In einer zunehmend digitalisierten Welt gewinnt der Schutz persönlicher Daten immer mehr an Bedeutung. Unternehmen sammeln tagtäglich eine Vielzahl von Informationen über ihre Nutzer, oft ohne deren ausdrückliche Zustimmung oder vollständige Kenntnis. Vor allem die Verbraucher im Bundesstaat Kalifornien sind aufgrund strenger Datenschutzgesetze besonders geschützt. Ein bahnbrechendes Urteil des neunten Bundesberufungsgerichts (Ninth Circuit Court of Appeals) hat nun klargestellt, dass Kalifornier auch Unternehmen verklagen können, die außerhalb des Bundesstaates ansässig sind, wenn diese gegen kalifornische Datenschutzgesetze verstoßen. Diese Entscheidung hat weitreichende Folgen für den Datenschutz und die Durchsetzung von Verbraucherrechten in den Vereinigten Staaten.
Die Gerichtsentscheidung basiert auf dem Fall Briskin gegen Shopify, einem Unternehmen, das E-Commerce-Unternehmen Backend-Dienste anbietet. Ein kalifornischer Kläger warf Shopify vor, ohne sein Wissen oder seine Zustimmung Tracking-Software auf seinen Geräten installiert zu haben, die sein Nutzungsverhalten heimlich erfasste und umfassende Nutzerprofile erstellte. Diese Profile enthielten unter anderem finanzielle Risikobewertungen, die Händlern halfen, Kaufentscheidungen zu beeinflussen oder zu blockieren. Die anfänglichen Entscheidungen hatten den Fall aufgrund mangelnder persönlicher Zuständigkeit des Gerichts verworfen, da Shopify seinen Sitz außerhalb Kaliforniens hat. Das Gericht war der Auffassung, dass die bloße Erfassung von Daten kalifornischer Nutzer für eine Klage vor einem kalifornischen Gericht nicht ausreiche, wenn das Unternehmen die kalifornischen Verbraucher nicht gezielt anspreche.
Doch nachdem der Fall durch weitere Instanzen ging und auch das öffentliche Interesse sowie ein von der Electronic Frontier Foundation unterstütztes Rechtsgutachten eingereicht wurden, änderte das Gericht seine Haltung grundlegend. Es erkannte an, dass das umfassende Sammeln von Daten kalifornischer Nutzer durchaus eine konkrete Verbindung zu Kalifornien darstellt und somit eine persönliche Zuständigkeit des Gerichts gegeben ist. Wichtig war dabei auch, dass Shopify durch seine Aktivitäten und das Wissen um die Standorte der Nutzer absichtlich in Kalifornien aktiv war. Das Gericht erinnerte daran, dass sich der Vergleich zur Zeit vor dem Internet durchaus aufdrängt. Hätte ein Dritter damals heimlich das Haus eines Kaliforniers betreten, um persönliche Daten zu entnehmen, wäre die Gerichtsbarkeit Kaliforniens nie in Frage gestellt worden.
Die elektronische Datenübertragung stellt keinen Unterschied mehr dar. Shopify hatte es durch elektronische Mittel unbemerkt auf persönliche Informationen der Kläger abgesehen und diese kommerziell verwertet. Damit schuf es eine klare Verbindung zum Bundesstaat, die letztlich den Gerichtsstand begründet. Die Richter wiesen auch frühere Entscheidungen zurück, die vorausgesetzt hatten, dass Unternehmen Kalifornien gezielt mit ihren Aktivitäten anvisieren müssten, um sich der Gerichtsbarkeit zu unterwerfen. Diese ältere Handhabung hätte es Unternehmen erleichtert, deutschlandweit oder gar bundesweit zu operieren, ohne in jedem Staat für Datenschutzverletzungen belangt zu werden.
Solch eine Auslegung wäre schädlich für Verbraucherrechte gewesen. Das Gericht stellt klar, dass es vielmehr auf den konkreten Bezug der unternehmerischen Tätigkeit zum jeweiligen Bundesstaat ankommt. Hinsichtlich der Datenschutzgesetzgebung verbreiten sich bundesstaatliche Regelungen in den USA zunehmend, da auf Bundesebene ein umfassendes Datenschutzgesetz bisher fehlt. Kalifornien gilt dabei als Vorreiter mit einem besonders hohen Schutzniveau, welches nicht selten als Vorbild für andere Staaten dient. Das jüngste Urteil stellt sicher, dass Datenschutzgesetze in Kalifornien durchsetzbar bleiben und Unternehmen nicht auf formalen Fluchten in andere Jurisdiktionen setzen können, um sich der Verantwortung zu entziehen.
Neben der Verteidigung individueller Rechte vor Gericht ist diese Entscheidung auch ein Präzedenzfall für zukünftige Klagen gegen multinational operierende Anbieter und Technologiekonzerne, die oft in mehreren Bundesstaaten und Ländern gleichzeitig aktiv sind. Die Konsequenz für Unternehmen ist klar: Wer absichtlich Daten von Bürgern Kaliforniens erhebt, diese zu kommerziellen Zwecken nutzt und seine Verbindungen in den Bundesstaat ignoriert, muss sich auf eine gerichtliche Verfolgung in Kalifornien einstellen. Verbraucherschutzorganisationen wie Public Citizen und die Electronic Frontier Foundation begrüßen das Urteil ausdrücklich, da es die Durchsetzung von Datenschutzrechten erheblich stärkt. Im Zeitalter weitverbreiteter digitaler Überwachung und immer komplexerer Datenerfassungssysteme kommt einer effektiven rechtlichen Kontrolle besondere Bedeutung zu. Für Verbraucher bedeutet das Urteil, dass sie häufiger und wirkungsvoller gegen Datenschutzverstöße vorgehen können, egal wo sich das Unternehmen hinter den Verstößen befindet.
