datenschützer

Vor Datenlecks gibt es im Grunde keinen Schutz, die wird es immer geben. Nur wer entsprechende Vorkehrungen trifft, den trifft es weniger hart. Man muss ja nicht überall seine private, geschätzte Mailadresse angeben, unterschiedliche Passwörter in Zeiten von Passwortmanagern sollten ohnehin verständlich sein, um im Falle eines Leaks nicht Gefahr zu laufen, dass mehrere Konten kompromittiert sind. Das Kartellrecht zeigt, dass empfindliche Strafen Unternehmen durchaus dazu veranlassen sich rechtskonform zu verhalten (sofern der Profit die Strafe nicht überwiegt). Die DSGVO bietet die Mittel grundsätzlich ebenfalls, nur sind die dafür zuständigen Aufsichtsbehörden heillos überfordert. Bleibt den Betroffenen ihr Glück selbst in die Hand zu nehmen. Dass das geht und zwar durchaus effektiv, zeigt nun der kürzlich bekannt gewordene Präzedenzfall bei British Airways, die sich vergleichsweise mit den Betroffenen über eine Entschädigungszahlung geeinigt haben. Das ist der Weg... 😉

Mitte der Woche wurde ein Beschluss des Bundesverfassungsgerichts veröffentlicht, der Auswirkungen für Schadensersatzklagen von Betroffenen eines Datenlecks, wie bei Ledger, haben wird. Gerichte dürfen solche Klagen nun nicht mehr mit der Begründung abweisen, dass der Schaden die Erheblichkeitsschwelle nicht überschreite, also salopp gesagt nicht "groß genug" sei. Bei dem zugrundeliegenden Urteil geht es um eine Werbe-E-Mail, die der Kläger erhalten hat. Für mein Empfinden ist das ein geradezu lächerlicher "Schaden", der nicht zu einem Schadensersatzanspruch führen darf. Die Auswirkung für Betroffene des Ledger Datenlecks hat allerdings zweifellos ein anderes Kaliber. Jedenfalls besteht nun für deutsche Gerichte eine Vorlagepflicht an den EuGH, wenn sie die Frage des Schadensersatzes mit der Begründung abweisen wollen, dass der Schaden nicht erheblich sei.

Die Frage nach den Kosten der derzeit möglichen Verfahren (RA aus Liechtenstein oder Rechtsdienstleister aus Deutschland) wurde in einem anderen Forum beantwortet. In aller Kürze: Beim RA von www.ledger-klage.com ist nach der Registrierung ein Pauschalbetrag von 420,00 € vorab zu zahlen, beim Legal-Tech Unternehmen www.kleinfee.com wird im Erfolgsfall ein Prozentsatz (15 % bzw. 25 %) des tatsächlich erstrittenen Betrags einbehalten (bekannt bspw. von dem Modell Flightright).

In Deutschland gibt es ein Gebührenunterschreitungsverbot, Anwälte werden daher für die Tätigkeit, nicht den Erfolg bezahlt. Kann mir nicht vorstellen, dass das in Liechtenstein anders aussieht, aber vielleicht hat da jemand Erfahrung, der sich dort angemeldet hat? Der Rechtsdienstleister kleinfee schreibt in den FAQ ausdrücklich, dass nur im Erfolgsfall - wenn man also ohnehin Schadensersatz bekommt - eine prozentuale Provision fällig wird, für das Vorgehen selbst entstehen keine Kosten, so dass man als Beteiligter kein Kostenrisiko hat.

