Verbraucher surfen im Internet, sie tätigen Einkäufe, buchen Reisen und informieren sich über Produkte und Dienstleistungen. Dabei hinterlassen sie dank des Einsatz von Cookies eine digitale Spur, mit denen die Werbewirtschaft ihre Fährte aufnimmt. Oder ein großer Softwaredienstleister schaltete sich dazwischen und bietet gesammelte Daten im Wege des „Real-Time-Bidding“ den Werbetreibenden an. Dadurch entsteht die personalisierte Werbung, die jedem Internetnutzer vertraut ist, aber selten auf seiner Zustimmung beruht.

Nach Ansicht niederländischer Verbraucherschützer ist das ein Verstoß gegen die EU-Datenschutzgrundverordnung (DSGVO). „Jeder hat das Recht, im Internet zu surfen, ohne verfolgt zu werden. Ihr Suchverlauf sollte nicht zum Verkauf angeboten werden“, schreibt die „The Privacy Collective“ auf ihrer Website. Die Aktivisten haben insbesondere die beiden amerikanischen Tech-Konzerne Oracle und Salesforce ins Visier genommen. Dank ihrer Cloud- und IT-Dienstleistungen können viele Unternehmen überhaupt erst im Internet Geld verdienen.

Der Vorwurf: Über den Einsatz von Cookies sollen beide Konzerne ungefragt Milliarden an persönlichen Daten gesammelt haben. Nach der DSGVO muss darüber von Mai 2018 an aber jeder Nutzer informiert werden und einer Weiterverwendung zustimmen.

Klagen in Amsterdam und London

Mitte August hat die Organisation in Amsterdam eine Sammelklage gegen Oracle und Salesforce eingereicht. Eine Stiftung streitet hier für die „Interessen aller Niederländer“, heißt es auf Nachfrage. Eine am London High Court angekündigte Klage verzögert sich nach F.A.Z.-Informationen dagegen noch. „Ich glaube, wir haben das Recht, zu erfahren, wann und wie unsere persönlichen Daten nach der Datenschutzgrundverordnung verarbeitet werden“, erklärt Rebecca Rumbul, die einer Repräsentantenklage für britische Internetnutzer vor Gericht zieht. Sie meint, dass sogenannte AdTech-Cookies durch stillschweigendes Sammeln, Verkaufen oder Aggregieren von Daten über Surf-Aktivitäten im Internet gegen die DSGVO verstoßen.

Als Standort für Sammelklagen gegen internationale Konzerne haben sich die Niederlande schon länger etabliert. In Großbritannien ist die Entwicklung, insbesondere im Zusammenhang mit Datenschutzverstößen, sehr dynamisch. So sieht sich die Hotelgruppe Marriott nach einem Datendiebstahl im Jahr 2018 ebenfalls mit Repräsentantenklage in London konfrontiert. In dem Fall waren Millionen von Hotelbuchungen im Internet veröffentlicht worden; der Kläger wirft Marriott vor, die persönlichen Daten nicht ausreichend geschützt zu haben.

In einem vergleichbaren Fall hatte Google im Herbst 2019 einen Streit vor Gericht verloren. Damals sprachen britische Richter einem Verbraucher Schadenersatz für den Verlust der Kontrolle über Daten zu, auch wenn ihm kein finanzieller Schaden entstanden war. Unter Anwälten wird der Google-Fall als Pilotfall für weitere Sammelklagen nach Datenschutzverletzungen angesehen.

Unternehmen halten Klagen für unbegründet

Auf Nachfrage verwiesen die beklagten Unternehmen darauf, die geltenden Vorschriften zu beachten. „Wir entwerfen und entwickeln unsere Dienstleistungen unter Berücksichtigung des Datenschutzes und stellen unseren Unternehmenskunden Hilfsmittel zur Verfügung, mit denen sie ihren eigenen Verpflichtungen gemäß den geltenden Datenschutzgesetzen – einschließlich der DSGVO – nachkommen können, um die Rechte ihrer eigenen Kunden zu wahren“, erklärte Salesforce. Die Behauptungen der Datenaktivisten hält man für unbegründet.

„The Privacy Collective“ habe wissentlich eine ungerechtfertigte Klage eingereicht, die auf vorsätzlichen Falschdarstellungen der Fakten basierte, wird Dorian Daley, Chefjurist von Oracle, in einer Mitteilung zitiert. Wie man schon zuvor mitgeteilt habe, spiele Oracle keine direkte Rolle bei Echtzeit-Ausschreibungen, habe einen minimalen Datenfußabdruck in der EU und verfüge über ein umfassendes Programm zur Einhaltung der DSGVO. Gegen die unbegründeten Ansprüche werde man sich verteidigen.