Datenschutzrecht

Facebook-Datenskandal – Können deutsche Nutzer klagen?

Der Missbrauch von Facebook-Nutzerdaten durch die britische Politikberatungsfirma Cambridge Analytica: Ein Skandal, der in bislang unbekanntem Ausmaß aufzeigt, wie viel bei sozialen Netzwerken im Argen liegt. Ein Ende des Facebook-Skandals ist derzeit nicht in Sicht. Und nun kann es teuer werden für Facebook, denn in den USA droht, eine Welle an Sammelklagen von Nutzern und Aktionären auf Facebook einzubrechen. Können auch deutsche Nutzer klagen?

Updates vom 05.04.2018 im Text: Facebook ist seit dem Bekanntwerden, dass Daten von nunmehr 87 Millionen (statt, wie bisher angenommen 50 Millionen) Facebook-Nutzern missbraucht wurden, in eine der größten Krisen des Unternehmens geschlittert. Und der Druck steigt täglich.

Auch wenn bekannt ist, dass in den USA die Datenschutzstandards andere sind als bei uns in Deutschland, haben Umfang und Dauer der Anhäufung und Auswertung persönlicher Nutzern-Daten durch höchst zweifelhafte Akteure auch hierzulande für Erstaunen gesorgt. Nun wird bekannt: Es könnten auch bis zu 309.815 Facebook-Mitglieder aus Deutschland betroffen sein. Damit sind alle Freunde der 65 Teilnehmenden aus Deutschland potenziell mit betroffen.

Die Briten prüfen nun, ob der Brexit mithilfe schwarzer Kassen und umstrittener Daten gekauft wurde. In Deutschland will die Justizministerin Katarina Barley Druck auf das weltgrößte Online-Netzwerk machen. In den USA derweil scheint auf Facebook eine Welle von Sammelklagen zuzukommen, die für das Unternehmen teuer werden könnten.

Der Facebook-Datenskandal: Worum geht es?

Ein Name steht maßgeblich für den gesamten Daten-Skandal: Aleksandr Kogan. Der russisch-amerikanische Neurowissenschaftler, der im Silicon Valley lebt, hatte vor einigen Jahren eine Idee: Mit Hilfe der App „Thisisyourdigitallife“ wollte er Infos über Facebook-Nutzer für sammeln. Natürlich nur für rein wissenschaftliche Zwecke. Vor fünf Jahren dann wandte sich Kogan an Facebook.

Die App war eine Art Psychotest. Nutzer, die die App verwendeten, willigten darin ein, dass die App auf Informationen wie Wohnort und verteilte Likes zuzugreifen durfte.

Das Problem jedoch: Die App hatte nicht nur Zugriff auf die Daten der rund 270.000 angefragten Nutzer, sondern „Thisisyourdigitallife“ hatte auch auf die Daten der Freunde und Freunde der Freunde Zugriff. Rund 50 bis 60 Millionen Facebook-Profile sollen so in Erfahrung gebracht worden sein.

Alexandr Kogan verkaufte die Datenmassen daraufhin an die Datenanalysefirma Cambridge Analytica weiter. Deren wichtigster Kunde: Die Partei des jetzigen US-Präsidenten Donald Trump, die Republikaner.

Wann Facebook davon Kenntnis erlangte? Darüber hüllt man sich beim Social Media Giganten bislang in Schweigen. Erste Recherchen jedoch legen nahe, dass Facebook bereits 2015 vom Datenskandal Kenntnis hatte. Ganz offensichtlich jedoch hatte der Privatsphärenschutz der Nutzer Unternehmensintern nicht die höchste Priorität.

USA: Klägerin verklagt Facebook im Namen aller Nutzer

Und hier setzt nun die US-Amerikanerin Lauren Price an. Die US-Amerikanerin aus Maryland hat sowohl Facebook als auch Cambridge Analytica im Namen aller US-Facebook-Nutzer verklagt, deren Daten weitergegeben wurden. Sie ist der Ansicht, dass durch die unrechtmäßige Weitergabe der Daten ihre Privatsphäre verletzt wurde. Mit ihrer Klage verlangt Price Schadenersatz von Facebook für alle US-Nutzer, deren Daten ohne deren ausdrückliche Einwilligung erlangt wurden. Die Klage jedenfalls hat das Potenzial einer Sammelklage, der sich Millionen US-Nutzer anschließen könnten.

