschnittsgeschwindigkeit
- Nachtfahrten
- Zeitpunkt der Fahrt
- Gefahrene Strecke
- Am 12. März 2024 zeigte das Vehicle Profile des Klägers im Online-Cadillac Owner Center von GM an, dass das Fahrzeug nicht mit dem Konto verbunden sei
Ablehnung der Versicherung und LexisNexis-Bericht
- Der Kläger nutzte 2021, 2022 und während des größten Teils von 2023 denselben Versicherer, der die Police wiederholt verlängerte
- Um Dezember 2023 informierte der bisherige Versicherer den Kläger, dass er Einwohnern Floridas keine Versicherungen mehr anbiete
- Um den 18. Dezember 2023 versuchte der Kläger, über die Online-Dienste mehrerer Versicherer eine Versicherung abzuschließen, doch jeder Versicherer lehnte den Antrag ab
- Als der Kläger bei Liberty Mutual anrief und nach dem Grund der Ablehnung fragte, erklärte ein Mitarbeiter nach seiner Darstellung, dies liege an Informationen in seinem LexisNexis-Bericht, und erläuterte, wie er Zugriff auf den Bericht erhalten könne
- Der Kläger forderte den LexisNexis-Bericht an und behauptet, es habe zwei bis drei Wochen gedauert, bis er die Verbraucher-Offenlegung erhielt
- In dieser Zeit habe er mit einem lokalen Versicherungsagenten telefoniert, um einen Versicherer zu finden, doch die Prämie habe sich nahezu verdoppelt, behauptet er
- Der Kläger gibt an, dabei große Frustration und Schock empfunden zu haben
Inhalt und Grenzen der Telematics-Aufzeichnungen
- Der Verbraucherbericht von LexisNexis, den der Kläger um Januar 2024 erhielt, verzeichnete zum Stand 18. Dezember 2023 unter dem Unterpunkt Telematics 258 Fahrereignisse
- Jedes Fahrereignis enthielt folgende Details
- Start- und Enddatum der Fahrt
- Start- und Endzeit
- Beschleunigungsereignisse
- Ereignisse mit starkem Bremsen
- Ereignisse bei hoher Geschwindigkeit
- Strecke
- VIN
- Der Kläger behauptet, der Bericht liefere keinen Kontext zu den Fahrereignissen
- So seien in einem bestimmten Eintrag etwa zwei Beschleunigungsereignisse und ein Ereignis mit starkem Bremsen ausgewiesen gewesen, doch der Bericht enthalte keine Definition dieser Begriffe oder Berechnungsmethode, behauptet er
- Der Bericht erkläre auch nicht, warum der Kläger solche Ereignisse erlebt habe oder welche Fahrbedingungen und externen Faktoren zu diesem Zeitpunkt vorgelegen hätten, behauptet er
Telefonate mit LexisNexis, GM und OnStar
- Am 11. Januar 2024 rief der Kläger bei LexisNexis an und fragte, warum ohne seine Zustimmung Fahrdaten erfasst worden seien
- LexisNexis habe ihn nach seiner Darstellung angewiesen, GM anzurufen
- Als der Kläger am selben Tag GM anrief, erklärte GM nach seiner Darstellung, dass Telematikdaten über OnStar übertragen würden
- Als der Kläger sagte, er habe sich nie bei OnStar angemeldet, habe ein GM-Mitarbeiter nach seiner Darstellung bestätigt, dass mit seinem Fahrzeug ein OnStar-Plan verknüpft sei, und ihn an einen OnStar-Mitarbeiter weitergeleitet
- Der OnStar-Mitarbeiter habe nach Darstellung des Klägers gesagt, Telematikdaten würden nur dann an Versicherer weitergegeben, wenn der Kläger über einen Versicherer für ein Rabattprogramm für sicheres Fahren optiert habe
- Der Kläger behauptet, nie an einem solchen Versicherungsprogramm teilgenommen zu haben
- Später habe er auch mit einem weiteren OnStar-Mitarbeiter gesprochen, doch niemand habe erklären können, warum OnStar Telematikinformationen ohne seine Zustimmung verbreitet habe
1 Kommentare
Meinungen auf Hacker News
Laut Klageschrift wollte der Kläger den OnStar-Dienst nicht und drückte daher nicht den blauen Button, um „loszulegen“; auch in E-Mails wurde das Smart Driver Program von OnStar nicht erwähnt.
