Klagen: Eine neue Dynamik für Sammelklagen?

Legal Watch Nr. 53 – November 2022

Klagen: Eine neue Dynamik für Sammelklagen? In Frankreich und Europa sind Rechtsmittel in Fragen des Schutzes personenbezogener Daten noch immer selten.

Zwar wird in der Presse regelmäßig über Sanktionen gegen Tech-Giganten berichtet, doch sind diese Sanktionen in erster Linie das Werk der Aufsichtsbehörden.

Insbesondere bei Datenschutzverletzungen ist die Schadenshöhe oft schwer zu beziffern, da die Kosten einer Rechtsverfolgung hoch sind.

Mit der Umsetzung der Richtlinie (EU) 2020/1828 über Verbandsklagen auf nationaler Ebene könnte sich die Situation bald ändern.

Die Mitgliedstaaten haben bis zum 25. Dezember dieses Jahres Zeit, dieser Richtlinie nachzukommen, die auf den Schutz der kollektiven Interessen der Verbraucher abzielt.

In Frankreich gibt es bereits Sammelklagen, deren Umfang sich schrittweise erweitert hat. Sammelklagen gibt es seit dem Verbraucherschutzgesetz vom 17. März 2014.

Mit dem Gesetz vom 18. November 2016, mit dem ein neuer Artikel 43ter im Datenschutzgesetz geschaffen wurde, wurde es schrittweise auf verschiedene Bereiche, einschließlich personenbezogener Daten, ausgeweitet.

Der Text beschränkt das Recht zur Erhebung einer Sammelklage jedoch auf anerkannte Verbraucherschutzverbände, auf über fünf Jahre alte Verbände, deren satzungsmäßiger Zweck der Schutz der Privatsphäre ist, sowie auf Gewerkschaftsorganisationen, die Arbeitnehmer oder Beamte vertreten.

Dieser Rechtsrahmen sah keinen Schadensersatzanspruch der betroffenen Personen vor.

Dies ist seit dem Gesetz vom 20. Juni 2018 zur Anpassung des Datenschutzgesetzes an die DSGVO nun möglich.

Mit Sammelklagen ist nun die Entschädigung materieller und moralischer Schäden vor Gericht möglich.

Die DSGVO ermöglicht es außerdem, einen solchen Rechtsbehelf zu erwirken, indem Stellen, Organisationen oder Verbände beauftragt werden, in ihrem Namen eine Beschwerde bei der Aufsichtsbehörde einzureichen.

Frankreich steht also heute in Sachen Verbandsklagen nicht am schlechtesten da, wie etwa die Klagen von Organisationen wie La Quadrature du Net zeigen, die im Bereich Datenschutz sehr aktiv sind.

Andere Länder gehen jedoch noch weiter.

Sammelklagen in Frankreich basieren auf einem „Opt-in“ und bezieht nur Personen ein, die sich ausdrücklich dem Verfahren anschließen, im Gegensatz zur „Sammelklage“, die a priori alle Personen einschließt, die dem Profil der Geschädigten entsprechen, und ihnen die Möglichkeit gibt, vom Verfahren zurückzutreten. In einem solchen Fall spricht man von „Opt-out“.

Während diese beiden Verfahrensarten in Europa noch relativ selten sind, sind Sammelklagen im Sinne eines „Opt-out“-Verfahrens noch seltener.

In den Niederlanden sind beide Arten der Berufung zulässig.

Dort wurden in den vergangenen zwei Jahren mehrere Stiftungen gegründet, die Sammelklagen anstreben.

Diese Stiftungen haben beispielsweise das wettbewerbswidrige Verhalten von Apple und Google, die Datenerfassungspraktiken von TikTok, Salesforce und Oracle sowie Airbus und Airbnb angegriffen.

Die Tatsache, dass die repräsentative Organisation Schadensersatz für eine ganze Klasse von Klägern fordern kann, sofern diese nicht „aussteigen“, stellt einen wesentlichen Wendepunkt für Sammelklagen im Datenschutz dar, bei denen die individuellen Schadensersatzzahlungen im Allgemeinen gering ausfallen.

