In der Datenschutzgesetzgebung ist ein privates Klagerecht kein Alles-oder-Nichts-Vorschlag

Da es aufgrund einer Sackgasse bei den individuellen Klagerechten unwahrscheinlich ist, dass bundesstaatliche Datenschutzgesetze ohne ein privates Klagerecht in irgendeiner Form verabschiedet werden, empfiehlt unser Bericht eine gezielte Abhilfe, die es Einzelpersonen ermöglicht, bestimmte Verstöße gegen die grundlegenden Datenschutzgesetze zu verklagen. Wir empfehlen, diese Fälle auf Verletzungen zu konzentrieren, die sich am direktesten auf die Privatsphäre des Einzelnen auswirken, indem die Wiedergutmachung im Allgemeinen auf den tatsächlichen Schaden beschränkt wird, eine erhöhte Kenntnis oder rücksichtslose Haftung für die meisten gesetzlichen Bestimmungen und ein vorsätzlicher oder wiederholter Standard für weitere Verfahrensvorschriften und zusätzliche Verfahrensfilter erforderlich sind. In diesem Beitrag werden die Gründe und die Mechanik unseres Vorschlags erläutert.





Der Golf über private Aktionsrechte

Kein Thema in der Datenschutzdebatte ist so polarisiert wie die Frage, ob Einzelpersonen Klagen wegen Datenschutzverletzungen einreichen können sollten. Privatklagen – insbesondere Verbraucher-Sammelklagen – sind selbst für datenschutzfreundliche Unternehmen ein Gräuel, während sie für viele Verbraucher-, Datenschutz- und Bürgerrechtsgruppen grundlegende Ziele darstellen.



Diese polaren Positionen spiegeln sich in den Ende letzten Jahres veröffentlichten Datenschutzgesetzen der Vorsitzenden des Handelsausschusses des Senats und des Repräsentantenhauses wider, von denen wir zwei in unserem ersten Artikel dieser Serie angesprochen haben: der demokratischen Senatorin Maria Cantwell Gesetz über Online-Datenschutzrechte für Verbraucher (COPRA), Entwurf des republikanischen Senats Roger Wicker US-Verbraucherdatenschutzgesetz (USCDPA) und des House Energy & Commerce Committee Entwurf einer überparteilichen Personaldiskussion .



Das USCDPA enthält keine Bestimmung für ein privates Klagerecht. COPRA hat einen (Section 301(c)) und ermöglicht alle Formen von Rechtsbehelfen – einschließlich Strafschadenersatz, Prozesskosten und gesetzlicher Schadensersatz in Höhe von 100 bis 1.000 USD pro Tag oder der Höhe des tatsächlichen Schadens – ohne verfahrensrechtliche oder materielle Grenzen Ansprüche einzugrenzen. Der republikanische Senator Jerry Moran und der demokratische Senator Richard Blumenthal versuchten und scheiterten, eine begrenztere Bestimmung auszuhandeln, also machte Moran weiter und veröffentlichte dieses Jahr seine eigene Rechnung ohne individuelles Klagerecht. Inzwischen enthält der Diskussionsentwurf des Hauses eine Platzhalterbestimmung zu einem privaten Klagerecht, die nur aus Klammern besteht.



Obwohl die in COPRA und der USCDPA festgelegten breiteren Datenschutzrahmen in vielen Aspekten vielversprechend ähnlich sind und sich die Interessenträger in mehreren wichtigen Aspekten der Vorschläge einig sind, gab es seit ihrer Veröffentlichung wenig Diskussion und keine Fortschritte. Tatsächlich zeigen die jüngsten Gesetzesentwürfe zum Datenschutz bei der Verfolgung von Corona-Kontakten und Benachrichtigungsdaten Spiegelbilder der Lücke zwischen COPRA und der USCDPA in Bezug auf private Klagerechte. Und solange die Protagonisten bei diesem Thema in ihren eigenen Ecken bleiben, wird der Fortschritt – sei es bei pandemiespezifischen Gesetzen oder umfassenden Datenschutzgesetzen – wahrscheinlich ins Stocken geraten. Wir haben uns auf die Suche nach einem Mittelweg zu diesem Thema gemacht, um die Entweder-Oder-Entscheidungen zu vermeiden, die sonst zum Scheitern führen würden.



