Nach Datenleck droht Sammelklage
Datenschutz neu. Panini muss nach einer Datenpanne zittern, auch andere Firmen sind nicht gefeit: Bei Sicherheitslücken drohen höhere Strafen, aber auch Schadenersatzklagen.
Bei jedem Fußball-Großereignis grassiert es, das Panini-Sammelfieber. Auch diesmal war es so. Trotzdem wird die laufende WM beim Hersteller der begehrten Sticker nicht in bester Erinnerung bleiben. Beim Panini Verlag gab es eine peinliche Panne: Über mypanini können Sammler auch Bilder von sich selbst hochladen, mit denen dann personalisierte Sticker gestaltet werden. Viele taten das auch, in Medienberichten war von einer mittleren fünfstelligen Kundenzahl die Rede. Nur leider: Wer eingeloggt war, konnte ohne allzu große Mühe auch die Aufnahmen der anderen Kunden einsehen, samt persönlichen Daten wie Name, Geburtsdatum, Wohnort. Das Datenleck wurde zwar rasch geschlossen – aber ist die Sache damit vom Tisch? Wer weiß.
Denn seit 25. Mai gilt die Datenschutz-Grundverordnung. Unternehmen drohen seither bei Datenschutzverstößen nicht nur hohe Strafen, auch Betroffene haben jetzt mehr Möglichkeiten, gegen Verstöße vorzugehen. Im konkreten Fall war die Aufregung vor allem deshalb so groß, weil es vielfach um Bilder von Kindern ging. Aber auch jedes andere Unternehmen, das persönliche Daten sammelt, kann ähnliche Probleme bekommen, etwa, wenn Kundenlisten oder, noch schlimmer, Daten von Jobbewerbern in fremde Hände fallen. Kann es dann nicht belegen, dass es angemessene Sicherheitsmaßnahmen getroffen hat, drohen neben Strafen auch Schadenersatzforderungen. „Die Frage ist dann immer, ob sich eine DatenschutzNGO und ein Prozessfinanzierer finden, die sich der Sache annehmen“, sagt Lukas Feiler, IT-Rechtsexperte bei Baker McKenzie. Wenn ja, können Betroffene relativ einfach – und ohne Kostenrisiko – Ansprüche geltend machen.
Klagen kann man, wie Feiler erklärt, wahlweise dort, wo man seinen Wohnsitz hat, oder aber in jedem Land, in dem der Verantwortliche eine Niederlassung besitzt. Überall dort kann man sich auch einer Sammelklage anschließen. Zudem wurden die Möglichkeiten, immaterielle Schäden geltend zu machen, erweitert: Früher galt das nur bei einer Bloßstellung infolge eines Datenschutzverstoßes, „jetzt reicht eine emotionale Beeinträchtigung“. Offen ist, wie Gerichte solche Schäden bemessen werden. Gibt es viele Betroffene, werden aber selbst relativ niedrige Beträge in Summe zum Problem für das Unternehmen.
Wobei es aber nicht immer nur immaterielle Beeinträchtigungen sein müssen: Angenommen, Daten von Jobbewerbern gelangen in falsche Hände, und Betroffene verlieren daraufhin ihre derzeitige Anstellung. Dann geht es um ganz konkrete, materielle Schäden. Und in jedem Einzelfall um viel Geld.
Rechtlich schwieriger und wohl auch häufiger sind allerdings die weniger konkreten Fälle – ähnlich wie der eingangs erwähnte. Bei diesen tun sich noch weitere Fragen auf: Muss man für eine Klage nachweisen, dass die eigenen Daten tatsächlich in falsche Hände gerieten, oder reicht die bloße Möglichkeit? Und wenn es, wie im Beispielfall, um Daten von Kindern geht – wer kann dann überhaupt Ansprüche geltend machen?
Um mit Zweiterem zu beginnen: Wollten Eltern namens ihres Kindes klagen, bräuchten sie ein Placet des Pflegschaftsgerichts. Treten sie aber den Anspruch des Kindes an eine NGO ab, die eine Sammelklage führt, ist das laut Feiler nicht erforderlich, weil das Kind dann kein Prozessrisiko tragen muss.
Nebenbei bemerkt, könnte man sogar darüber diskutieren, ob die Eltern selbst Anspruch auf Ersatz eines immateriellen Schadens haben – schließlich sind es ja meist sie, die Ängste ausstehen, wenn Daten ihrer Kinder in falsche Hände gekommen sein könnten. Auch das werden irgendwann Gerichte klarstellen müssen.
Aber zurück zur ersten Frage: Muss man beweisen, dass von einem widerrechtlichen Zugriff tatsächlich auch die eigenen Daten betroffen waren? Wohl nicht, es wird auch nur selten möglich sein. Kann allerdings das Unternehmen nachweisen, dass eine inzwischen behobene Schwachstelle von niemandem ausgenützt wurde, kann es sich wirksam vor Ansprüchen schützen.
Mehr noch, es muss die Sache dann gar nicht an die große Glocke hängen – denn die Meldepflicht für das Datenleck fällt in diesem Fall flach. Besteht aber ein Risiko, muss der Verantwortliche die Datenschutzbehörde verständigen, bei einem hohen Risiko sind die Betroffenen zu informieren. Das stelle Unternehmen vor große Herausforderungen, sagt Feiler: „Zum Teil werden unnötige Meldungen gemacht – oder aber erforderliche Meldungen aus Angst vor Sammelklagen unterlassen.“Das Unternehmen brauche deshalb im Fall des Falles eine fundierte Informationsbasis: „Es sollte möglichst gut verstehen, welchen Risken die Betroffenen ausgesetzt sind.“Um wessen Daten es genau geht. Und was damit passiert sein kann.