Ein bisschen betroffen gibt’s nicht

„Daten sind das neue Öl.“  Als Kiran Bhageshpur diesen Gedanken in einem Beitrag für den britischen ‚Economist’ 2017 formulierte, war er revolutionär. Weil Daten, im Gegensatz zu Öl, ein nichtmaterielles Gut sind. Man musste schon visionäre Fähigkeiten haben, damals, um diesem abstrakten Stoff einen durchschlagen Einfluss auf die Weltwirtschaft vorherzusagen. Und den Firmen, die den Umgang mit diesem Stoff beherrschen, eine erstaunliche Macht.
Inzwischen haben wir uns als Smartphone-Besitzer und Internet-Nutzer an diesen Gedanken gewöhnt – eher schulterzuckend als zustimmend.

Dabei sind die Konsequenzen der Datensammlung und -verwendung alles andere als trivial. Um das zu verstehen, muss man sich nur in einer ruhigen Minute die Historie der eigenen Lieblings-Suchmaschine anschauen. Jeder Suchlauf signalisiert ein Interesse, gibt Auskunft über Wünsche und Bedürfnisse, über Hobbys und Vorlieben. Aber womöglich auch über Krankheiten, Sorgen oder Nöte. Auch ein Blick auf die eigenen Bestellungen im Online-Warenhaus der Wahl über einen Zeitraum mehrerer Jahre ist aufschlussreich, ergibt ein Bild. Je mehr Daten, desto schärfer das Bild.
Der Gedanke mag nicht angenehm sein, ist aber mit Sicherheit berechtigt: Google und Amazon, Microsoft und Apple kennen uns viel besser, als wir uns in unseren pessimistischsten Momenten vorstellen können. Und Wissen ist Macht.

Na und, mag man sagen, ich habe schließlich nichts zu verbergen. Das kann wohl so sein. Aber was ist, wenn meine Daten, wenn Kreditkarten-Informationen, Kontonummern oder gar Passwörter von Hackern gestohlen werden, in falsche Hände geraten? Wenn meine Identität gekapert wird, wenn plötzlich Fremde in meinem Namen agieren?
Aber es muss gar nicht um kriminelle Machenschaften gehen, bevor gewisse Dinge nachdenklich stimmen. Dass mein Profil bestimmt, welche Angebote mir gezeigt werden – und welche Informationen. Dass damit meine Wahlfreiheit eingeschränkt wird und meine Fähigkeit, mir eine fundierte Meinung zu bilden. Dass ich aufgrund meines Profils nicht nur besser bedient, sondern auch benachteiligt werden kann – weil ich aus Sicht eines Anbieters oder potenziellen Arbeitgebers zu alt bin, die falsche Hautfarbe habe oder die falsche Herkunft.

Die Verwendung der über mich gesammelten Daten entspricht – gelinde ausgedrückt – nicht immer meinen Interessen. Die Folgen können belanglos sein, aber auch manipulativ und destruktiv. Deshalb nimmt das Thema Sicherheit von persönlichen Daten in der deutschen und europäischen Gesetzgebung eine prominente Stellung ein.
Auch wenn die Bemühungen der Aufsichtsgremien zuweilen an Hase und Igel erinnern: Für den Einzelnen sind sie zum Schutz der eigenen Privatsphäre dringend notwendig. Für Firmen haben Fehler gravierende Konsequenzen. In schwerwiegenden Fällen können Verstöße mit einer Strafe von bis zu vier Prozent des Jahresumsatzes geahndet werden.
Prominentes Beispiel ist die Modekette H&M. Wegen unzulässiger Überwachung von Mitarbeiter:innen in einem Service-Center wurde gegen die Firma im September 2020 ein Rekordbußgeld von mehr als 35 Millionen Euro verhängt. Laut statistica.com erreichten die Strafen aufgrund von Datenschutzverstößen in Deutschland 2021 insgesamt eine Rekordhöhe von 1,3 Milliarden Euro.

Die Mühlen der Gesetzgebung mögen langsam mahlen, aber sie mahlen gründlich. Jüngstes Beispiel ist das Urteil des Europäischen Gerichtshofs (EuGH) vom 4. Mai dieses Jahres. Es bezieht sich nicht auf die Ahndung eines Verstoßes mittels Bußgeld. Sondern auf den Schadenersatz, den Betroffene eines Datenlecks oder Verstoßes gegen die Datenschutzgrundverordnung geltend machen können. Während für eine Strafe der bloße Verstoß gegen das Gesetz maßgeblich ist, setzt der Anspruch auf Schadenersatz einen Schaden voraus, sei er materiell oder immateriell oder beides.
Der EuGH hat in seinem Urteil drei Voraussetzungen für Schadenersatz aufgrund von Datenschutzverletzungen definiert:

• Es muss ein Verstoß gegen die Datenschutzgrundverordnung vorliegen.
• Es muss ein materieller oder immaterieller Schaden entstanden sein.
• Schaden und Verstoß müssen kausal zusammenhängen.

Besonders bedeutsam an dem Urteil ist, dass ein immaterieller Schaden keine Erheblichkeitsschwelle überschreiten muss. Im Klartext: Bei einem Datenleck stellt bereits der Verlust der Kontrolle über die Daten einen immateriellen Schaden dar. Betroffene müssen also nicht gesondert nachweisen, dass sie aufgrund des Datenlecks Belästigungen wie Spam-Mails oder gar Betrugsversuchen ausgesetzt waren.
Für Unternehmen ist bedeutsam, dass ein Gesetzesverstoß allein nicht als Grundlage für eine Schadenersatzklage ausreicht, sondern ein Schaden entstanden sein muss.

Auch wenn wir bei ownSoft keine Juristen, sondern Software-Entwickler sind: Das Urteil finden wir sehr interessant, und es ist Wasser auf unsere Mühlen. Weil es erneut unmissverständlich klarstellt, dass wir alle ein Recht auf den Schutz unserer persönlichen Daten haben. Weil es bekräftigt, dass der Verlust persönlicher Daten ein Schaden ist. Und weil es für diesen Schaden keine Schwelle vorsieht.
Ein bisschen betroffen, so die Richter in Luxemburg, gibt’s nicht. Das sehen wir auch so. Und deshalb ist Datensicherheit bei uns nicht nur eine Pflicht.
Sondern Prinzip.