Mit Jahresende 2024 hat ein Datenskandal den Automobilhersteller Volkswagen (VW) in Bedrängnis gebracht. Was wir bisher wissen und was auf VW und seine Kunden zukommen kann, habe ich hier zusammengefasst.
1. Was wir bisher wissen (Stand 28.12.2024)
Die hier dargestellten Informationen fußen auf den unten genannten Quellen. Es gibt daher noch keine stichhaltigen gerichtsfesten Informationen, daher ist die Darstellung mit entsprechender Vorsicht zu lesen.
Welche Daten wurden von VW erfasst und wie gelangten sie ins Netz?
Der Chaos Computer Club (CCC) enthüllte, dass VW offenbar Bewegungsdaten von Hunderttausenden Fahrzeugen der Marken VW, Audi, Skoda und Seat systematisch erfasste und über längere Zeiträume speicherte. Diese Daten, einschließlich präziser Standortinformationen und Zeitpunkte des Abschaltens der Zündung, waren ungeschützt im Internet zugänglich. Besonders brisant: Die Daten ließen Rückschlüsse auf das Privatleben der Fahrzeughalter:innen zu und waren mit weiteren personenbezogenen Informationen verknüpft.
Wer war von diesem Datenleck betroffen?
Betroffen waren offenbar nicht nur Privatpersonen, sondern auch Institutionen wie Fuhrparkverwaltungen, Vorstände und Aufsichtsratsmitglieder von DAX-Konzernen sowie diverse Polizeibehörden in Europa. Beispielsweise wurden Bewegungsdaten von 35 elektrischen Streifenwagen der Hamburger Polizei erfasst und auf der VW-Plattform für Dritte einsehbar gespeichert. Zudem fanden sich Datensätze aus dem Parkhaus des Bundesnachrichtendienstes (BND) und vom Militärflugplatz der United States Air Force in Ramstein.
Welche rechtlichen Bestimmungen wurden verletzt?
Derzeit bestehen freilich nur Mutmaßungen, denn es bedarf einer gründlichen Aufarbeitung. Allgemeinhin kann jedoch gesagt werden, dass die systematische Erfassung und ungeschützte Speicherung solcher Daten gegen mehrere Datenschutzgesetze, insbesondere die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verstoßen würde. Gemäß Art. 5 Abs. 1 lit f DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust. Genauer spezifiziert dies Art. 32 DSGVO (“Sicherheit der Verarbeitung”). Die ungeschützte Speicherung der Daten im Internet würde damit einen Verstoß gegen diese Bestimmungen darstellen.
Welche Maßnahmen wurden nach der Entdeckung ergriffen?
Nach der Aufdeckung durch den CCC reagierte offenbar die VW-Tochter Cariad, verantwortlich für die Datenerfassung, zügig und schloss die Sicherheitslücke. Der CCC lobte die schnelle Reaktion, betonte jedoch, dass das grundlegende Problem in der massenhaften Erhebung und langfristigen Speicherung solcher Daten liege. Der Sprecher des CCC kommentierte: “Das Problem ist, dass diese Daten überhaupt erhoben und über einen so langen Zeitraum gespeichert werden. Dass sie obendrein schlecht geschützt waren, setzt dem Ganzen nur die Krone auf.”
Welche Auswirkungen hat der Skandal auf die digitale Wirtschaft?
Der Vorfall bei VW unterstreicht leider einmal mehr die Bedeutung von Datenschutz und Datensicherheit in der digitalen Wirtschaft. Unternehmen, die digitale Dienste anbieten, müssen sicherstellen, dass sie den gesetzlichen Anforderungen entsprechen und das Vertrauen ihrer Kunden nicht missbrauchen. Es braucht ein höheres Bewusstsein für Datenschutzpraktiken.
