Wie erfahre ich, ob ich von dem Datenskandal betroffen bin?

Facebook hat angekündigt, ab Montag die Nutzer zu informieren, wenn sie von dem Datenskandal betroffen sind. Im Newsfeed der Timeline soll danach ein Link auftauchen, unter dem sämtliche Apps und Homepages aufgelistet werden, die die Nutzer auf Facebook verwenden oder verwendet haben und welche Zugriffe diese Apps haben. Dort sollen die Zugriffe auch entzogen können oder Apps gelöscht werden können.

Kann man  Facebook verklagen, wenn man von dem Datenskandal betroffen ist?

Es gibt in Deutschland Gesetze, die die Datenverarbeitung ohne Zustimmung der Betroffenen grundsätzlich verbieten. Aber Facebook Europa hat seinen Sitz in Irland und entzieht sich somit deutschem Recht. Die irischen Strafverfolgungsbehörden müssten also tätig werden. Nach der bisherigen Rechtsprechung zur Anwendbarkeit der Rechtsordnung sind deutsche Nutzer momentan wohl nur durch das irische Datenschutzrecht geschützt. Und da Cambridge Analytica seinen europäischen Sitz in London, England, hat, wird dann die dortige Rechtsordnung Geltung finden. Erst wenn im Mai die EU-Datenschutzverordnung in Kraft tritt, können sich auch Nutzer im Rahmen ihrer Klagen auf deutsches Recht berufen.

Wenn man aber doch deutsches Recht anwenden könnte, worauf kann man sich berufen?

Nach dem Bundesdatenschutzgesetz (BDSG) hätten die Betroffenen das Recht, dass ihre Daten bei Cambridge Analytica gelöscht werden. Möglichweise steht ihnen auch ein Schadenersatzanspruch zu, wenn es zu einem finanziellen Schaden kam. Das ist aber nicht so leicht nachzuweisen. In Deutschland müssten die Nutzer ihre Rechte individuell geltend machen, die Möglichkeit einer Sammelklage wie in den Vereinigten Staaten besteht aktuell noch nicht. Ein entsprechendes Gesetzesvorhaben, welches im Zuge des Diesel-Skandals begonnen wurde, soll jedoch noch in diesem Jahr und somit vor Verjährung der Ansprüche gegen Volkswagen, geschaffen werden.

Die meisten betroffenen Nutzer leben in den USA. Wie sieht es da aus?

Facebook-Aktionäre und Investoren haben Klage eingereicht. Diese versuchen, mit der Klage ihre Verluste auszugleichen, die sie durch den drastischen Kursabsturz der Facebook-Aktie im Zuge der Datenskandal-Berichterstattung erlitten. Außerdem hat die US-Amerikanerin Lauren Price sowohl Facebook als auch Cambridge Analytica im Namen aller US-Facebook-Nutzer verklagt, deren Daten weitergegeben wurden. Mit ihrer Klage verlangt Price Schadenersatz von Facebook für alle US-Nutzer, deren Daten ohne deren ausdrückliche Einwilligung erlangt wurden. So eine Sammelklage ist in den USA möglich.

Viel Hoffnung setzen Datenschützer in die europäische  Datenschutzgrundverordnung, die am 25. Mai vollständig in Kraft tritt. Was ändert sich dadurch?

Die Datenschutz-Grundverordnung (EU-DSGVO) verpflichtet explizit auch amerikanische Unternehmen, wenn sie  an den jeweiligen lokalen Markt gerichtet sind. Nutzer können sich also im Rahmen einer Klage eindeutig auf die DSGVO berufen – und verschiedene Rechte gegen Unternehmen geltend machen, die ihre Daten verarbeiten. Nutzer haben dann zum Beispiel das Recht auf Vergessenwerden. Danach kann jeder verlangen, dass seine personenbezogenen Daten, die der Datenverarbeiter rechtswidrig besitzt, gelöscht werden. Wenn Cambridge Analytica die Daten am 25. Mai noch besitzt, greift die Datenschutzgrundverordnung ebenfalls.

Kann dann auch ein Schadenersatzanspruch geltend gemacht werden?

Die Nutzer haben dann Anspruch, wenn wenn ihnen ein materieller oder ein immaterieller Schaden (Schmerzensgeld) entstanden ist. Eine Verletzung des Schutzes personenbezogener Daten in dem Ausmaß des aktuellen Facebook-Skandals stellt in jedem Falle einen immateriellen Schaden dar, weil der Verlust der Kontrolle über die eigenen personenbezogenen Daten in höchstem Maß das informationelle Selbstbestimmungsrecht verletzt. Zudem kann man eine Beschwerde bei der zuständigen Aufsichtsbehörde stellen. Dies ist in Deutschland der Bundesdatenschutzbeauftragte.

Welche Aufgabe hat diese Aufsichtsbehörde?

Sie hat die Aufgabe,  zu überwachen, ob die Regelungen zum Datenschutz eingehalten werden. Wenn bestimmte Unternehmen gegen die DSGVO verstoßen oder gegen Anordnungen der Aufsichtsbehörde darf diese Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des Unternehmens verhängen.