Aufgrund der wirtschaftlichen Tragfähigkeit solcher Klagen sind die Niederlande die führende europäische Gerichtsbarkeit für Sammelklagen., und die Drittmittelfinanzierung dieser Art von Organisationen nimmt zu.

Heute wird Twitter in den Niederlanden wegen der Verfolgung seiner Nutzer verklagt.

Dasselbe gilt für andere beliebte Apps wie Shazam und Vinted, aber auch sensiblere Apps wie Grindr und Apps zur Verfolgung des Menstruationszyklus.

Die europäische Richtlinie ermöglicht es den EU-Ländern, zwischen dem Opt-in- und dem Opt-out-Modell zu wählen, mit Ausnahme der Unterlassungsklage, die – logischerweise – ein Opt-out vorsieht.

Es ist zu beachten, dass der Text Organisationen die Möglichkeit gibt, grenzüberschreitend Klage zu erheben und ihnen die Wahl zwischen mehreren Gerichtsbarkeiten lässt. : Die Klage kann in dem Mitgliedstaat erhoben werden, in dem das beklagte Unternehmen seinen Sitz hat, aber auch in jedem Mitgliedstaat, in dem es eine Zweigniederlassung hat, und im Wohnsitzstaat der geschädigten Person.

Frankreich muss sich daher auf gesamteuropäische Berufungen einstellen.

Sie muss außerdem ihren Rechtsrahmen an die „Der Verlierer zahlt“-Prinzip hinsichtlich der Anwalts- und Verfahrenskosten und sorgen für eine Offenlegungsverfahren, wie es in Common Law-Ländern existiert und das durch eine begründete Entscheidung des Richters die Vorlage von Dokumenten ermöglicht, die für den Streitfall nützlich sind (wie etwa die Identität der geschädigten Parteien).

Während in den kommenden Monaten die Bedingungen für die Anwendung der Richtlinie geklärt werden, scheint es bereits jetzt sicher, dass sie Auswirkungen auf die Zahl der Verbandsklagen in Europa haben wird.

Es wäre gut, sich darauf vorzubereiten und die Umsetzung in Frankreich aufmerksam zu verfolgen.

Und auch

Frankreich:

Die CNIL hat DISCORD INC. mit einer Geldstrafe von 800.000 Euro belegt wegen Nichteinhaltung mehrerer DSGVO-Verpflichtungen, insbesondere im Hinblick auf Datenaufbewahrungsfristen und die Sicherheit personenbezogener Daten.

Die CNIL weist auch auf einen Mangel an Datenschutz in der Grundeinstellung hin: Benutzer wurden nicht darüber informiert, dass ihre Gespräche weiterhin abgehört werden konnten, wenn sie glaubten, einen Voice-Chat-Raum verlassen zu haben.

Schließlich wurde dem Unternehmen vorgeworfen, vor der Umsetzung der Behandlungen keine Auswirkungsanalyse durchgeführt zu haben.

Die Kommission veröffentlichte am 24. November außerdem einen Aktionsplan, der die Konformität mobiler Anwendungen unterstützen und die Privatsphäre der Benutzer schützen soll.

Sie will ihr Fachwissen vertiefen, Fachkräfte unterstützen und Bürger informieren, etwa in Form von Leitfäden und Empfehlungen.

Schließlich wird sie gezielte Kontrollen durchführen und gegebenenfalls repressive Maßnahmen gegen Organisationen ergreifen, die ihren Verpflichtungen nicht nachkommen.

Nach zahlreichen Beschwerden hat die CNIL die Bedingungen präzisiert, unter denen Zusatzkrankenversicherungen Gesundheitsdaten erheben dürfen.

Sie weist darauf hin, dass die geltenden Texte nicht präzise genug seien und empfiehlt die Verabschiedung eines Gesetzes.

Der 1. Januar 2023 markiert das Ende der Papierbelege.

Diese „Anti-Abfall“-Maßnahme wirft Fragen zum Datenschutz auf, da Einzelhändler ihren gesamten Kundenstamm identifizieren können, auch diejenigen, die keine Kundenkarte besitzen.

Die CNIL betont in ihrem Whitepaper, dass eine E-Mail-Adresse, die zum Senden einer Quittung oder einer elektronischen Zahlung erfasst wird, nicht für kommerzielle Zwecke verwendet werden darf, da diese beiden Zwecke völlig unterschiedlich sind.