Quellen
- Chaos Computer Club: “Wir wissen, wo dein Auto steht” – CCC
- Netzwelt: “Datenleck bei VW: Bewegungsdaten von E-Autos standen ungeschützt im Netz” Netzwelt
- ComputerBase: “Datenleck bei Volkswagen: Bewegungsdaten von Hunderttausenden VW-Kunden offen im Netz” ComputerBase
- Spiegel: “Wir wissen, wo dein Auto steht” – Spiegel.de
2. Was auf VW zukommen kann – Schadenersatzansprüche iSd DSGVO
Bei einem pessimistischen Blick auf den VW Konzern kann man davon ausgehen, dass er mit Schadenersatzansprüchen zwischen 500 und 1000 EUR pro Betroffener konfrontiert sein wird.
Doch was ist die diesbezügliche Grundlage? Sie liegt in der DSGVO, nämlich in Art. 82.
Art. 82 DSGVO sieht vor, dass jede Person, die durch einen Verstoß gegen die Verordnung einen Schaden erlitten hat, Anspruch auf Schadenersatz hat. Dieser Anspruch gilt sowohl für materielle als auch für immaterielle Schäden. Ziel ist es, nicht nur einen Ausgleich für erlittene Nachteile zu schaffen, sondern auch eine abschreckende Wirkung zu erzielen, um weitere Verstöße unattraktiv zu machen.
Was ist die rechtliche Grundlage für Schadenersatzforderungen?
Das Europarecht betont, dass der Begriff „Schaden“ weit auszulegen ist, um den Zielen der DSGVO gerecht zu werden. Hier gibt es keine Bagatellgrenze: Auch geringfügige Beeinträchtigungen können einen ersatzfähigen immateriellen Schaden darstellen. Beispiele sind Kontrollverlust über persönliche Daten, unzumutbare Belästigungen oder Rufschädigungen (siehe weiter unten).
Welche Konsequenzen könnten sich für VW aus dem Datenleck ergeben?
Volkswagen steht vermutlich vor der Herausforderung, sich wohl einer Vielzahl potenzieller Schadensersatzklagen zu stellen:
- Einzelklagen von Betroffenen: Privatpersonen, deren Bewegungsdaten offengelegt wurden, könnten Ansprüche geltend machen, indem sie darlegen, wie sie durch den Datenverlust beeinträchtigt wurden. Immaterielle Schäden, wie der Kontrollverlust über sensible Daten oder die Angst vor Missbrauch, sind besonders relevant.
- Verbands- und Musterfeststellungsklagen: Verbände könnten im Namen einer größeren Gruppe von Betroffenen klagen, ähnlich wie im Abgasskandal. Solche Klagen sind effizient, da sie zahlreiche Ansprüche bündeln.
- Schadenersatzsummen: Angesichts der weiten Auslegung des Schadensbegriffs und der Rechtsprechung zu DSGVO-Verstößen könnte zumindest die Summe aller Beträge empfindlich hoch ausfallen.
Wie hoch ist die Beweislast für Betroffene und VW?
Art. 82 Abs. 3 DSGVO legt die Beweislast für die Rechtmäßigkeit der Datenverarbeitung auf VW. Das Unternehmen muss nachweisen, dass kein Verschulden vorliegt. Das könnte schwierig sein, wenn die IT-Schwachstelle bereits seit längerem bekannt gewesen wäre. Betroffene hingegen müssen den Schaden und die Kausalität zwischen Datenschutzverstoß und Beeinträchtigung nachweisen. Dies könnte angesichts der offenkundigen Datenpanne relativ einfach sein.
Was bedeutet das für den VW-Konzern?
Die mögliche Vielzahl von Schadenersatzforderungen könnte VW erheblich belasten.
Neben den direkten finanziellen Konsequenzen drohen auch Imageschäden, die langfristig das Vertrauen in den Konzern weiter untergraben könnten.
Letztlich unterstreicht der Fall die Notwendigkeit, Datenschutz- und IT-Sicherheitsmaßnahmen im gesamten Unternehmen zu verbessern, um zukünftige Vorfälle zu vermeiden.