Bei einer Sammelklage erhält nicht nur der unmittelbare Kläger Ansprüche, wenn die Klage erfolgreich ist. Das jeweilige Urteil gilt dann für alle Personen, die vom selben Sachverhalt in gleicher Weise betroffen sind wie der Kläger. Um diese Ansprüche zu erhalten, müssen Betroffene dann nicht mehr selbst klagen. Sie müssen nur noch nachweisen, dass sie individuell von einer Sache betroffen sind und zu der betroffenen Gruppe (class) gehören.

Die Kanzlei Morgan & Morgan, die Price vertritt, schießt zwar auch gegen Cambridge Analytica scharf, doch in ihren Augen trifft die Hauptschuld Facebook. Laut Insider-Informationen sei bereits im Jahr 2012 festgestellt worden, dass Daten von über 100 Millionen Nutzern von Drittfirmen ausgewertet worden seien. Und Facebook habe den Kampf längst aufgegeben, da es für das Unternehmen nahezu unmöglich sei, die privaten Daten seiner Nutzer zu schützen und den Umgang mit den Daten zu kontrollieren.

Der Fall beziehe die völlige Missachtung mit ein, mit der Facebook beschlossen habe, persönliche Informationen der Klägerin zu behandeln, so der Morgan & Morgan-Anwalt, der Price im verfahren vertritt. Facebook seinerseits habe gewusst, dass dieser unrechtmäßige Datenumgang stattfand, sei allerdings daran gescheitert, diesen zu unterbinden, oder aber habe es aktiv vermieden, Kenntnis davon zu erlangen, um eine angebliche Unwissenheit vorgeben zu können.

Price verklagt die Unternehmen jedoch nicht in ihrem Heimatstaat Maryland, sondern vor dem Bundesgericht in San Jose, Kalifornien. Dort, im nahegelegenen Menlo Park (Silicon Valley), hat Facebook seinen Firmensitz.

Auch Aktionäre und Investoren verklagen Facebook

Die Klage von Price ist allerdings nicht die erste. Zuvor hatten bereits Facebook-Aktionäre und Investoren Klage eingereicht. Diese versuchen, mit der Klage ihre Verluste auszugleichen, die sie durch den drastischen Kursabsturz der Facebook-Aktie im Zuge der Datenskandal-Berichterstattung erlitten.

Nun muss das Gericht entscheiden. Entscheidet es zu Gunsten der Klägerin, droht Facebook eine milliardenschwere Strafe.

Können die bis zu 310.000 betroffenen deutschen Nutzer klagen?

In Deutschland haben wir Gesetze, die eine solche Datenverwendung ohne Zustimmung der Betroffenen Nutzer grundsätzlich untersagen. Aber geltendes Recht ist immer nur so gut, wie es sich auch durchsetzen lässt. Und hier liegt oftmals das Problem: Facebook entzieht sich bislang unter Hinweis auf seine Geschäftstätigkeit in Irland deutschem Recht. Nach der bisherigen Rechtsprechung zur Anwendbarkeit der Rechtsordnung sind deutsche Nutzer momentan wohl nur durch das irische Datenschutzrecht geschützt. Und da Cambridge Analytica seinen europäischen Sitz in London, England, hat, wird dann die dortige Rechtsordnung Geltung finden. Erst wenn im Mai die EU-Datenschutzverordnung in Kraft tritt, können sich auch Nutzer im Rahmen ihrer Klagen auf EU-Recht berufen.

Allerdings basieren die derzeit geltenden EU-Rechtsordnungen auf einer europäischen Richtlinie, sodass anzunehmen ist, dass der dortige Datenschutz ähnlich dem deutschen ausgestaltet sein wird:

Ansprüche der Nutzer nach dem aktuellen BDSG

Deutsche Nutzer haben derzeit nach dem aktuellen Bundesdatenschutzgesetz (BDSG) einige Rechte, die sie gegen Facebook und ggf. auch Cambridge Analytica geltend machen können.

Nutzer könnten derzeit nach dem aktuellen Bundesdatenschutzgesetz (BDSG) von Cambridge Analytica ihre Rechte auf Berichtigung, Löschung und Sperrung ihrer Daten geltend machen, weil diese unrechtmäßig erhoben oder verarbeitet wurden (§ 33 BDSG).

