Die gute Nachricht für tausende von Mastercard-Kunden ist endlich da: Sie erhalten eine E-Mail, in der ihnen 300 Euro Entschädigung angeboten wird. Dies gilt jedoch nur, wenn sie auf eine Klage verzichten. Im Sommer 2019 waren diese Kunden Opfer eines Datenlecks geworden.
Der Datenschutzvorfall bei Mastercard
Im August 2019 gerieten Namen, Kontonummern, E-Mail-Adressen und in einigen Fällen sogar Anschriften und Telefonnummern der Kunden des Bonusprogramms “Priceless Specials” ins Internet. Mit knapp 90.000 betroffenen Kunden war dies einer der ersten großen Datenschutzvorfälle seit der Einführung der Datenschutzgrundverordnung (DSGVO), die auch das Recht auf Klage bei Verstößen vorsieht.
Schwierigkeiten bei der Durchsetzung von Ansprüchen
Es ist wichtig zu wissen, dass es unerheblich ist, ob tatsächlich ein Schaden entstanden ist. Der unautorisierte Zugriff auf persönliche Informationen reicht bereits aus, um eine Art Schmerzensgeld zu fordern. In der Praxis gestaltet sich dies jedoch oft schwierig, da das Rechtsgebiet noch relativ jung ist. Dies zeigt auch der Fall Mastercard.
Zahlreiche Mastercard-Kunden hatten sich bei sogenannten “Legaltech-Anbietern” wie der Europäischen Gesellschaft für Datenschutz mbH (EuGD) oder Kleinfee registriert, um ihre Ansprüche auf Schadensersatz prüfen zu lassen. In den etwa 20 Verfahren, die von diesen Anbietern geführt wurden, konnte Mastercard bisher alle Forderungen erfolgreich abwehren. Ein Vergleich schien daher unwahrscheinlich.
Die Sichtweise von Mastercard
Mastercard konnte vor Gericht unter anderem argumentieren, dass konkrete Hilfsangebote gemacht wurden, um den Schaden zu begrenzen. Das Unternehmen tauschte beispielsweise kostenlos die Kreditkarten der betroffenen Kunden aus. Darüber hinaus wurden die Daten gemäß den hohen Datenschutzstandards der Kreditkartenbranche behandelt und nicht von Mastercard selbst, sondern von einem Auftragsdienstleister entwendet.
Das Landgericht Karlsruhe bezeichnete den Datenlecks sogar als “Bagatellschaden”, da die gestohlenen Informationen über Essgewohnheiten und Einkäufe bei Discountern “alltäglich und unbedeutend” seien.
Auch das Landgericht und das Oberlandesgericht Stuttgart sprachen einer Kundin, die mit Unterstützung der EuGD mindestens 5.000 Euro Schmerzensgeld forderte, kein Schmerzensgeld zu. Die Klägerin gab jedoch nicht auf und wollte ihren Fall vor den Bundesgerichtshof (BGH) bringen, um die uneinheitliche Rechtsprechung zu klären. Bevor es zu einer Verhandlung kam, einigten sich die Parteien außergerichtlich auf einen Vergleich.
Das Ergebnis: Eine außergerichtliche Einigung für alle
Die Klage vor dem BGH wurde daraufhin zurückgezogen. Auch Kunden, die Kleinfee beauftragt hatten, können nun von dem Vergleich profitieren. Auf der Internetseite Mydealz berichten Nutzer davon, dass sie von Kleinfee kontaktiert wurden, um eine Zahlung im Fall “Mastercard Priceless” zu erhalten.
Legaltech-Anbieter wie Kleinfee und EuGD basieren ihr Geschäftsmodell darauf, bei kleinen Schadensersatzansprüchen aufgrund von Datenschutzvorfällen viele Kläger zu sammeln. Dies ermöglicht ihnen, in Vergleichsverhandlungen Druck auszuüben, ohne jeden Fall vor Gericht zu bringen.
Diese Anbieter übernehmen das finanzielle Risiko der Klagen und erhalten im Erfolgsfall einen Teil der ausgezahlten Schadensersatzsumme. Sowohl Kleinfee als auch EuGD verlangen eine Gebühr von 25 Prozent. In diesem konkreten Fall zahlt Mastercard also sogar 400 Euro an die betroffenen Kunden, von denen 100 Euro an den Legaltech-Anbieter gehen. Laut letzten Angaben des Unternehmens hatten sich etwa 2.000 Klagewillige bei der EuGD angemeldet. Nachträglich können weitere Betroffene leider nicht mehr in den Vergleich einsteigen.
Für die Legaltech-Anbieter ist die außergerichtliche Einigung ein Erfolg, insbesondere angesichts der verlorenen Zivilverfahren in diesem Fall. Dennoch bleibt die erhoffte grundsätzliche Klärung einiger offener Fragen, wie beispielsweise die Frage der Zulässigkeit einer Umkehr der Beweislast, aus.
Kleinfee und EuGD sind auch bei anderen Datenlecks aktiv und werben beispielsweise im Fall des Neobrokers Scalable Capital oder des Musikstreamingdienstes Deezer um Kunden.