Zum fünften Geburtstag der DSGVO hat die irische Datenschutzbehörde die bislang größte Strafe in der EU aufgrund von Datenschutzverstößen verhängt: 1,2 Milliarden Euro! Tat und Täter sind allerdings wenig überraschend: Meta hat Facebook-Daten, auch nachdem „Privacy Shield“ 2020 vom EuGH gekippt wurde, weiter in die USA übertragen, wo je bekanntlich nicht das gleiche Datenschutzniveau wie hierzulande herrscht. Max Schrems hatte 2020 die Beschwerde eingelegt, in der jetzt auf Druck des Europäischen Datenschutzausschusses die Milliardenstrafe verhängt wurde. Außerdem soll Facebook binnen fünf Monaten „jede künftige Übermittlung personenbezogener Daten in die USA“ aussetzen und innerhalb von sechs Monaten die Verarbeitung (und Speicherung) aller personenbezogener Daten von EU-Bürgern in den USA einstellen.
Max Schrems macht derweil darauf aufmerksam, dass das Bußgeld noch viel zu niedrig ist und bei über vier Milliarden Euro hätte liegen können. Das wäre dann etwa genauso hoch wie alle Strafen, die bisher in der ganzen EU nach der DSGVO seit ihrer Einführung im Mai 2018 verhängt wurden, zusammen genommen. 2,5 Milliarden Euro der Bußgelder (über 60%) hat sich allein Meta eingebrockt und belegt sieben Plätze in den Top Ten der DSGVO-Bußgelder. Die größte Einzelstrafe ging bislang an Amazon in Luxemburg (746 Millionen Euro), auf den beiden übrigen Plätzen tummelt sich mit Google ein weiterer Global Player aus den USA.
Ein Nachfolgeabkommen für „Privacy Shield“ gibt es indes (immer noch) nicht. Laut EU-Diplomaten könnte es bis Ende Juli 2023 stehen, gleichzeitig sind aber noch sehr viele Fragen ungeklärt. Meta wird wohl vor Gericht ziehen, in der Hoffnung, dass man sich auf ein politisches Abkommen einigt, bevor ein Urteil fällt.
Auch dynamische IP-Adressen sind personenbezogene Daten, aus denen Rückschlüsse auf Einzelpersonen gezogen und Profile erstellt werden können, so das Landgericht Köln. Es verurteilte die Telekom dazu, keine IP-Adressen mehr ohne ausdrückliche Zustimmung der Nutzer an Google Analytics in den USA zu übermitteln. Eine einfache Zustimmung im Cookie-Banner über den Button „Alle akzeptieren“ reiche zudem für eine ausdrückliche Einwilligung für die Drittlandübermittlung in die USA nicht aus, schreibt die Verbraucherzentrale NRW, die im konkreten Fall geklagt hatte.
„Die Geister, die ich rief…“ – hoffentlich endlich ein Ende der unsäglichen Google-Fonts-Abmahnwelle: Seit das Landgericht München I Anfang 2022 die Einbindung dynamischer Webinhalte von US-Diensten wie Google Fonts ohne Einwilligung der Besucher für rechtswidrig erklärt hatte und den konkreten Betreiber der Webseite zur Unterlassung und Leistung von 100 Euro Schadensersatz verurteilt hatte, gingen ein Abmahnanwalt und sein Mandat systematisch gegen Hunderttausendende (!) Webseiten vor und forderten unter Verweis auf jenes Urteil jeweils 100 Euro Schadensersatz ein.
Nun hat ein Empfänger einer solchen Abmahnung den Spieß umgedreht und erfolgreich gegen den Abmahnanwalt und seinen Mandanten vor demselben Landgericht München I geklagt. Im Rahmen einer negativen Feststellungsklage urteilte es Ende März 2023, dass es rechtsmissbräuchlich sei, Abmahnschreiben wegen angeblicher Datenschutzverstöße automatisiert zu erstellen und zu versenden. Das Gericht stellte fest, dass durch die Weitergabe der IP-Adresse an Google keine Verletzung des Persönlichkeitsrechts vorliegen könne, da vorliegend ein automatisiertes Crawler-Programm aktiv nach Seiten gesucht hat, auf denen die Google-Schriften dynamisch eingebunden waren. Die IP-Adresse wurde durch den Crawler also nur zum Selbstzweck übertragen, weshalb auch ein Unterlassungsanspruch ausscheide – die Tat wurde ja regelrecht provoziert: Wer sich bewusst und gezielt in eine Situation begebe, in der ihm eine Persönlichkeitsrechtsverletzung drohe, um daraus Ansprüche abzuleiten, sei nicht schutzbedürftig, so das Gericht.
Es stellte außerdem klar, dass kein Anspruch auf Schadensersatz nach Paragraf 242 BGB bestehe, da es nicht Sinn und Zweck des allgemeinen Persönlichkeitsrechts oder der DSGVO sei, „Personen eine Erwerbsquelle zu verschaffen wegen behaupteter Verletzungen ihres allgemeinen Persönlichkeitsrechts“. Vielmehr verstoße die provozierte „Tat“ gegen das Verbot selbstwidersprüchlichen Verhaltens. Ob es sich bei dem Abmahnschreiben um einen strafbaren Betrugsversuch oder gar vollendeten Betrug handelt, entschied das Gericht nicht, sondern verwies dazu auf das strafrechtliche Ermittlungsverfahren der Staatsanwaltschaft.
Auch im Nachgang zum EuGH-Adresshandel-Urteil gegen die österreichische Post klagte ein Anwalt auf Schadensersatz auf Basis mangelnden Datenschutzes. Dort wurden von 2017 bis 2019 rund zwei Millionen Kundendaten wie Name, Geschlecht und Alter mit verschiedenen Wahl-Statistiken kombiniert, um herauszufinden, wer welcher politischen Partei nahesteht. Dem Betroffenen war so eine Nähe zur radikal rechten FPÖ nachgesagt worden, was er als Beleidigung empfand und deshalb 1000 Euro Schadensersatz einforderte. Da die DSGVO explizit auch sogenannten immateriellen Schadensersatz – also für Schäden, die keine Vermögensschäden sind – vorsieht, meinte der Anwalt ein Grundsatzproblem erkannt zu haben, ab wann ein Schaden als ein Schaden gilt.
Österreichische Gerichte bejahten zuvor zwar den Datenschutzverstoß, lehnten die Forderung nach Schadensersatz jedoch ab. Die Daten des Anwalts seien schließlich nicht an Dritte weitergeben worden und es könne nicht einfach Schadensersatz geben, wenn sich jemand über Datenschutzverstöße einfach nur ärgere. Dem stimmte auch der EuGH großteils zu: Nicht bei jedem Verstoß gegen die Datenschutzgrundverordnung gibt es Schadensersatz – es muss immer ein konkreter Schaden vorliegen und diesen muss der Geschädigte nachweisen. Jedoch würde es durchaus ausreichen, dass der Betroffene sich einfach nur erheblich geärgert, Vertrauen verloren oder das Gefühl hat, bloßgestellt zu werden, was ihm – ohne dass eine bestimmte Schwere erreicht werden muss – psychischen Schaden zugefügt hat. Insofern wurde der Datenschutz gestärkt; gleichzeitig bleiben aber auch noch zahlreiche Fragen offen.