Außerdem steht Nutzern möglicherweise ein Schadensersatzanspruch sowohl gegen Facebook als auch gegen Cambridge Analytica zu, wenn ihre Daten unrechtmäßig verwendet wurden und ihnen dadurch ein finanzieller Schaden entstanden ist. Jedoch ist dieser Anspruch recht schwierig nachzuweisen, da der finanzielle Schaden gerade wegen der rechtswidrigen Datenverarbeitung entstanden sein muss. Jedoch wird das Verschulden des Datenverarbeiters vermutet. Zudem gilt für den Schadensersatz nach § 7 BDSG nicht die Haftungsbegrenzung von § 8 BDSG in Höhe von 130.000 Euro.

Daneben kann der Nutzer noch Rechte aus dem allgemeinen Zivilrecht geltend machen. In Betracht kommen die deliktischen Schadensersatzansprüche nach § 823 Bürgerliches Gesetzbuch (BGB). Insbesondere können Nutzer Schadensersatz wegen einer Schutzgesetzverletzung gemäß § 823 Abs. 2 BGB geltend machen. Als Schutzgesetz kommen dabei die Normen des BDSG, insbesondere § 4 BDSG.

Jedoch müssten deutsche Nutzer diese Rechte zum aktuellen Zeitpunkt noch individuell geltend machen. Es gibt insofern keine Möglichkeit einer Sammelklage wie in den Vereinigten Staaten (s.u.).

Außerdem ist nicht klar, ob man Facebook tatsächlich nach dem deutschen Datenschutzrecht haftbar machen kann, da Facebook in Deutschland keine Niederlassung betreibt. Dadurch sind deutsche Nutzer momentan wohl nur durch das irische Datenschutzrecht geschützt.

Hätte Facebook die betroffenen Nutzer vom Missbrauch in Kenntnis setzen müssen?

Das beurteilt sich derzeit nach dem jeweils anwendbaren Recht – die meisten Betroffenen müssen hier schauen, was die amerikanische Rechtsordnung über Informationspflichten bei Datenmissbrauch sagt. Deutsche Nutzer müssten wohl die irische Rechtsordnung durchforsten.

Das deutsche BDSG sieht zwar derzeit in § 42a eine Informationspflicht vor, wenn:

  • besondere personenbezogene Daten (Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, § 3 Abs. 9 BDSG)
  • unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und
  • schwerwiegende Beeinträchtigungen für ihre Rechte oder schutzwürdigen Interessen drohen und
  • das Unternehmen den Missbrauch festgestellt hat.

Wenn die Daten der App über Facebook selbst weitergeleitet wurden, hätte wohl auch Facebook die Nutzer ab Kenntnis informieren müssen. Jedoch nicht, wenn Cambridge Analytica geschickt eine Lücke im Programm von Facebook für sich genutzt hat und die Daten direkt von der App „gezogen“ wurden, ohne Einbindung Facebooks. Allerdings basiert § 42a BDSG nicht auf einer EU-Richtlinie, sodass nicht klar ist, ob eine entsprechende Norm auch in Irland existiert. Auch ist unklar, was das US-Recht dazu sagt.

Zukünftig sieht die neue DSGVO auch für Unternehmen wie Facebook vor, dass u.a. die Betroffenen fast in jedem Fall von Datenlecks bzw. –pannen benachrichtigt werden müssen (Art. 34 DSGVO).

DSGVO tritt am 25. Mai 2018 in Kraft – Künftige Ansprüche deutscher Nutzer

Zukünftig gilt jedoch europaweit, ab dem 25. Mai 2018 die Datenschutz-Grundverordnung (EU-DSGVO), die explizit auch amerikanische Unternehmen verpflichtet, wenn sie nur an den jeweiligen lokalen Markt gerichtet sind. Die neue DSGVO gibt vielfältige Möglichkeiten, auf künftiges Fehlverhalten etwa der sozialen Netzwerke zu reagieren.

Wenn Facebook entgegen seiner eigenen Datenschutzerklärung Daten von Nutzern ohne deren Einwilligung an Dritte weitergibt, so verstößt der Konzern gegen das Datenschutzrecht.

Jedoch kann es auch sein, dass Facebook die Daten gar nicht weitergeben wollte, sondern Cambridge Analytica geschickt eine Lücke im Programm von Facebook für sich genutzt hat. Doch auch in diesem Falle hätte Facebook sehr wahrscheinlich deutsches Datenschutzrecht gebrochen, da es die Daten seiner Nutzer nicht ausreichend vor unbefugtem Zugriff geschützt hätte.

