Google hat sich gegen eine weitere Datenschutzklage im britischen Sammelklagestil durchgesetzt, nachdem ein Londoner Gericht im vergangenen Jahr eine Klage gegen den Technologieriesen und seine KI-Abteilung DeepMind abgewiesen hatte, die Schadensersatz wegen Missbrauchs der Krankenakten von NHS-Patienten gefordert hatten.
Die Entscheidung unterstreicht die Hürden, mit denen Schadensersatzklagen im Stil einer Sammelklage wegen Datenschutzverletzungen im Vereinigten Königreich konfrontiert sind.
Der Beschwerdeführer hatte versucht, im Namen der rund 1,6 Millionen Personen, deren Krankenakten ab 2015 ohne deren Wissen oder Zustimmung an DeepMind weitergegeben wurden, eine repräsentative Klage einzureichen und Schadensersatz wegen der rechtswidrigen Nutzung vertraulicher medizinischer Daten von Patienten zu verlangen. Das zu Google gehörende KI-Unternehmen war vom Royal Free NHS Trust beauftragt worden, der ihm Patientendaten übermittelte, um gemeinsam eine App zur Erkennung akuter Nierenschäden zu entwickeln. Die britische Datenschutzbehörde stellte später fest, dass dem Trust eine Rechtsgrundlage für die Verarbeitung fehlte.
In einem Beurteilung Richterin Heather Williams wies den Fall in einem heute von den Royal Courts of Justice in London herausgegebenen Urteil mit der Begründung ab, dass er nicht die Voraussetzungen für die Erhebung einer Verbandsklage erfülle, die erfordern, dass die Klage auf allgemeinen Umständen gestützt werde, die für die gesamte Klasse gelten als auf individuelle Umstände, weshalb die Klage zwangsläufig zum Scheitern verurteilt sei.
Die Beschwerdeführer hatten versucht, diese rechtliche Hürde zu überwinden, indem sie für jedes Mitglied der beanspruchten Klasse nur „Schadensersatz auf dem kleinsten gemeinsamen Nenner“ verlangten – das heißt, sie klagten auf Schadensersatz, der unter Berücksichtigung des „nicht reduzierbaren Mindestschadens“ berechnet wurde, den alle Mitglieder erlitten hatten.
Doch selbst diese herabgesetzte Messlatte bestand nicht, da die Justiz „viele relevante Variablen“ zwischen den Mitgliedern der Klasse identifizierte und feststellte, dass es überwältigende Herausforderungen für jeden Versuch gibt, die Klasse neu zusammenzustellen, um einen tragfähigen Anspruch zu etablieren – und kam zu dem Schluss, dass „ eine grundsätzliche und inhärente Schwierigkeit bei der Ermittlung eines durchsetzbaren Anspruchs für alle Gruppenmitglieder, wenn dieser Anspruch als Verbandsklage auf der Grundlage allgemeiner Umstände erhoben wird.“
Die Anwaltskanzlei, die den Kläger vertritt, Andrew Prismall, wurde mit der Bitte um eine Stellungnahme kontaktiert, hatte jedoch bei Redaktionsschluss nicht geantwortet.
Ein Sprecher von Google DeepMind begrüßte das Urteil mit folgender Stellungnahme: „Wir freuen uns, dass das Gericht beschlossen hat, dieses Verfahren einzustellen.“ Wie wir dargelegt haben, ist dieser Anspruch unbegründet und unbegründet.“
Dies ist nicht das erste Mal, dass im Vereinigten Königreich Schadensersatzklagen im Stil einer Sammelklage gegen Google scheitern. Bereits im Jahr 2021 blockierte der Oberste Gerichtshof endgültig eine weitere Verbandsklage, die von einem Aktivisten für Verbraucherrechte im Zusammenhang mit einer Problemumgehung eingereicht worden war, die Google angeblich zwischen 2011 und 2012 angewendet hatte, um die Datenschutzeinstellungen von iPhone-Nutzern im Safari-Browser von Apple außer Kraft zu setzen.
Ein früherer Versuch von Prismall, eine repräsentative Klage gegen Google und DeepMind nach britischem Datenschutzrecht einzureichen, wurde nach dem oben erwähnten Sieg von Google vor dem Obersten Gerichtshof aufgegeben. Anschließend reichte er die Klage auf der Grundlage der zivilrechtlichen Deliktsverletzung wegen Missbrauchs privater Informationen erneut ein, nur dass dieser Fall heute abgewiesen wurde.
Als Einzelperson einen rechtlichen Anspruch auf Schadensersatz geltend zu machen, bleibt unerschwinglich teuer. Das Fehlen einer klaren Möglichkeit für britische Bürger, Sammelklagen wegen Datenschutzverletzungen anzustrengen, bedeutet, dass ihnen nur sehr begrenzte Möglichkeiten zur Verfügung stehen, Wiedergutmachung für den Missbrauch ihrer Daten zu erhalten.
Im Jahr 2017 verhängte die britische Datenschutzbehörde nicht einmal eine Geldstrafe für den NHS Trust, der ihrer Ansicht nach Patientenakten unrechtmäßig an DeepMind weitergegeben hatte. Der Technologieriese wurde auch nicht angewiesen, Patientendaten zu löschen. Und während Google die App anschließend – im Jahr 2021 – einstellte, konnte DeepMind Verträge mit einer Reihe von NHS-Trusts abschließen, um eine Software zu verwenden, die unter Verwendung unrechtmäßig verarbeiteter personenbezogener Daten entwickelt wurde. Eine Beschwerde bei der nationalen Datenschutzbehörde in der Hoffnung, dass diese Regelverstöße sinnvoll sanktioniert, ist also auch für die Briten kein sicherer Weg zu erfolgreichen Ergebnissen.
In der Europäischen Union, wo bereits 2020 eine Richtlinie zum kollektiven Rechtsschutz verabschiedet wurde, die nächsten Monat in Kraft treten soll, ergibt sich ein zunehmend anderes Bild. Ziel dieses Gesetzes ist es, die Rechte der Verbraucher zu stärken, indem es den Bürgern des Blocks erleichtert wird, Verbandsklagen zu erheben und gemeinsam wegen Verletzungen ihrer Rechte zu klagen.
Darüber hinaus soll eine weitere Änderung der EU-Produkthaftungsvorschriften es den Menschen erleichtern, durch Software und KI-Systeme verursachte Schäden einzuklagen, auch wegen Verstößen gegen Grundrechte wie den Datenschutz.
Ein aktuelles Urteil des Gerichtshofs der Europäischen Union stellte außerdem fest, dass der Datenschutzrahmen der Union keine Schadensschwelle für einen Schadensersatzanspruch bei Verstößen festlegt.