In dem LexisNexis Consumer Disclosure Report, den er etwa im Januar 2024 erhielt, waren jedoch unter „Telematics“ mit Stand vom 18. Dezember 2023 258 Fahrereignisse verzeichnet; jedes Ereignis enthielt Start-/Enddatum und -uhrzeit, starkes Beschleunigen, starkes Bremsen, Fahren mit hoher Geschwindigkeit, Strecke und VIN.
Der Kläger hatte sich nie bei einem Versicherungsprogramm angemeldet, das die Weitergabe seiner Informationen erlaubt hätte.
Zugehöriger Beitrag: „Automakers are sharing consumers' driving behavior with insurance companies“ - https://news.ycombinator.com/item?id=39666976
Wenn man ein Auto besitzt, das in den letzten etwa fünf Jahren produziert wurde, kann man den „Consumer Disclosure Report“ von LexisNexis hier anfordern: https://consumer.risk.lexisnexis.com/
Laut NYT erhält LexisNexis einige Daten von GM, Ford, Kia, Subaru und Mitsubishi.
Auch Verisk erhält Daten unter anderem von GM, Hyundai und Honda; anfordern kann man sie hier: https://fcra.verisk.com/#/
Dieser Beitrag blieb nur drei Stunden auf der Frontpage, daher ist es durchaus angemessen, dass dieser hier noch einmal hochkommt.
GM schickte alle Telematikdaten an einen großen Datencluster, der sie im Maßstab von 100 Gbps verarbeitete; sobald Cisco 400-Gbps-Unterstützung liefern würde, sollte sich auch die Datenmenge verdoppeln.
Der ursprüngliche Zweck war, bei der Bewertung von Gebrauchtwagenpreisen zu helfen, und diese Absicht an sich fand ich in Ordnung und habe sie unterstützt. Ich wusste aber nicht, dass die Daten an Versicherungsmakler verkauft würden — eigentlich hätte ich damit rechnen müssen.
Jetzt ist die Büchse der Pandora geöffnet, und diese Funktion wird nicht zurückgenommen werden. Man wird Bußgelder zahlen und einigen Nutzern ein Opt-out anbieten, aber tatsächlich werden sich vielleicht 5 % dafür entscheiden; in zehn Jahren wird es als selbstverständlich gelten, dass Versicherer Fahrgewohnheiten überwachen.
Die Kontroverse um den Verkauf von Echtzeit-Standortdaten ist jetzt zehn Jahre her, und noch gestern Abend habe ich gesehen, dass meine private IP-Adresse meinen Standort auf 0,25 Meilen genau meldet. Der 5-Dollar-Scheck von Verizon war wohl die Strafe dafür.
Solche Firmen sind es wahrscheinlich gewohnt, vergessen im Schatten zu operieren; allein dass mehr Menschen Berichte anfordern, könnte ein kleines Signal sein, dass Leute hinschauen.
Ich bin sehr gespannt, ob von meinem Auto etwas gemeldet wurde, obwohl ich keine Zusatzfunktionen oder Monatsabos nutze.
Wenn man es wirklich hasst, dass LexisNexis solche Daten sammelt, oder wenn man seinen Kreditstatus laufend prüfen möchte, frage ich mich, was dagegen spricht, ein Skript laufen zu lassen, das täglich einen Bericht per Post anfordert. Ich weiß nicht, wie viel ein einzelner Brief kostet, aber 365 Stück dürften nicht billig sein.
Die Klagepunkte lassen sich grob in drei Bereiche einteilen: ein Verstoß gegen den Fair Credit Reporting Act (FCRA), weil Fahrdaten des Klägers ohne Zustimmung unangemessen geteilt und gemeldet wurden und dadurch seine Fähigkeit, eine Kfz-Versicherung abzuschließen, sowie seine Prämien beeinflusst wurden; ein Verstoß gegen den Florida Deceptive and Unfair Trade Practices Act, weil persönliche Fahrdaten geteilt wurden, ohne dass der Fahrzeughalter davon wusste oder zugestimmt hatte; sowie Eingriff in die Privatsphäre nach dem Common Law Floridas, weil Tracking, Erhebung und Weitergabe ohne Zustimmung in die Privatsphäre eingreifen und anstößig sind.