Konkurrierende Interessen auf dem Spiel

Um einen Weg nach vorne zu planen, müssen konkrete Bedürfnisse auf beiden Seiten dieser Kluft identifiziert und untersucht werden, ob es einige Arten von Klagerechten gibt, mit denen die Industrieseite leben könnte, und ob es Grenzen gibt, mit denen Interessenvertretungen leben könnten. Anwälte nennen zwei Hauptgründe für die Zulassung privater Klagen. Eine, nicht überraschend, besteht darin, Einzelpersonen die Möglichkeit zu geben, Wiedergutmachung für Verletzungen zu beantragen, die auf Verletzungen gesetzlich geschützter Datenschutzinteressen zurückzuführen sind. Die zweite besteht darin, die öffentliche Durchsetzung des Gesetzes zu ergänzen, indem Einzelpersonen als Kraftmultiplikatoren in die Federal Trade Commission und die Generalstaatsanwälte aufgenommen werden. Viele Branchenvertreter sind wiederum nicht gegen alle privaten Rechtsstreitigkeiten, sondern sind im Allgemeinen besorgt über die aus ihrer Sicht lästigen Klagen. Aus ihrer Sicht besteht auch die Möglichkeit, dass Sammelklagen und Schadenersatzmultiplikatoren (wie gesetzlicher Schadensersatz, Strafschadensersatz und Mehrfachschadenersatz) den Belästigungswert von Klagen ungeachtet ihrer Begründetheit erhöhen. Jede der Positionen der Anwälte und der Industrie hat eine gewisse Kraft. Wir sehen Kraft für jedes dieser Interessen.



Nur wenige würden bestreiten, dass einige Arten von Verletzungen der Privatsphäre entschädigt werden sollten. In diese Kategorie fallen beispielsweise nicht einvernehmliche Pornografie oder die Verwendung von Stalking-Apps oder Spyware gegen einen ehemaligen Ehepartner oder Sexualpartner. Ebenso wenig wird bestritten, dass finanzielle Verluste – beispielsweise als Folge von Identitätsdiebstahl – erstattungsfähig sein sollten, obwohl die genaue Art und das Ausmaß der Verletzung oft diskutiert werden. Dies sind die Arten von Verletzungen, die im Common Law und im gesetzlichen Recht eine Geschichte haben, seit Samuel Warren und Louis Brandeis ihren grundlegenden Gesetzesüberprüfungsartikel geschrieben haben. Das Recht auf Privatsphäre , 1890.

Heute enthält die Datenschutzlandschaft in den USA viele Gesetze, die individuelle Klagen ermöglichen. Der Urheber der bundesstaatlichen Datenschutzgesetze, der Fair Credit Reporting Act (FCRA), ermöglicht es Einzelpersonen, Meldebehörden zu verklagen und mindestens 100 US-Dollar oder tatsächlichen Schadenersatz, Strafschadenersatz bei vorsätzlichen oder vorsätzlichen Verstößen und in allen Fällen angemessene Anwaltskosten zurückzufordern. Seine Nachkommen – das Privacy Act, das Right to Financial Privacy Act, das Cable Communications Policy Act, das Electronic Communications Privacy Act, das Video Privacy Protection Act und das Telefon Consumer Protection Act – ermöglichen alle individuelle Klagen auf verschiedene Weise. Es gibt auch eine Geschichte von staatlichen Gesetzen mit Rechtsmitteln, um Rechte auf Privatsphäre auszudrücken, sowie Delikte nach dem Common Law wegen Verletzung von Datenschutzinteressen. Darüber hinaus haben alle 50 Bundesstaaten Gesetze zu unfairen und irreführenden Handlungen und Praktiken erlassen, von denen viele individuelle Klagen vorsehen.



Als William Prosser vor mehr als 50 Jahren Datenschutzdelikte und das Recht von Warren/Brandeis auf Privatsphäre in vier Hauptkategorien einteilte, bemerkt [d]die Schwierigkeit, Schäden zu messen. Diese Schwierigkeit besteht auch heute noch und ist ein Grund dafür, dass viele der zuvor aufgezählten Bundesgesetze gesetzliche Schadensersatzansprüche mit bestimmten Summen oder Bandbreiten vorsehen. Diese dienen der Wahrung von Datenschutzinteressen, indem sie einem obsiegenden Kläger unabhängig vom tatsächlichen Schaden eine Wiedergutmachung gewährleisten.



