Datenschutz-Klagen gegen Bahn, Krankenkassen und Universitäten – und positive Urteile für Schmerzensgeld bei immateriellen Schäden

Die Deutsche Bahn hat offenbar nicht nur Probleme auf der Schiene, sondern auch beim Datenschutz: Der Verein Digitalcourage e.V. hat kürzlich Klage eingereicht, weil (u.a.) auch bei Auswahl der Cookie-Banner-Option „Nur erforderliche Cookies“ immer noch Daten an zehn Partner-Unternehmen wie z.B. Adobe in den USA weitergeleitet werden. Im Detail hat sich Mike Kuketz im April mit der App DB Navigator befasst. Im Juni kam auch die Stiftung Warentest zu dem Ergebnis, dass die App mehr Daten als nötig übermittelt.

Gerade wegen der marktbeherrschenden Stellung der DB und da Mobilität zur Grundversorgung gehört, ist hier Datensparsamkeit besonders wichtig. Aber anstatt Software einzukaufen oder intern zu entwickeln, werden zahlreiche Funktionen (z.B. Statistiken zur Webseitennutzung, Anzeige von persönlichen Angeboten nach Login, Vergütung von Affiliate-Partnern oder A/B-Testing) an Partner ausgelagert, wofür wiederum Daten an diese übermittelt werden. Das hat zur Folge, dass unter anderem auch die „Adobe Marketing Cloud“ (in den USA!) erfährt, wie viele Personen in etwa welchem Alter wann von wo nach wo fahren möchten, wenn man nach einer Zugverbindung im DB Navigator sucht. Und es gibt keine Möglichkeit, dem zu widersprechen. Dabei fallen solche Marketing-Cookies gerade nicht in die Kategorie „technisch notwendig“.

Eine wirkliche Erklärung, warum die Datenweitergabe technisch erforderlich sein soll, liefert die Bahn auch nicht. Vielmehr erklärte die Pressestelle nur, die betroffenen Unternehmen seien „nicht Dritte im Sinne der DSGVO“, da sie vertraglich gebunden seien und nicht im eigenen Interesse handelten, sondern auf Weisung der DB. Zudem würden keine identifizierenden personenbezogenen Informationen verarbeitet, sondern nur pseudonymisierte Daten, die sich für den einzelnen Anbieter isoliert als anonyme Dateninhalte darstellen würden. Keiner der Anbieter sei in der Lage, die Daten an anderer Stelle oder gar zu eigenen Marketingzwecken einzusetzen und ein Webseiten- oder App-übergreifendes Nachverfolgen sei mit diesen Cookies nicht möglich. Der Anwalt von Digitalcourage e.V. erwartet ein Urteil innerhalb eines Jahres. Bis dahin bleibt uns wohl nur, abzuwarten.

Eine weitere – durchaus akutere – Klage beschäftigt sich mit dem sogenannten Datentransparenzverfahren der Krankenkassen. Diese hatten bis 01.10.2022 Zeit, sensible Gesundheitsdaten von allen 73 Millionen gesetzlich Versicherten zu Forschungszwecken verpflichtend an den GKV-Spitzenverband weiterzugeben. Dieser soll die Daten wiederum bis 1. Dezember an das Forschungsdatenzentrum des Bundesinstituts für Arzneimittel und Medizinprodukte weiterleiten. Gegen beides kann man nicht widersprechen – und informiert wird man auch nicht. Dabei werden die Daten auch noch fortlaufend ergänzt, bis zu 30 Jahre lang gespeichert und zentral gespeichert. Daher klagt die Gesellschaft für Freiheitsrechte (GFF) für das Recht auf informationelle Selbstbestimmung und das Widerspruchsrecht nach Artikel 21 der DSGVO. Zwei Eilverfahren wurden bereits zugunsten der Klagenden entschieden.

Die Universität Erfurt hat seit 2020, wie wohl fast alle Universitäten, Prüfungen coronabedingt erstmals online abgehalten. Um Schummeln zu verhindern, wird dabei häufig auf automatisierte Gesichtserkennung und Spyware gesetzt. Außerdem werden die Videobilder vielfach aufgezeichnet und in die USA übertragen. Studierende haben keine Wahl, entsprechende Tools nicht zu nutzen – denn dann steht wohl der Abschluss auf dem Spiel. Mit einer Klage gegen die Universität Erfurt will die Gesellschaft für Freiheitsrechte die zulässigen Rahmenbedingungen für Onlineprüfungen feststellen lassen.

