Das Datenleck beim Kreditkartenunternehmen Mastercard dürfte bald die Gerichte beschäftigen. Zu Wochenbeginn waren vorübergehend persönliche Daten Zehntausender Mastercard-Kunden frei zugänglich im Internet aufgetaucht. Nun zeichnet sich ab, dass etliche Betroffene auf Schadensersatz klagen könnten. „Wir helfen Opfern von Datendiebstählen“: Mit diesem Slogan richtet sich die Europäische Gesellschaft für Datenschutz (EuGD) an Betroffene. Was nach einem gemeinnützigen Verein klingt, ist ein Unternehmen, das im Februar dieses Jahres in München gegründet wurde und gegenwärtig sechs Mitarbeiter hat. Geschäftsführer Johann Hermann, 44, arbeitet seit fast 20 Jahren in der Digitalwirtschaft. Nun will er Geschädigten von Datenmissbrauch helfen – und damit Geld verdienen.
WirtschaftsWoche: Herr Hermann, wie viele Ihrer Mandanten haben bereits Geld durch das Datenleck bei Mastercard verloren?
Johann Hermann: Davon ist uns noch nichts bekannt. Auf unserer Plattform registrieren wir aber großen Zulauf, seit das Datenleck am Montag bekannt geworden ist. Knapp 1000 Nutzer haben sich angemeldet, um den Fall prüfen zu lassen und gegebenenfalls ihr Recht durchzusetzen.
Warum sollten Kunden, denen kein Schaden entstanden ist, auf Schadensersatz klagen?
In der Datenschutzgrundverordnung, die im Mai 2018 in Kraft getreten ist, ist verankert, dass jede Person auch bei immateriellem Schaden Recht auf Schadensersatz hat. Die Kunden müssen also nicht zwingend Geld verloren haben, um Ansprüche geltend zu machen.
„Immaterieller Schaden“ – das klingt sehr schwammig.
Der Gesetzgeber hat bewusst abstrahiert, um verschiedene Anspruchsgrundlagen einzubeziehen. Ich verweise auf Diskussionen in Internetforen zum Datenleck bei Mastercard: Viele hat der Vorfall nervös und ängstlich gemacht. Kunden müssen ihre Karten sperren lassen, neue Karten beantragen, neue Kartendaten hinterlegen und so weiter. Außerdem können Kriminelle die Kundendaten von Mastercard ideal für Phishing-E-Mails verwenden...
... also gefälschte E-Mails, die den Empfänger unter einem Vorwand dazu bringen sollen, Zugangsdaten samt PIN preiszugeben. Gibt es denn ähnliche Fälle, in denen Kläger Erfolg hatten?
Ein österreichisches Gericht hat einem Kunden der österreichischen Post im Juli 800 Euro Schadenersatz zugesprochen, weil die Post sensible persönliche Daten – etwa seine Neigung zu einer politischen Partei – gespeichert hatte. Da sind nicht mal Daten verloren gegangen, es ging um das bloße Verarbeiten und Speichern. Wir haben beim Amtsgericht Frankfurt eine erste Klage in einem anderen Fall eingereicht, in dem Daten von 327 Millionen Kunden des US-Hotelkonzerns Marriott widerrechtlich veröffentlicht wurden. Weitere Klagen bereiten wir vor. Die Marriott-Juristen haben unsere Klage mit einer 14-seitigen Erwiderung beantwortet, die kein Laie verstehen kann. Deswegen arbeiten wir mit speziell auf Datenschutz spezialisierten Partneranwälten zusammen.
Wie weist man immaterielle Schäden nach?
Mit Zahlen ist das nicht möglich, sonst wären es ja materielle Schäden. Nach einer gängigen Definition geht es nicht um Vermögensschäden, sondern Schäden, die Körper, Freiheit, Ehre oder zum Beispiel das Grundrecht auf informationelle Selbstbestimmung betreffen. Wenn eine Postanschrift öffentlich wird, kann man das vielleicht als Bagatellfall abtun. Aber Zahlungsdaten in Kombination mit E-Mail-Adressen sind Daten, die extrem schützenswert sind.
Öffnet die Datenschutzgrundverordnung (DSGVO) damit nicht Tür und Tor für eine Klageflut?
Es liegt an den Gerichten, zu entscheiden, wofür man einen Schaden geltend machen kann. Es wird sicher Fälle geben, bei denen auch wir sagen: Das bringt nichts. Aber ich gehe davon aus, dass der Fall Mastercard definitiv über diese Bagatellgrenze hinausgeht.
Man kann sagen: Die DSGVO gibt Ihnen die Möglichkeit, aus Datenschutz ein Geschäft zu machen.
Man kann aber auch sagen: Wir setzen Verbraucherrechte durch. Und daraus haben wir eine Dienstleistung gemacht, ähnlich wie Flightright bei der Entschädigung für Flugverspätungen. Flightright hat erreicht, dass es inzwischen klare Regeln für die Höhe des Schadenersatzes gibt, der Fluggästen zusteht.
Nutzer können bei Ihnen kostenlos prüfen lassen, ob sie betroffen sind. Aber sie können längst anderswo feststellen, ob ihre E-Mail-Adresse im Internet gehandelt wird, zum Beispiel mit dem Identity Leak Checker des Hasso-Plattner-Instituts (HPI). Wozu brauchen die Sie?
Das kann man jederzeit machen. Aber wenn man betroffen ist, muss der nächste Schritt kommen: die Klage. Da hilft das HPI nicht weiter.
Wie prüfen Sie, ob Nutzer von einem Datenleck betroffen sind?
Wir schreiben das Unternehmen, in diesem Fall Mastercard, direkt an. Gesetzlich sind die Unternehmen dann zur wahrheitsgemäßen Auskunft verpflichtet. Je nach Sachlage ist der nächste Schritt dann die Klage ....
... an der Sie bei Erfolg mitverdienen. Doch laut der für Mastercard zuständigen Landesdatenschutzbeauftragten Hessen ist Mastercard seiner Meldepflicht rechtzeitig nachgekommen. Ist der Aufruf zu Schadenersatzklagen angesichts dessen nicht doch eher Panikmache?
Das sehe ich komplett anders – und das eine hat auch nichts mit dem anderen zu tun. Seit Tagen diskutieren Leute, die uns gar nicht kennen, in Internetforen den Fall. Die Panik ist also schon da. Außerdem betrifft die Meldung nur die Seite der Aufsichtsbehörden. Dabei muss Mastercard auch die Kunden innerhalb von 72 Stunden direkt informieren. Das ist unseres Wissens nicht passiert. Und was den Schadenersatz angeht: Bislang war es so, dass Aufsichtsbehörden Bußgelder verhängt haben, zum Beispiel gegen Facebook. Aber davon hat der Geschädigte nichts.
Wann rechnen Sie mit Urteilen?
Mastercard hat eine gesetzliche Frist von einem Monat, um auf die Auskunftersuchen unserer Anwälte zu antworten. Die betroffenen Kunden können dann zusammen mit dem Anwalt entscheiden, welche weiteren Schritte sie einleiten wollen. Im Fall Marriott sind wir schon weiter. Ich hoffe, dass es noch in diesem Jahr ein erstes Urteil geben wird.