Besonders umstritten ist in diesem Zusammenhang das Telefonkonsumentenschutzgesetz (TCPA). Obwohl er zur Bekämpfung schädlicher Robocalls erlassen wurde, zielt er auf die Verwendung von Auto-Dialern weiter ab und hat somit legitime Unternehmen daran gehindert, ihre eigenen Kunden zu kontaktieren, hat Verwirrung darüber geschaffen, ob automatisierte Antworten automatisches Wählen darstellen, und führte zu Ansprüchen aufgrund der Verarbeitung von Nicht-Anruf-Anfragen zu langsam. Die TCPA erlaubt ein privates Klagerecht für bis zu 500 US-Dollar pro Verstoß, von dem einige Beobachter behaupten, dass es Gottcha-Ansprüche ermöglicht. Im Jahr 2019 hat diese Satzung die Höchster Prozessschadenersatz gemäß einem Datenschutzgesetz – 925 Millionen US-Dollar – in einer Sammelklage gegen den Multilevel-Vermarkter ViSalus, Inc.

Jeder hasst Robocalls, aber selbst Datenschutzbeauftragte können sich fragen, ob sie eine der schlimmsten Datenschutzverletzungen darstellen. Das Gerichtsurteil in Wakefield gegen ViSalus, Inc. zeigt, wie sich der gesetzliche Schadensersatz, multipliziert mit einer großen Zahl von Sammelklagen, summieren kann. Ein derartiges Engagement erregt die Aufmerksamkeit von Chefetagen und Vorstandsetagen, da es ausreichen kann, um eine Berichterstattung in der Offenlegung von Prozessrisiken für Wertpapieranmeldungen und Bilanzen zu verlangen. Die Auswirkungen dieser Multiplikatoren waren ein zentrales Anliegen der Unternehmen, mit denen wir vor der Erstellung unseres Berichts zu diesem Thema gesprochen haben.



Unsere Empfehlungen für eine private Klagevorschrift versuchen, die oben genannten Interessen abzuwägen. Während private Rechtsstreitigkeiten für die Durchsetzung und Politikgestaltung unvollkommen sind, können sie als inkrementelles Instrument dienen, und das Risiko von Rechtsstreitigkeiten lenkt den kollektiven Verstand der Unternehmensleitung. Das auf angemessener Sorgfalt beruhende bürgerliche Deliktssystem verbesserte die Gesundheit und Sicherheit von Arbeitsplätzen, Gebäuden, Fahrzeugen, Arzneimitteln und Konsumgütern. Der iterative Prozess der Einzelfallentscheidung ist Teil eines umfassenderen flexiblen und risikobasierten Ansatzes zum Schutz der Privatsphäre, der Bestandteil unseres Berichts ist.



Abgestufte materielle Rechte

Wir verfolgen einen abgestuften Ansatz für die private Durchsetzung, indem wir für jede Bestimmung unterschiedliche Standards vorschlagen. Wir empfehlen drei verschiedene Haftungsstufen, von denen jede einen fundierten Stand der Dinge für unterschiedliche Kategorien von Verstößen gegen das Datenschutzgesetz erfordert. Diese Stufen sind in erster Linie an vorgeschlagene materielle Verpflichtungen gebunden, die die Bestimmungen der COPRA und des USCDPA in zwei umfassendere Pflichten umformen, die für alle Unternehmen gelten, die unter das Bundesdatenschutzgesetz fallen.