Anderswo sind bereits Urteile gefallen, so am Landgericht München I – dessen Google-Fonts-Urteil vom Januar übrigens scheinbar jetzt erst so richtig seine Kreise zieht. Nun wurde dort ein Finanzunternehmen zur Zahlung von 2500 Euro Schmerzensgeld an einen Kunden verpflichtet, dessen Daten im Jahr 2020 bei einem Hack erbeutet und anschließend im Darknet zum Verkauf angeboten worden waren. Gehackt wurde nicht das Finanzunternehmen selbst, sondern ein ehemaliges Partnerunternehmen, mit dem es zwar schon seit 2015 nicht mehr zusammenarbeitet; allerdings wurden Passwörter usw. offenbar nicht geändert, sodass das Partnerunternehmen immer noch Zugriff auf die Daten hatte. Dabei regelt Art. 28 Abs. 3 lit. g DSGVO, dass zum Ende einer Geschäftsbeziehung der Auftragsverarbeiter die Daten des Auftraggebers entweder herausgeben oder löschen muss. Kontrolliert hat das das Finanzunternehmen offenbar nie. Das fiel ihm jetzt auf die Füße.

Zwar hat es seine Kunden DSGVO-gemäß korrekt vom Datenleak beim ehemaligen Partnerunternehmen informiert, jedoch argumentierte der Kläger, dass er sich nun dem dauerhaften Risiko ausgesetzt sehe, dass seine Daten für mögliche Betrugsversuche verwendet werden. Denn im Darknet waren Vor- und Nachname, Adresse, E-Mail-Adresse, Handynummer, Geburtsdatum und -ort, Familienstand, Steuer-ID, IBAN, Ausweiskopie und ein Foto des Klägers aufgetaucht. Der Kläger bemerkte zahlreiche fehlgeschlagene Login-Versuche bei seinem E-Mail-Konto, ein materieller Schaden ist ihm aber (noch) nicht entstanden. Aber auch falls diese noch entstehen, muss das Finanzunternehmen für alle in Zukunft entstehenden materiellen Schäden, die auf den unbefugten Zugriff zurückzuführen sind, zahlen.

Das Urteil vom Dezember 2021 wurde erst kürzlich rechtskräftig. Es ist das erste seiner Art, mit welchem einem Verbraucher Schadensersatz für einen erlittenen immateriellen Schaden nach einem Datenschutzrechtsverstoß (hier nach Artikel 32 DSGVO) zugesprochen wurde. Vom besagtem Datenleck waren wohl über 33.000 Kunden betroffen – sollten alle Schmerzensgeld (übrigens nach Artikel 82 DSGVO) in gleicher Höhe einfordern, müsste das Unternehmen über 80 Millionen Euro zahlen! Das Gericht rechtfertigte die Höhe mit der vom Gesetzgeber beabsichtigten Abschreckungswirkung des Schadensersatzes. In einem Parallelverfahren sprach das Landgericht Köln übrigens im Mai 2022 einem Kläger lediglich 1.200 Euro Schmerzensgeld zu, da die Daten des hier Betroffenen nicht im Darknet angeboten wurden.

Einer aktuellen Bitkom-Studie zufolge belaufen sich die Schäden von deutschen Unternehmen durch Cyberangriffe übrigens auf über 200 Milliarden Euro pro Jahr. Von den befragten Unternehmen gaben unglaubliche 84% an, von einem Cyberangriff schon einmal direkt betroffen gewesen zu sein; weitere 9% vermuteten dies zumindest. Meist haben es die Angreifer laut Studie auf Kunden- oder Kommunikationsdaten wie E-Mails abgesehen. Wie das obige Beispiel zeigt, hat das nicht nur unmittelbare Folgen – etwa Fehlfunktionen von internen und externen Software-Anwendungen – sondern solche Vorfälle wirken sich auch extrem schlecht auf den Ruf eines Unternehmens aus. Und natürlich drohen hohe Buß- und Schmerzensgelder. Also lieber vorher ein bisschen mehr in einen guten Datenschutzbeauftragten investieren ;-) 

Foto: Adobe Stock | AA+W