Am Montag wurde weithin berichtet, dass Google vor einer „bahnbrechenden“ Klage in Höhe von 3,2 Milliarden US-Dollar steht, weil es angeblich 4,4 Millionen britische iPhone-Nutzer ohne ihr Wissen verfolgt. Google soll zwischen Juli 2011 und August 2012 die Datenschutzeinstellungen in Apples Safari-Browser umgangen haben, um persönliche Daten zu sammeln und einzelne Nutzer zu profilieren.
Aber wird der historische Gruppenanspruch – bekannt als „repräsentative Klage“, in der ein Hauptantragsteller die Interessen einer viel größeren Gruppe vertritt – tatsächlich grünes Licht erhalten? Das ist nicht klar. Im Moment steht die Kampagnengruppe Google You Owe Us, angeführt von dem Verbraucheranwalt und ehemaligen Direktor Richard Lloyd, vor einer Reihe von Herausforderungen bei der Etablierung des Claims.
Dies ist das erste Mal, dass im Vereinigten Königreich eine Sammelklage mit der Hoffnung auf Entschädigung für Fragen des Datenschutzes eingereicht wurde. Der Fall, der derzeit vor dem Obersten Gericht verhandelt wird, wurde gestern auf einen dritten Tag verschoben, wobei Apple in den letzten Tagen eine Reihe von wesentlichen rechtlichen Fragen aufgeworfen hat. Bei der ersten Anhörung ging es um die Frage, ob der Fall innerhalb der Gerichtsbarkeit des Vereinigten Königreichs verhandelt werden konnte.
Nach Angaben des Hauptantragstellers Lloyd suchte Google gestern die Entlassung auf der Grundlage eines fehlenden rechtlichen Präzedenzfalles und argumentierte, dass Einzelpersonen die Entschädigung auf eigene Faust verfolgen sollten. Aber es ist unwahrscheinlich, sagt Lloyd, dass einzelne Verbraucher sogar versuchen würden, einen Riesen wie Google vor Gericht zu bringen, für das, was sie zugeben, wäre eine kleine Forderung, irgendwo in der Größenordnung von ein paar hundert US-Dollar – zumal das britische Rechtssystem den Verlierer verpflichtet, die Kosten der anderen Partei zu tragen.
Aber genau das macht den Fall geeignet, um als Gruppenanspruch vor Gericht gestellt zu werden. „Diese Verstöße verursachen wahrscheinlich bei einer großen Zahl von Menschen Ärger und Unannehmlichkeiten“, sagt Sean Humber, Spezialist für Datenschutz und Partner bei Leigh Day, einer Anwaltskanzlei, die sich auf Gruppenklagen spezialisiert hat. Obwohl sie keine lebensverändernden Folgen haben, sagt er, in einer Welt, in der Datenschutzverletzungen häufiger und aktueller sind, gibt es gute Gründe für solche repräsentativen Behauptungen – die eindeutig nicht auf individueller Basis bekämpft werden.
Und anderswo auf der Welt, sagt Humber, sind solche Fälle bereits etabliert. Obwohl die britische Tradition der repräsentativen Klagen weniger gut erprobt ist, sind sie „in anderen Jurisdiktionen bereits üblich und der Himmel ist nicht eingefallen“, sagt er. Diese Art von Fall, sagt er, spricht ein echtes Problem an: „Was tun Sie, wenn das Gesetz eindeutig gebrochen wurde, die Menschen haben Anspruch auf Entschädigung, aber offen gesagt, wahrscheinlich einen bescheidenen Betrag – und es ist schwer, sonst einen Anspruch geltend zu machen“?
Was sind die Herausforderungen?
Wird der Fall also tatsächlich weitergehen? Auch dafür muss der Antragsteller nachweisen, dass alle 4,4 Millionen iPhone-Nutzer mit dem gleichen Problem konfrontiert sind wie die Verbraucher, so dass ihre Fälle gemeinsam verhandelt werden. Während Google bestreitet, dass der Verlust der Nutzer einheitlich war, argumentieren diejenigen, die den Fall vorbringen, dass die Tatsache der Verletzung von Persönlichkeitsrechten als Lackmustest dienen und es allen Beteiligten ermöglichen sollte, Schadenersatz zu fordern. „Was wir sagen, ist, dass jeder auf die gleiche grundlegende Weise betroffen war, indem seine Datenrechte verletzt wurden“, sagt Lloyd.
Wie genau der „Verlust“ im Zusammenhang mit der Privatsphäre zu quantifizieren ist, ist nicht einfach, aber die Kläger in früheren ähnlichen Fällen argumentierten, dass eine begrenzte Notlage Anlass zu einer geringen Entschädigung gibt. Im vorliegenden Fall argumentiert Google You Owe Us, dass der Verlust der Kontrolle über seine persönlichen Daten einen sinnvollen Anspruch auf eine begrenzte Entschädigung an sich darstellt. Lloyd betont auch, dass Datenverstöße oft vorkommen können und werden, ohne dass die Verbraucher sie für einige Zeit, wenn überhaupt, wahrnehmen – dennoch kommt es zu einem Verlust von Rechten.