In den nächsten Jahren werden wir viel darüber erfahren, welche abstoßenden Dinge Datenbroker — faktisch fast alle Großunternehmen eingeschlossen — getrieben haben.
Nachdem irgendwo aus Versehen meine private Nummer weitergegeben wurde, verlange ich bei jedem Spam-Anruf, dass sie mir die Quelle der Informationen nennen. Anfangs weichen sie mit „unser Datenteam“ aus, aber wenn man weiter nachfragt, sagen sie es.
Solche Datenhandelsfirmen sind wirklich widerlich.
Das Tracking über Mobilfunk hört niemals auf, aber wenn du in einem Notfall kein Abo bezahlst, rufen sie nicht für dich den Rettungsdienst
Am Ende heißt das: Deine Daten sind wichtiger als du
Ich war über Jahre hinweg Ziel staatlicher Stellen und habe auch technisches Wissen, daher habe ich gesehen, wie solche Eingriffe in die Privatsphäre und solche Kontrolle tatsächlich eingesetzt werden. Vieles davon wäre ohne Technologie oder Internet unmöglich gewesen
Das Problem ist viel größer, als einfach auf ein Handy zu verzichten. Es ist buchstäblich ein Überwachungsstaat; selbst wenn man Städte verlässt, die sich wie Betongefängnisse anfühlen, und in die Vororte zieht, gibt es an jedem Haus Türklingelkameras, auf die Strafverfolgungsbehörden zugreifen können
Um so etwas zu missbrauchen und gegen bestimmte Personen zu instrumentalisieren, braucht es nicht unbedingt einen Gerichtsbeschluss oder Durchsuchungsbefehl. Mit den richtigen Leuten und einer plausiblen Story machen Unternehmen ihren Kunden gegenüber alles Mögliche
Selbst wenn man die SIM-Karte entfernt und irgendwie sogar Notdienste deaktiviert, sendet das Handy weiter Signale, die von diversen Scannern erfasst werden
Schon die Tatsache, dass so etwas in großem Maßstab passiert, akzeptieren nur wenige, und noch weniger können die Konsequenzen wirklich durchdenken. Die Öffentlichkeit sollte die Folgen all dessen besser kennen
Funktioniert ziemlich gut
GM scheint sich wirklich sehr anzustrengen, künftig kein Geld mehr von mir zu bekommen
Erst streichen sie bei neuen Elektroautos die Unterstützung für CarPlay und Android Auto, und jetzt kommt auch noch das hier. Einfach erbärmlich
Sie produzieren uninspirierte Plastikkisten und versuchen, den Kunden ständig weiteres Kleingeld aus der Tasche zu ziehen. Meiner Meinung nach sind ausländische Hersteller ihnen komplett voraus
Ich bin in einer Familie aus der Autoindustrie aufgewachsen und hatte eine starke Loyalität zu den Big 3, aber inzwischen meide ich diese Autos. Sie mögen lange fahren, aber überall fängt etwas an kaputtzugehen
Diese eine kleine Funktion hat auf Parkplätzen weltweit unzählige Verwirrungen verursacht
https://www.reddit.com/r/cars/comments/rshlke/why_do_gm_vehi...