Es ist wichtig, die Einwilligung der betroffenen Person einzuholen oder sie im Falle der Kundenwerbung für Produkte oder Dienstleistungen, die denen des Unternehmens bereits ähneln, zum Zeitpunkt der Datenerhebung vorab über die Zwecke und die Möglichkeit eines Widerspruchs zu informieren.

Der Kassationshof befand in seinem Urteil vom 7. November, dass der Entsperrcode für den Startbildschirm eines Telefons einen „Entschlüsselungsschlüssel“ darstellen könne.

Besteht die Vermutung, dass es zur Vorbereitung oder Begehung einer Straftat oder eines Vergehens verwendet wurde, ist der Inhaber verpflichtet, den Ermittlern den Entsperrcode für den Startbildschirm mitzuteilen.

Weigert er sich, diesen Code mitzuteilen, begeht er den Straftatbestand der „Verweigerung der Herausgabe einer geheimen Entschlüsselungsvereinbarung“, der mit Geld- und Freiheitsstrafe geahndet wird.

Europa:

Am 16. November 2022 trat die Digital Services Regulation (DSA) in Kraft.

Diese Verordnung sieht neue Verantwortlichkeiten für digitale Plattformen vor, um die Verbreitung illegaler Inhalte und Produkte einzuschränken, den Jugendschutz zu erhöhen und den Nutzern mehr Auswahl und bessere Informationen zu bieten.

Der Europäische Datenschutzausschuss (EDSA) hat seine Empfehlungen zum Genehmigungsverfahren und zu den in verbindliche Unternehmensregeln (Binding Corporate Rules, BCRs) für Datenverantwortliche aufzunehmenden Elementen veröffentlicht.

Das Dokument steht bis zum 10. Januar 2023 zur öffentlichen Konsultation offen.

Der Europäische Datenschutzbeauftragte (EDSB) hat seine Stellungnahme zur vorgeschlagenen Verordnung zur Cybersicherheit veröffentlicht.

Ziel des Textes ist es, EU-weite Cybersicherheitsanforderungen für eine breite Palette von Hardware- und Softwareprodukten wie Browsern, Betriebssystemen, Firewalls, Netzwerkmanagementsystemen, intelligenten Zählern oder Routern festzulegen.

Der EDSB empfiehlt, die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen in diesen Text zu integrieren.

Er betonte außerdem, dass ein europäisches Cybersicherheitszertifikat die DSGVO-Zertifizierung nicht ersetzen könne.

Der EDSB äußerte sich auch zu dem Vorschlag für eine Verordnung zur Schaffung eines gemeinsamen Rahmens für Mediendienste: In seiner Stellungnahme vom 14. November weist es auf die Unzulänglichkeit der geplanten Maßnahmen zum Schutz von Journalisten, ihren Quellen und Mediendienstleistern hin.

Es wird empfohlen, klarzustellen, dass jeder Journalist von diesem Schutz profitieren würde, und drängt auf eine weitere Einschränkung der Ausnahmen, die das Abfangen von Kommunikation durch Spyware oder andere Formen der Überwachung erlauben.

Nach zweijährigen Verhandlungen mit Microsoft hat der Gemeinsame Ausschuss der deutschen Bundesdatenschutzbehörde und 16 Landesdatenschutzbehörden eine Erklärung abgegeben, die voraussichtlich weitreichende Folgen haben wird: Datenverantwortliche dürfen MS365 derzeit gemäß der DSGVO nicht legal verwenden.

Die niederländische Datenschutzbehörde hat am 14. November eine Warnung an ihre Regierung gerichtet und ihr von der Nutzung amerikanischer Cloud-Dienste abgeraten. Sie fordert die Regierung auf, europäische Alternativen zu nutzen.

Die ungarische Datenschutzbehörde hat den Betreiber einer Wettervorhersage-Website angewiesen, die Datenübertragung in die USA über Google einzustellen.

Die Datenschutzbehörde stellte fest, dass der Website-Betreiber Google Analytics verwendete, ohne angemessene Sicherheitsvorkehrungen für Datenübertragungen in die USA zu treffen.

