Google muss britischen Internet-Nutzern Schadensersatz für heimliches Tracking zahlen. Im Fall Vidal Hall v Google hat der englische Court of Appeal ein entsprechendes Urteil des High Court aus dem Jahr 2014 bestätigt. Die Entscheidung ist von grundlegender Bedeutung nicht nur für das britische Recht, sondern für den Datenschutz in der gesamten EU. Schadensersatz für Datenschutzverstöße wird bisher in den meisten Ländern – auch Deutschland – äußerst restriktiv gehandhabt. Nun deutet sich eine Trendwende an, noch dazu im Verfahren gegen einen “global player” mit Sitz außerhalb der EU.
Zudem gibt das Urteil des zweithöchsten englischen Gerichts Anlass, auch die Haltung der deutschen Gerichte zum Schadensersatz bei Datenschutzverstößen auf den Prüfstand zu stellen. Denn der Court of Appeal argumentiert unmittelbar mit der EU-Datenschutzrichtlinie, die auch für die Auslegung des Bundesdatenschutzgesetzes maßgeblich ist.
Sachverhalt: Google trackte heimlich Apple-Nutzer
Dem Verfahren liegen Datenschutzverstöße im Zusammenhang mit dem Google-Dienst “DoubleClick” zugrunde. Dieser Dienst verfolgt mithilfe von Cookies das Surfverhalten von Internetnutzern, um maßgeschneiderte Werbung schalten zu können. Google förderte dieses Tracking nach Kräften. Dazu wurden 2011/2012 die DoubleClick-Tracking-Cookies bei Nutzern platziert, welche die Suchmaschine nutzten oder sonst die Google-Domain aufriefen (sofern sie dem Tracking nicht per Opt-Out widersprochen hatten). Auf technische Probleme stieß Google allerdings bei Browsern mit hohen Sicherheitseinstellungen. Insbesondere lehnte der Apple-Browser Safari standardmäßig “Third-Party-Cookies” ab. Dies hinderte Google, beim Aufruf der Google-Domain die “fremden” DoubleClick-Cookies abzulegen. Google versicherte daher auch öffentlich, dass beim Aufruf von Google durch Safari-Nutzer kein Tracking durch DoubleClick erfolge. Konsequent bot Google hierfür auch kein Opt-Out an.
Insgeheim hatten die Programmier von Google die Sicherheitsmaßnahmen des Safari-Browsers aber bereits aktiv umgangen. Statt des DoubleClick-Cookies wurde ein spezielles Google-Cookie platziert (bekannt als “Safari-Workaround”), mittels dessen das Tracking auch bei Safari-Nutzern im gewohnten Umfang stattfand. Nur eben mit dem Unterschied, dass diese nicht einmal eine “Opt-Out”-Möglichkeit hatten und Google ihnen explizit sagte, sie würden nicht getrackt.
Google Inc. kann in England verklagt werden
Die erste spannende Frage war, ob die amerikanische Google Inc. überhaupt wegen Datenschutzverstößen vor den Gerichten von England und Wales verklagt werden kann. Dies hing nach den Civil Procedure Rules (insb. CPR PD 6B sec. 3.1(9)) davon ab, ob es sich bei Datenschutzverstößen um einen eigenes Delikt handelte. Der Court of Appeal hat nun klargestellt, dass im Common Law Datenschutzverstöße (“misuse of private information”) mittlerweile als eigener Tatbestand anzusehen sind. Sie sind nicht mehr nur bloße Vertraulichkeitsverletzungen (“breach of confidence”), die keine Zustellung der Klage im Ausland ermöglicht hätten.
Die englischen Gerichte haben somit durch Rechtsfortbildung private Klagen zur Durchsetzung der EU-Datenschutzregeln gegen amerikanische Unternehmen möglich gemacht. Damit soll ausdrücklich auch dem Grundrecht auf Achtung des Privat- und Familienlebens aus Art. 8 EMRK (Europäische Menschenrechtskonvention) Geltung verschaffen werden. Wenn die Gerichte anderer Mitgliedstaaten diesem Beispiel folgen, wird dies den Compliance-Druck auf US-Unternehmen signifikant erhöhen. Hierzu werden wir bald mehr wissen: Die Frage der Zuständigkeit stellt sich aktuell auch in der von Maximilian Schrems geführten Sammelklage gegen Facebook vor dem Landgericht Wien.
