2019 berichtete Wortfilter über ein massives Datenleck bei MasterCard. Es wurden fast 100.000 Daten für jeden einsehbar gemacht. Wortfilter veröffentlichte auch die Quelle, sodass Betroffene sie als Schutzrechtsinhaber melden konnten. Nun beschäftigt der Fall Gerichte, so berichtet die FAZ.
Im Nachgang schob das Kreditkartenunternehmen die Schuld auf Fehler, welche bei einem Drittpartner passiert sein sollen. Trotzdem wurde MasterCard von betroffenen Verbrauchern auf Schadenersatz verklagt. Sie sahen einen schuldhaften Verstoß des Unternehmens und wollten sich Schmerzensgeld erstreiten.
Zunächst: Wie hat der Fall Wortfilter betroffen?
Die Veröffentlichung der Quelle und die nicht anonymisierte Darstellung eines Screenshots der Daten in dem Artikel brachte Kritik ein. Nutzer zeigten den Vorfall dem Landesdatenschutzbeauftragten Rheinland-Pfalz und der Polizei an. Beides hatte keine Konsequenzen, der Blog ist ein Pressemedium und unterliegt somit dem Presseprivileg. Das war zu erwarten, denn die Veröffentlichung geschah erst nach erfolgter Prüfung des Artikels durch eine Rechtsanwaltskanzlei.
(Der Screenshot wurde nach Löschung der Daten auf File Dropper nun auch anonymisiert)
Vor den Gerichten kaum eine Chance
Eine einheitliche Rechtsprechung gibt es nicht und einen Schadenersatz einzig wegen der Datenveröffentlichung ist auch schwer durchzusetzen. Auch ein schuldhaftes Verhalten ist kaum nachzuweisen, da MasterCard ja nicht seine Verträge mit Drittanbietern veröffentlichen muss.
MasterCard vor den BGH gezerrt
Unter dem Aktenzeichen 9 U 34/21 ist ein Nutzer vor dem OLG Stuttgart nicht erfolgreich gewesen und hat Revision vor dem BGH eingefordert, damit die Frage des Schadenersatzes höchstrichterlich geklärt werden kann. Hier sind zwei Aspekte wichtig, über die der BGH entscheiden kann: Einmal die Beweislastumkehr, also die Offenlegung der Drittpartnerverträge, und dann der Schadenersatz. Hier geht es um die Frage, ob das nun eine Bagatelle ist oder nicht.
Was kann ein Urteil oder Beschluss nun bedeuten?
Nicht nur in diesem Fall wird ein Beschluss Signalwirkung haben, denn es geht ja auch um die grundsätzliche Frage des Schadenersatzes. Für euch als Händler kann das kniffelig werden, sofern ihr einmal von einem solchen Ereignis betroffen seid. Wir erinnern uns an den Fall ›4sellers‹. Im Gegensatz zu einem empfindlichen Bußgeld richtet sich ein Schadensersatz nämlich nicht nach eurer wirtschaftlichen Leistungsfähigkeit. Und es darf sicherlich hinterfragt werden, ob eure Verträge mit Drittanbietern, also z. B. euren ERP-/Wawi-Dienstleistern, für euch vorteilhaft formuliert sind. Das sind Risiken, die ihr in der Regel verdrängt. Sie sind eine tickende Zeitbombe, die hoffentlich bei niemandem von euch jemals explodiert.
DSGVO-Obliegenheiten gehören – auch wenn es kaum jemand so sehen möchte – zu echten und realen existenzgefährdenden Risiken in eurem Business. Erinnert ihr euch noch an das Mailchimp-Urteil? Wie und wo lagert euer Newsletter-Dienstleister eure Daten? Und habt ihr euch schon einmal genau die Funnel-Systeme, z. B. der Coaches, angeschaut?