Am 17. November wies der Irish Council for Civil Liberties in einem Brief an die Europäische Kommission darauf hin, dass Meta gegen die DSGVO verstoße und die Digital Markets Regulation (DMA) nicht einhalten könne.

Das ICCL beruft sich auf kürzlich freigegebene Gerichtsdokumente in Kalifornien, denen zufolge Meta auf eine Anfrage nach Informationen über die Funktion von 149 seiner Datenverarbeitungssysteme nicht reagiert habe. Dies deute darauf hin, dass die Funktionsweise dieser Systeme für Menschen nicht verständlich sei.

Die irische Datenschutzkommission hat am 25. November ihre Entscheidung im Rahmen ihrer Untersuchung zum Daten-Scraping von Facebook bekannt gegeben, bei dem es um die Online-Verfügbarkeit personenbezogener Daten von mehr als 530 Millionen Nutzern geht.

Die Grundsätze, um die es ging, betrafen den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, wie sie in der DSGVO vorgesehen sind.

Die Entscheidung sieht Verwaltungsstrafen in Höhe von insgesamt 265 Millionen Euro sowie Abhilfemaßnahmen vor.

Meta sieht sich in Europa mit drei weiteren Verfahren wegen Verstoßes gegen die DSGVO konfrontiert.

Dabei handelt es sich um die allgemeinen Geschäftsbedingungen von Facebook, aber auch von Instagram und WhatsApp.

Die Ergebnisse des EDSA zu Letzterem werden voraussichtlich am 5. Dezember veröffentlicht und mit Spannung erwartet. 

Sie betreffen die Rechtsgrundlage für die Erhebung von Daten von Social-Media-Nutzern.

Meta hat diese Rechtsgrundlage von der Einwilligung auf die Notwendigkeit der Verarbeitung im Rahmen eines Vertrags geändert, mit rechtlichen Auswirkungen, die, falls sie von den Datenschutzbehörden genehmigt würden, weit über den Kontext dieses Falls hinausgehen würden.

Das Information Commissioner’s Office hat am 17. November eine Aktualisierung seiner Richtlinien zu internationalen Datenübermittlungen veröffentlicht.

Dieses Update enthält einen neuen Abschnitt zu Transfer Risk Assessments (TRA) und ein Tool für Controller.

Großbritannien hat mit Korea ein Abkommen über die Übermittlung personenbezogener Daten geschlossen, das am 19. Dezember in Kraft tritt.

Das Abkommen sei „umfassender“ als das der EU und erlaube Unternehmen die Übermittlung von Kreditdaten.

Internationales:

Google hat sich im Rahmen eines Vergleichs wegen Datenschutzverletzungen in 40 US-Bundesstaaten zur Zahlung der Rekordsumme von 391,5 Millionen US-Dollar bereit erklärt.

In dem Fall geht es um die Geolokalisierungspraktiken des Unternehmens: Laut Generalstaatsanwaltschaft wurden Nutzer über die Bedingungen zur Deaktivierung ihrer Geolokalisierung in ihren Kontoeinstellungen getäuscht.

Europäische Datenschutzbehörden haben gewarnt, dass die beiden Apps Ehteraz und Hayya, die von den katarischen Behörden für die Einreise in das Land vorgeschrieben werden, massive Datenschutzverletzungen verursachen. indem umfassender Zugriff auf Benutzerdaten, einschließlich Standortdaten und Anrufdaten, gewährt wird.

Die CNIL hat Personen, die nach Katar reisen, empfohlen, ein leeres oder zurückgesetztes Telefon zu verwenden.

Die im Oktober 2020 eingeführte Global Privacy Control erfreut sich derzeit einer zunehmenden Nutzung, da sie von großen Verlagen und Online-Plattformen zur Einwilligungsverwaltung übernommen wird.

Mit der GPC können Benutzer dem Verkauf personenbezogener Daten auf Browserebene mit einem Klick für alle oder einige Websites widersprechen.

Im Gegensatz zu Opt-out-Handlern, die häufig Inhalte laden und mit der Datenerfassung beginnen, bevor der Benutzer die Möglichkeit hat, sich abzumelden, berücksichtigt GPC die Entscheidung des Benutzers, bevor die Site geladen wird.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.