Recht auf Vergessenwerden, Schadenersatz

Nutzer können aufgrund der DSGVO auch verschiedene Rechte gegen Unternehmen geltend machen, die ihre Daten verarbeiten.

Bedeutsam wird hier vor allem das neu geregelte Recht auf Vergessenwerden (Art. 17 DSGVO). Dies ist eine der effektiven Waffen, die der Nutzer selbst direkt gegen Facebook und Cambridge Analytica einsetzen kann. Der Nutzer kann danach verlangen, dass alle personenbezogenen Daten, die der Datenverarbeiter rechtswidrig besitzt, gelöscht werden.

Die Nutzer haben außerdem einen Schadensersatzanspruch gemäß Art. 82 DSGVO, wenn ihnen ein materieller oder – und dies ist neu! – ein immaterieller Schaden (Schmerzensgeld) entstanden ist. Eine Verletzung des Schutzes personenbezogener Daten in dem Ausmaß des aktuellen Facebook-Skandals stellt in jedem Falle einen immateriellen Schaden dar, weil der Verlust der Kontrolle über die eigenen personenbezogenen Daten in höchstem Maß das informationelle Selbstbestimmungsrecht verletzt.

Andere Rechte der Nutzer

Doch es gibt auch andere Möglichkeiten, wie sich der Nutzer gegen Verstöße gegen das Datenschutzrecht wehren kann. Er kann zum Beispiel gemäß Art. 77 DSGVO eine Beschwerde bei der zuständigen Aufsichtsbehörde stellen. Dies ist in Deutschland der Bundesdatenschutzbeauftragte.

Diese Aufsichtsbehörde hat die Aufgabe, zu überwachen, ob die Regelungen zum Datenschutz eingehalten werden. Wenn bestimmte Unternehmen gegen die DSGVO verstoßen oder gegen Anordnungen der Aufsichtsbehörde darf diese Geldbußen von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes des Unternehmens verhängen.

Musterfeststellungsklage

Wenn der Nutzer dies nicht selbst tun möchte, dann kann er sich auch durch eine Gemeinnützige Organisation wie beispielsweise einen Verbraucherschutzverein vertreten lassen. Jedoch gibt es in Deutschland noch keine Möglichkeit, eine Sammelklage, wie etwa in den USA, anzustrengen. Ein entsprechendes Gesetzesvorhaben, welches im Zuge des Diesel-Skandals begonnen wurde, soll jedoch noch in diesem Jahr und somit vor Verjährung der Ansprüche gegen Volkswagen, geschaffen werden. Dies ist wichtig, da auch wir in Deutschland im Bereich des kollektiven Rechtsschutzes Regelungen brauchen. Denn wenn sich große Unternehmen rechtswidrig mit kleineren Beträgen bei ihren Kunden bereichern, so kann ihnen das Millionensummen bescheren, während der betroffene Kunde als Einzelner nicht wegen ein paar Euro vor Gericht ziehen würde.

Hier kann eine Musterfeststellungsklage künftig das richtige Instrument sein. Für ein Musterfeststellungsverfahren muss ein Anspruchsinhaber nicht das Prozessrisiko einer eigenen Klage eingehen. Anders als in den USA jedoch, kann die Massenklage nur von Verbrauchervereinen geführt werden.

Der Einzelne Betroffene jedoch kann abwarten, ob der Verbraucherverein eine Musterfeststellungsklage erhebt, und sich für eine Registrierungsgebühr von zehn Euro anschließen. Ist eine Musterfeststellungsklage sodann erfolgreich, droht dem beklagten Unternehmen eine Welle gleichartiger Folgeklagen aus dem Kreis der Anmelder.

Mit Hilfe dieses Musterklageverfahrens könnten sich künftig auch deutsche Facebook-Nutzer ihre Schadensersatzansprüche geltend machen.

tsp/fho/ahe


In diesem Zusammenhang ist sicherlich auch folgendes Video für Sie interessant.

Weitere aktuelle und spannende Videos rund ums Recht finden Sie auf unserem YouTube-Channel unter: https://www.youtube.com/user/KanzleiWBS

Werden Sie Abonnent unseres YouTube-Kanals. So bleiben Sie immer auf dem neuesten Stand zu wichtigen und aktuellen Rechtsthemen.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (0)

Kommentar schreiben

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.