Schadensersatz auch ohne Vermögensschaden
Die zweite Verteidigungsposition von Google war, dass die Kläger keinen materiellen Schaden erlitten hatten. Dahinter steht ein altbekanntes Problem des Datenschutzrechts. Viele Datenschutzverstöße verletzen zwar die Privatsphäre bzw. das Recht auf informationelle Selbstbestimmung. Einen geldwerten Verlust erleiden die Betroffenen aber oft nicht. Rein “immaterielle” Schäden sind aber nach vielen Rechtsordnungen nur eingeschränkt ersatzfähig (vgl. im deutschen Recht § 253 Abs. 1 BGB).
In der Tat hätten auch die Tracking-Opfer – die keinen Vermögensverlust erlitten hatten – nach dem britischen Gesetz leer ausgehen müssen. Denn nach dem britischen Data Protection Act werden immaterielle Schäden bei Datenschutzverstößen nur ersetzt, wenn auch ein materieller Schaden entstanden ist (sec. 13(2) Data Protection Act UK).
Der Court of Appeal prüfte diese britische Vorschrift jedoch auf Vereinbarkeit mit der zugrunde liegenden EU-Datenschutzrichtlinie. Diese sieht in Art. 23 vor, dass bei Datenschutzverstößen die Betroffenen gegen die Verantwortlichen einen Anspruch auf Ersatz ihrer Schäden haben. Eine Beschränkung auf materielle Schäden ergibt sich aus dem Wortlaut der Richtlinie nicht. Der Court of Appeal hat Art. 23 der Richtlinie nun sorgfältig ausgelegt – mit dem Ergebnis, dass er nach dem Sinn und Zweck einen Schmerzensgeldanspruch vorsieht:
Since what the Directive purports to protect is privacy rather than economic rights, it would be strange if the Directive could not compensate those individuals whose data privacy had been invaded by a data controller so as to cause them emotional distress (but not pecuniary damage). It is the distressing invasion of privacy which must be taken to be the primary form of damage (commonly referred to in the European context as “moral damage”) and the data subject should have an effective remedy in respect of that damage.
Folglich erklärte der Court of Appeal in diesem Punkt das britische Gesetz für unvereinbar mit der EU-Datenschutzrichtlinie. Im Ergebnis war der Ausschluss reinen Schmerzensgeldes in sec. 13(2) DPA unanwendbar. Damit war der Weg frei für einen Schadensersatzanspruch der Kläger (nach sec. 13(1) DPA).
Beobachter sehen Google vor Klagewelle
Wegen des “Safari Workarounds” hatte Google in den Vereinigten Staaten schon zweimal Vergleiche hinnehmen müssen: 2012 über 22 Millionen US-$ mit der Federal Trade Commission, und 2013 über 17 Millionen US-$ im Zuge von Verbraucherklagen. Die Folgen des Urteils des Court of Appeal könnten noch weiter reichen. Laut britischen Rechtsexperten können britische Privatleute nun Klagen für Datenschutzverstöße geltend gemacht werden, die bis zu sechs Jahre zurückliegen. Die denkbaren Schadensersatzsummen könnten die Bußgelder der Datenschutzaufsicht ICO (bis zu 500.000 Pfund) winzig aussehen lassen.
Auch deutsche Rechtslage muss überdacht werden
Die klare Auslegung von Art. 23 EU-Datenschutzrichtlinie sollte auch bei deutschen Gerichten zu einem Umdenken führen. Diese Vorschrift ist durch §§ 7 und 8 BDSG in das deutsche Recht umgesetzt. Diese werden (durch Rückschluss aus § 8 Abs. 2 BDSG) weithin so ausgelegt, dass gegen nichtöffentliche Stellen kein Anspruch auf Ersatz immaterieller Schäden besteht (z.B. OLG Zweibrücken, Urt. v. 21.02.2013 – 6 U 21/12). Schmerzensgeld gibt es nur ausnahmsweise bei schweren Persönlichkeitsrechtsverletzungen (z.B. bei Videoüberwachung) durch Rückgriff auf die BGB-Vorschriften.
Folgt man also dem Court of Appeal, setzt auch Deutschland die Richtlinie bisher nicht korrekt um. § 7 BDSG muss richtlinienkonform ausgelegt werden – im Sinne eines grundsätzlichen Anspruchs auf Schmerzensgeld bei Datenschutzverstößen. Dies wäre auch ein starkes Signal für den Datenschutz gerade gegenüber multinationalen Konzernen, die die von den Behörden verhängten Bußgelder aus der Portokasse bezahlen.
Bild: (c) N Chadwick, CC-BY-SA 2.0