Eine davon ist eine Loyalitätspflicht, die es erforderlich machen würde, dass die betroffenen Unternehmen angemessene Richtlinien und Praktiken zum Schutz der Privatsphäre des Einzelnen implementieren, die der Größe und Komplexität der betroffenen Einheit sowie dem Umfang, der Art und der beabsichtigten Verwendung der verarbeiteten Daten entsprechen; Beschränkung der Datenverarbeitung auf notwendige [und] verhältnismäßige Zwecke im Einklang mit COPRA und der USCDPA; und verlangen, dass Datenpraktiken auf faire und transparente Weise kommuniziert werden. Die zweite ist eine Sorgfaltspflicht, die auf einem Abschnitt über schädliche Datenpraktiken in COPRA basiert. Dies würde es den betroffenen Einrichtungen untersagen, erfasste Daten auf eine Weise zu verarbeiten, die vernünftigerweise vorhersehbare Schäden verursacht. Zu diesen Schäden gehören finanzielle Schäden, Eingriffe in die Privatsphäre oder Intimität, die für eine vernünftige Person höchst anstößig und unerwartet sind, Diskriminierung, die gegen die Antidiskriminierungsgesetze des Bundes oder die Antidiskriminierungsgesetze eines Staates oder einer politischen Unterabteilung davon verstößt, die auf das betroffene Unternehmen anwendbar sind, und andere erhebliche Schäden.



Die von dieser Sorgfaltspflicht erfassten Verletzungen sind nach dem allgemeinen Persönlichkeitsrecht, den Verbraucherschutzgesetzen und den Antidiskriminierungsgesetzen allgemein als entschädigungsfähig anerkannt. Somit würde die Pflicht speziell auf die Arten von Verletzungen abzielen, die unserer Ansicht nach durch ein privates Klagerecht angemessen geschützt werden sollten. Bei Verstößen gegen die Sorgfaltspflicht schlagen wir daher keinen erhöhten Standesstandard vor. Mit anderen Worten könnten betroffene Unternehmen auch dann haftbar gemacht werden, wenn ihnen keine Sorgfaltspflichtverletzungen bekannt sind, sie würden jedoch keiner verschuldensunabhängigen Haftungsbestimmung unterliegen (wie dies nach der COPRA-Vorschrift für schädliche Datenpraktiken der Fall sein könnte), weil die Element der vernünftigen Vorhersehbarkeit importiert einen Fahrlässigkeitsstandard.



Wir empfehlen dann, die Loyalitätspflicht und andere wesentliche Verpflichtungen – einschließlich Einwilligung, Datensicherheit und Bürgerrechten – gemäß dem Standard des Wissens oder der rücksichtslosen Missachtung der Privatsphäre oder Sicherheit von Personen zu behandeln. Hier ist es das Ziel, nicht für jede einzelne Datenschutzverletzung oder jede Nichteinholung einer Bestätigung eine Klage zuzulassen ausdrückliche Zustimmung aussprechen, bevor sensible Daten erhoben werden, sondern um sicherzustellen, dass böswillige Akteure nicht vor Klagen gefeit sind.

Um private Klagen im Zusammenhang mit Bestimmungen außerhalb dieser Bestimmungen anzustrengen, empfehlen wir, dass die Kläger vorsätzliche oder wiederholte Verstöße gegen das Gesetz nachweisen müssen. Dies würde für Bestimmungen gelten, die individuelle Rechte auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und andere Rechtsmittel betreffen; Ernennung von Datenschutz- und Sicherheitsbeauftragten; Durchführung von Risikobewertungen; und umfassende Datenschutzerklärungen. Dies sind Verwaltungsvorschriften, die für die Rechenschaftspflicht und wirksame Datenschutzpraktiken wichtig sind, sich jedoch nicht unbedingt direkt auf den Datenschutz einer Person auswirken müssen. Der vorsätzliche und wiederholte Standard würde verhindern, dass Verstöße ohne wirkliche Auswirkungen auf Einzelpersonen angeklagt werden, aber Muster oder Praktiken verhindern, die gegen diese Rechenschaftspflichten oder andere eklatante Missachtungen verstoßen.

Schadensabstufung

Abgesehen von Fällen von vorsätzlichen oder wiederholten Verstößen gegen eine Bestimmung empfehlen wir, versicherte Unternehmen von gesetzlichen Schäden zu isolieren. Daher würden wir bei nicht vorsätzlichen oder wiederholten Gesetzesverstößen die Wiedergutmachung im Allgemeinen auf den tatsächlichen Schadenersatz für die erlittenen Verletzungen zuzüglich Anwalts- und Prozesskosten sowie alle gerechten Rechtsbehelfe beschränken, die ein Gericht nach seinem Ermessen zuspricht. Einmalige Ereignisse können viele Menschen betreffen, z. B. wenn eine Organisation ihre Datenschutzrichtlinien ändert Zeitspanne. Dies würde gesetzliche Schadensersatzansprüche für einmalige Ereignisse ausschließen, während die Tür offen gelassen würde, um gesetzliche Schadensersatzansprüche von bis zu 1.000 US-Dollar pro Tag für Verstöße zu erhalten, die über einen bestimmten Zeitraum andauern.

