Kanada: Rückschlag für Opfer gehackter Datenbanken

Zehntausende Akten mit Finanz- und Beschäftigungsdaten legte die Wirtschaftsauskunftei Transunion Unbefugten offen. Der Hotelkonzern Marriott ermöglichte jahrelang Dritten Zugriff auf Daten hunderter Millionen Hotelgäste – und setzte auch nach Entdeckung der Lücke zwei Monate lang keine Abwehrmaßnahmen. Und bei der Wirtschaftsauskunftei Equifax knackten Hacker überhaupt den Jackpot – woraufhin Equifax-Manager schnell Aktien verkauften, bevor die schlechte Nachricht die Runde machte. Trotz alledem laufen Sammelklagen geschädigter Kanadier gegen die Konzerne ins Leere.

Das geht aus einer Entscheidung des Berufungsgerichts Ontarios, der größten Provinz Kanadas, hervor. Mit je einer Sammelklage gegen Equifax, Marriott und Transunion wollten geschädigte Verbraucher die Unternehmen für ihre unzulängliche IT-Sicherheit zur Verantwortung ziehen und Entschädigungszahlungen für Betroffene erstreiten. Allerdings steht kanadischen Datenschutzrecht weit hinter dem europäischen Standard zurück. Ein explizit einklagbarer Anspruch fehlt.

Wer die Tür offen lässt, ist noch kein Einbrecher

Daher stützten sich die Kläger auf ein altbekanntes Konzept anglo-amerikanischen Gewohnheitsrechts: den Tort of Intrusion Upon Seclusion, der auf das unbefugte Eindringen in geschützte Bereiche abstellt. Doch sowohl die erste Instanz als auch nun die zweite Instanz lehnen das ab: Selbst wenn die Einbrüche in die Computersysteme nur möglich waren, weil die Betreiberfirmen keine angemessenen Sicherheitsvorkehrung hatten, sind die beklagten Firmen selbst nirgends eingedrungen.

Die Klage steht Opfern damit nur gegen die eigentlichen Täter zu, sagt das Berufungsgericht Ontarios. Dass dieser kaum habhaft zu werden ist, tue nichts zur Sache. Für den Datendiebstahl bei Equifax hat die US-Regierung Chinesen angeklagt, die im Auftrag der Regierung der Volksrepublik vorgegangen sein sollen.

Sofern die Entscheidung nicht noch vom Höchstgericht Kanadas aufgehoben wird, haben Ontarier derzeit wenig Handhabe, wenn ihre personenbezogenen Daten bei Unternehmen nicht geschützt werden. Zwar gelten die aktuellen Entscheidungen formal nur in der Provinz, sie haben aber starke Signalwirkung für Gerichte in den anderen Provinzen und den drei Territorien des Landes.

Halbgare Gesetzesnovelle

Theoretisch sind noch juristische Ansprüche wegen Fahrlässigkeit oder Vertragsbruch denkbar, oder wenn konkrete monetäre Schäden nachgewiesen werden können – allerdings ersticken große Unternehmen solche Ansprüche regelmäßig durch Vertragsklauseln im Keim. Der Datenschutzbeauftragte Kanadas kann selbst keine Strafen verhängen, sondern sie nur bei Gericht beantragen. Dabei liegt die Höchstgrenze derzeit bei mageren 100.000 Dollar (zirka 70.000 Euro) – das spürten Marriott, Transunion oder Equifax nicht.

Zwar ist im kanadischen Bundesparlament derzeit ein Gesetzesantrag namens Bill C-27 in Arbeit, der Datenschutz verbessern, mögliche Geldstrafen deutlich erhöhen und Betroffenen den Klageweg gegen schludrige Unternehmen eröffnen soll. Allerdings sollen Betroffene nur dann klagen dürfen, wenn der Datenschutzbeauftragte Kanadas oder ein neues Datenschutztribunal bereits rechtskräftig festgestellt hat, dass Datenschutzrecht verletzt wurde.

Eine solche Feststellung kann Jahre dauern, und Verbraucher können sie nicht erzwingen. Hat der Datenschutzbeauftragte Kanadas also keine Kapazität, sich mit einem bestimmten Hack auseinanderzusetzen, bleibt dessen Opfern der Klageweg auch nach der beabsichtigten Gesetzesnovelle versperrt.

Die Entscheidungen der ersten Instanz, des Ontario Superior Court of Justice:

• Owsianik v. Equifax, 2021 ONSC 4112
• Obodo v. Trans Union, 2021 ONSC 7297
• Winder v. Marriott International, 2022 ONSC 390

Die Leitentscheidung des Court of Appeal for Ontario:

• Owsianik v. Equifax, 2022 ONCA 813, Docket C69995 vom 25. November 2022

(ds)