Um mal bei Sprichwörtern zu bleiben: "wer sich nicht wehrt, lebt verkehrt". "Sammelverfahren" gibt es im Übrigen eher in Deutschland als in Liechtenstein. In Deutschland wurde eigens zur Entlastung der Gerichte - anlässlich der Dieselverfahren - für eine Vielzahl von Betroffenen das Instrument der Musterfeststellungsklage geschaffen. Unabhängig vom Vorgehen hätte man mit der Argumentation, dass Ledger finanziell unter einem Verfahren leidet oder gar pleite gehen könne - was stark zu bezweifeln ist - auch keinen Automobilhersteller in den Dieselverfahren belangen dürfen. Fakt ist doch, dass solchen Verfahren ein Fehlverhalten der Unternehmen vorausgeht. Und gerade Ledger erweckt nicht den Eindruck aus Fehlern lernen zu wollen. Die Meldungen im Juli 2020, Dezember 2020 und Januar 2021 sind kein Zufall, sondern Ausdruck dessen, dass am Schutz der Kundendaten gespart wird, um den eigenen Profit zu maximieren.

Das ist nach Erfahrungen mit einem Leck nachvollziehbar. Ein Unternehmen wie Ledger SAS ist allerdings ein deutlich interessanteres Ziel, um Daten abzuziehen als ein kleines Unternehmen, das lediglich die im Formular abgefragten Daten, also insbesondere keine Finanz- oder Transaktionsdaten etc., verarbeitet. Jeder Online-Einkauf, jede Buchung birgt da deutlich mehr Risiko für die Daten. Es ist rechtliches Neuland, etwas Rechtsprechung, die sich auch zur Höhe des Schadensersatz äußert, gibt es allerdings, die auf der Seite selbst auch teilweise besprochen wird, eine bessere Übersicht dazu gibt es von der Kanzlei Latham Watkins unter https://www.lathamgermany.de/2021/01/datenschutz-latham-dsgvo-schadensersatztabelle-gibt-schnellen-uberblick-uber-aktuelle-urteile-und-schadenssummen/. Die Kanzlei erwähnt unter https://efarbeitsrecht.net/schadensersatz-wegen-datenschutzverstoss-was-unternehmen-tun-koennen/ auch kleinfee als auf die Durchsetzung von Art. 82 DSGVO Ansprüchen spezialisiertes Unternehmen und fasst in dem Artikel die Auffassung des Arbeitsgerichts Düsseldorf zum DSGVO-Schadensersatzanspruch zusammen. Ledger hat unter anderem im Jahr 2018 in einer Finanzierungsrunde 75 Millionen Dollar eingesammelt. Ich bezweifle, dass das Unternehmen durch die Geltendmachung von Schadensersatzansprüchen in die Knie gezwungen wird. Das Konzept der Ledger Sticks ist doch vor allem dann gut, wenn es auch sicher ist. Das scheint nach den Vorfällen im Juli und Dezember 2020 sowie im Januar 2021 gerade nicht der Fall zu sein. Da spart Ledger an der falschen Stelle, sonst hätte es diese Vorfälle nicht gegeben.

Auch wenn der Beitrag schon etwas älter ist und viele meinen, dass das nicht ginge, beschäftigt das Thema ja viele und die meisten scheinen dabei nicht zu wissen, dass genau das bereits passiert und zwar nicht nur, um massenhaft Ansprüche im sogenannten Dieselskandal durchzusetzen, sondern auch bei Datenlecks. Es hat sich nur noch nicht in vergleichbarer Weise herumgesprochen. Die relativ neue (seit Mai 2018) Datenschutzgrundverordnung gibt Betroffenen einen Anspruch auf Schadensersatz in die Hand. Da das rechtlich betrachtet eher noch Neuland ist, gibt es dazu noch keine gefestigte Rechtsprechung, das steht allerdings nicht der Verfolgung von Ansprüchen entgegen. Einschlägige Portale berichten beispielsweise über die Legal Tech Plattform kleinfee, die sich bereits seit Längerem auf die Rechtsverfolgung bei Datenlecks spezialisiert hat und auch im Fall Ledger tätig ist und zwar - was angesichts fehlender gefestigter Rechtsprechung dankbar ist - ohne das Betroffene ein Kostenrisiko tragen.