Die meisten Marken sind nur noch Hüllen ihrer früheren selbst, besonders Cadillac, und ich kann mich nicht erinnern, wann ich zuletzt einen Chevy gesehen habe, der mir gefallen hätte
Man muss mit dem Geldbeutel abstimmen. Wenn ihr meine Daten ohne Erlaubnis nehmt, verliert ihr auch mein Geschäft
Japanische Autos, deutsche Autos und in gewissem Maß auch koreanische Autos sind deutlich besser, und wenn man einen Pickup will, ist Ford viel besser
Telematik sollte deaktiviert werden, am besten, wenn möglich, indem man die Stromzufuhr zum Modem-Chip physisch trennt
Nennt mich ruhig Verschwörungstheoretiker, aber wenn man daran denkt, dass 23andMe von einer Versicherung übernommen wird, gibt es viele Parallelen zu Problemen bei der Versicherbarkeit, wenn Daten der einen Seite ohne klares Opt-in an die andere gelangen
DCS, die den Strom zum Modem abschaltetLaut einer E-Mail von GM können OnStar-Smart-Driver-Abonnenten der Datenweitergabe nicht widersprechen
Das verstößt meiner Ansicht nach zumindest gegen die kalifornischen Datenschutzvorschriften, vermutlich auch gegen Gesetze anderer Bundesstaaten. Diese Vorschriften schreiben ein Opt-out vor. Ich möchte ernsthaft das Modem aus dem Auto reißen
Insbesondere der Link „Do Not Sell or Share My Personal Information“ ist verpflichtend
https://oag.ca.gov/privacy/ccpa#sectionh
https://oag.ca.gov/contact/consumer-complaint-against-busine...
Die Kosten für das Sammeln und Speichern personenbezogener Daten sollten absurd hoch werden
LexisNexis wusste genau, was sie taten, und hat vermutlich bereits Prozesskosten in den Produktpreis einkalkuliert
Experian hätte für das Leaken all dieser Daten mit einer Strafe belegt werden müssen, die das Unternehmen auslöscht. Dieses Scheiterhaufen-Begräbnis wäre eine Warnung für andere Unternehmen auf demselben Weg gewesen
Ich wünschte, es gäbe für allgemeine Daten ein Gesetz wie HIPAA
Einer der Gründe, warum ich kürzlich einen Toyota gekauft habe, war, dass ich direkt nach dem Kauf im Auto die „SOS“-Taste drücken und darum bitten konnte, die Telematik abzuschalten.
Ich weiß allerdings nicht, ob die Erfassung von Standortdaten tatsächlich gestoppt wurde oder ob sie später willkürlich wieder aktiviert werden kann, daher habe ich auch die Sicherung gezogen, die den Sender mit Strom versorgt. Zur Sicherheit überlege ich außerdem, einige Bauteile mit einem Faraday-Käfig zu umhüllen.
Bei der Auswahl eines neuen Autos stand die Frage, ob ich verhindern kann, dass das Auto mich überwacht, fast ganz oben auf meiner Wunschliste. Das ist einer der Hauptgründe, warum ich mir nicht noch einmal ein Elektroauto kaufen kann.
Soweit ich weiß, gibt es auf dem Markt dort, wo ich lebe, keine Autos, die nicht dauerhaft überwachen oder bei denen man es abschalten kann.
Auch dieser Artikel von Mozilla ist lesenswert: https://foundation.mozilla.org/en/privacynotincluded/article...
Ich will einfach ein „dummes“ Auto, das statt Benzin eine Batterie hat.
Ein Bekannter hat das japanische Modell eines elektrischen Mitsubishi-Minivans, und das kommt dem perfekten „dummen Elektroauto“ von allem, was ich bisher gesehen habe, am nächsten. Es fährt sich auch hervorragend. Allerdings bauen sie noch kein 4x4-Modell, was in kalten, schneereichen Regionen wichtig ist.
Fahrzeuge, die in Massachusetts verkauft werden, sind aus Protest gegen das „Right to Repair“-Gesetz des Bundesstaats standardmäßig deaktiviert; in anderen Regionen kann man es selbst abschalten.
Sofern Toyota nicht ganz offen lügt, war ich relativ überzeugt, dass ich mich abgemeldet hatte. Um sicherzugehen, sollte ich wohl meine Daten anfordern.
Ich habe die Mozilla-Unterlagen und Autoforen zu Datenschutzproblemen und der Möglichkeit, Telematik ein- oder auszuschalten, gelesen, aber ob die Erfassung tatsächlich stoppt, bleibt unklar.
Mich würde interessieren, ob es einen Link dazu gibt, welche Sicherung physisch gezogen wurde.
Wenn man die entfernt, kann man die Telematik loswerden. Trotzdem werde ich meinen 24 Jahre alten Lexus weiterfahren.
Wir brauchen eine Datenschutz-Bill of Rights.
Ehrlich gesagt funktioniert kein anderer Ansatz.