Und damit der Anspruch festgestellt werden kann, müsste der Kläger auch den Richter davon überzeugen, dass es einen plausiblen Plan gibt, alle 4,4 Millionen Menschen zu kontaktieren und ihnen den Zugang zu den theoretischen Schäden zu ermöglichen. Die Kampagnengruppe sagt, dass sie ein Programm entwickelt hat, um Einzelpersonen über Social Media zu erreichen, und es ihnen ermöglichen wird, mit Hilfe von persönlichen Daten von Unternehmen wie Google und Apple zu überprüfen, ob sie betroffen sind. Das würde dann deutlich zeigen, ob sie z.B. damals im Besitz einer Apple ID waren.
Die zitierte Zahl von 3,2 Milliarden US-Dollar, sagt Lloyd, stammt eigentlich aus Apples eigenen Berechnungen von etwa 727 US-Dollar pro Person, nach einer überarbeiteten Schätzung, die zwischen beiden Parteien vereinbart wurde, dass 4,4 Millionen Menschen betroffen waren. Diese Zahl bezieht sich wahrscheinlich auf eine Obergrenze der Entschädigung von 750 US-Dollar, die 2013 durch einen Fall namens Halliday vs. Creation Consumer Finance Ltd. festgelegt wurde. Die neue GDPR-Verordnung, die ab Freitag in Kraft tritt, wird es den Anspruchsberechtigten wesentlich erleichtern, den Schadenersatz für nicht monetäre Schäden geltend zu machen.
Was sagt Google?
Tom Price, Google’s Head of Communications, sagt, dass die’repräsentative Klage‘ – ähnlich einer US’Sammelklage‘ – „keinen Wert hat und abgewiesen werden sollte“. Der Fall „bezieht sich auf Ereignisse, die vor über sechs Jahren stattgefunden haben und die wir damals angesprochen haben“, fügt er hinzu. Google hat argumentiert, dass der Fall nicht in Großbritannien verhandelt werden sollte, weil das Unternehmen in Kalifornien ansässig ist und seinen Hauptsitz in Delaware hat – dennoch argumentieren Rechtsanwälte, dass, da das Unternehmen im Vereinigten Königreich tätig ist und der Datenverstoß die Verbraucher in Großbritannien betrifft, es allen Grund gibt, den Fall hier zu verhandeln.
Rechtsexperten gehen davon aus, dass der Fall eine gute Chance hat, da sein rechtlicher Wert bereits in einem kleineren Fall mit sehr ähnlichen Fakten, Vidal Hall gegen Google im Jahr 2015, festgestellt wurde. Es wurde schließlich außergerichtlich beigelegt, wobei Google die Berufung vor dem Obersten Gerichtshof zurückzog, obwohl die Gerichte es für gerechtfertigt hielten, und auch, dass Schadenersatz für Not- und Nichtvermögensschäden in Datenschutzprozessen zugesprochen werden konnte.
Was an diesem Rechtsstreit wirklich interessant ist, sagt Orla Lynskey, Assistenzprofessorin für Recht an der London School of Economics, die sich auf Datenschutz spezialisiert hat, „ist, dass es ein Zeichen dafür ist, dass es bei der Durchsetzung des Datenschutzes kommen wird. Bislang war das Datenschutzrecht weitgehend unzureichend durchgesetzt, da die einzelnen Personen nicht ausreichend organisiert und die Regulierungsbehörden nicht ausreichend ausgestattet waren, um die Macht der Datenriesen zu bekämpfen.
Während den Geldbußen, die von den Regulierungsbehörden im Rahmen der GDPR verhängt werden können, viel Aufmerksamkeit geschenkt wurde, ist „eine ebenso bedeutende Entwicklung“, sagt sie, die Möglichkeit für Einzelpersonen, NGOs und zivilgesellschaftliche Organisationen zu beauftragen, diese Art von repräsentativen Maßnahmen in ihrem Namen zu ergreifen. „Google und andere müssen sich daher an Personen gewöhnen, die auf diese Weise Rechenschaft ablegen“, sagt Lynskey.
In den USA haben zwei Senatoren der Demokraten die Federal Trade Commission (FTC) aufgefordert, „potenzielle irreführende Handlungen und Praktiken zu untersuchen, die von Google verwendet werden, um amerikanische Verbraucher zu verfolgen und zu kommerzialisieren“, indem sie ihre Standortdaten verfolgen, selbst wenn die Standortservices ausgeschaltet sind. Im Jahr 2012 verhängte die FTC eine Geldbuße von 22,5 Millionen Dollar wegen Verstoßes gegen einen Kommissionsauftrag, dass sie keine Cookies im Safari-Browser von Apple verwenden und keine zielgerichteten Anzeigen schalten würde. Damals war dies die größte Strafe, die je von der FTC verhängt wurde.
„Die Gerichte müssen anerkennen“, sagt Lloyd, „dass es buchstäblich keinen anderen Weg gibt, wie Massen von Menschen, die von einem Datenverstoß betroffen sind, Firmen zur Rechenschaft ziehen und Schadenersatz erhalten könnten. Es gibt nichts anderes, was sie realistischerweise tun könnten.“ Den Fall voranzubringen, wäre ein Meilenstein, der den Menschen die Macht gibt, massive Unternehmen zu übernehmen.