3. Gibt es Präzedenzfälle aus Österreich, wo VW verurteilt wurde?
Volkswagen ist nicht zum ersten Mal mit massiven rechtlichen Konsequenzen konfrontiert, auch nicht aus österreichischer Sicht. Der Oberste Gerichtshof (OGH) in Österreich hat den Konzern im Rahmen des Abgas-Skandals zu Schadenersatz verpflichtet.
Ausgangspunkt war die Entscheidung C-100/21 des Europäischen Gerichtshofs (EuGH), die bestätigte, dass VW auch ohne direkte vertragliche Beziehung zu den Käufer:innen haftet, da ein Verstoß gegen die EU-Verordnung 715/2007/EG vorliegt.
Darauf basierend hat der OGH im 25.April 2023 (10 Ob 2/23a) entschieden, dass eine Verletzung von Schutznormen vorliegt.
Was bedeutet das für VW im Datenskandal?
Nun öffnet sich vermutlich eine weitere rechtliche Flanke für Volkswagen. Denn Gerichte sind zunehmend bereit, Hersteller auch bei fehlender direkter Vertragsbeziehung zur Verantwortung zu ziehen. Die Parallelen zum aktuellen Datenskandal sind dabei durchaus naheliegend. Denn erstens haben Käufer:innen laut OGH einen Anspruch darauf, dass ihr Fahrzeug rechtskonform betrieben werden kann. Im Datenskandal würde sich analog ein Anspruch darauf ergeben, dass personenbezogene Daten sicher verarbeitet und gespeichert werden. Im Abgas-Skandal wurde Schadenersatz zugesprochen, da die Nutzungsmöglichkeit der Fahrzeuge aufgrund der unzulässigen Abschalteinrichtung rechtlich unsicher war. Im Datenskandal könnten ähnliche Unsicherheiten, wie der Kontrollverlust über personenbezogene Daten, eine Grundlage für Schadensersatzansprüche bilden.
4. DSGVO-Schadenersatz bei Kontrollverlust und Unwohlsein
Die Frage, wann Betroffene bei Datenschutzverstößen Anspruch auf Schadensersatz haben, hat der Europäische Gerichtshof (EuGH) gerade im letzten Jahr maßgeblich konkretisiert. Die Entscheidungen heben hervor, welche Kriterien für die Annahme eines Schadens und dessen Höhe relevant sind. Nationale Gerichte setzen diese Vorgaben zunehmend um, doch Unterschiede in der Anwendung bleiben.
Entscheidung C-687/21 (25. Januar 2024): Kontrollverlust und hypothetische Schäden
In der Entscheidung C-687/21 stellte der EuGH klar, dass ein rein hypothetisches Risiko eines Datenmissbrauchs, wie etwa die Möglichkeit, dass ein unbefugter Dritter Zugriff auf Daten erlangt, keinen Schaden im Sinne von Art. 82 DSGVO darstellt. Es genügt nicht, abstrakte Ängste oder Unwohlsein zu schildern. Allerdings kann ein Schaden vorliegen, wenn Betroffene begründete Befürchtungen haben, dass ihre Daten tatsächlich missbräuchlich genutzt wurden, etwa durch unbefugte Weitergabe. Der EuGH trennte hierbei strikt zwischen einem DSGVO-Verstoß und dem Schaden selbst.
Entscheidung C-741/21 (11. April 2024): Abgrenzung von Verstoß und Schaden
In C-741/21 stellte der EuGH klar, dass ein Verstoß gegen die DSGVO allein keinen immateriellen Schaden begründet. Er hob hervor, dass der Schadensersatz nach Art. 82 DSGVO lediglich eine Ausgleichsfunktion erfüllt und keine Straffunktion hat. Kriterien, die zur Bemessung von Bußgeldern gemäß Art. 83 Abs. 2 DSGVO herangezogen werden, dürfen daher nicht zur Bestimmung der Höhe des Schadensersatzes verwendet werden.