Wie oben erörtert, sind Fragen zu Art und Umfang von Schäden seit langem ein Thema in Datenschutzverfahren. In der Online-Ära haben sich Gerichte mit der verfassungsrechtlichen Frage befasst, ob Kläger die ständigen Anforderungen gemäß Artikel III der Verfassung erfüllen – was auch als einschränkender Faktor für ein Bundesdatenschutzgesetz wirken wird. Zum Beispiel in Spokeo, Inc. gegen Robins (2016) , erhob Robins eine Sammelklage nach FCRA – dem ersten Bundesgesetz über den Datenschutz – und behauptete, eine Personensuchmaschine habe falsche persönliche Informationen über ihn angezeigt. Der Oberste Gerichtshof hat den Fall an die unteren Gerichte zurückverwiesen, um festzustellen, ob die Anschuldigungen des immateriellen Schadens sowohl konkretisiert als auch konkret genug waren, um einen Fall oder eine Kontroverse zu präsentieren, die für die Zwecke von Artikel III geeignet ist; in Untersuchungshaft stellte das US-Berufungsgericht für den neunten Bezirk fest, dass dies der Fall war.

Mann im Mond Bild

Bei der Erörterung dieser Anforderungen stellte das Gericht fest, dass eine konkrete Verletzung real und nicht abstrakt sein muss, sondern dass auch die Verletzung immaterieller Rechte wie der freien Meinungsäußerung und der freien Religionsausübung gelten kann. Obwohl das Gericht entschied, dass nicht jede Ungenauigkeit oder Verfahrensverletzung im Sinne der FCRA einen konkreten Schaden darstellt, räumte es ein, dass bei der Prüfung, ob ein immaterieller Schaden tatsächlich eine Verletzung darstellt, sowohl die Geschichte als auch das Urteil des Kongresses aufschlussreich sind. Der Spokeo Gericht erkannte ausdrücklich an, dass der Kongress gut positioniert ist, um immaterielle Schäden zu identifizieren, die die Mindestanforderungen von Artikel III erfüllen. Dies fordert den Kongress auf, Datenschutzverletzungen zu artikulieren. Dies kann helfen, bestehende Hürden zu überwinden, aber möglicherweise nicht die Herausforderungen bei der Feststellung von Schäden.

In Rechtsstreitigkeiten zur freien Meinungsäußerung und zur Ausübung freier Ausübung kommt der Erfolg oft in Form eines einstweiligen Rechtsschutzes. Hier kann die Verfügbarkeit von Anwaltsgebühren und -kosten die Belastungen und Fehlanreize bei der Einleitung eines Verfassungsverfahrens verringern und die Angeklagten in Gefahr bringen. Den Gerichten zu gestatten, angemessene Prozesskosten und Anwaltsgebühren für Privatklagen zuzusprechen, würde dem gleichen Zweck für Datenschutzfälle dienen.

Verfahrensfilter

Basierend in erster Linie auf der Verbraucherschutzgesetz von Massachusetts , empfehlen wir eine Kündigungs- und Nacherfüllungsmöglichkeit. In unserem Bericht ist er an die Ausübung eines vorgeschlagenen Rückgriffsrechts gebunden, könnte aber als eigenständige Bestimmung übernommen werden. Dieses Gesetz verlangt, dass ein Kläger dem betreffenden Unternehmen zunächst eine 30-Tage-Benachrichtigung über den Anspruch mitteilt und die Benachrichtigung und das Unterlassen von Handlungen bestätigt, bevor er eine Klage wegen unlauterer oder betrügerischer Handlungen oder Praktiken einreicht. Die Verpflichtung von Einzelpersonen, das Recht auf Regress geltend zu machen, würde ihnen eine einfache Möglichkeit zur Beilegung von Ansprüchen bieten und gleichzeitig den betroffenen Unternehmen die Möglichkeit geben, Rechtsstreitigkeiten abzuwenden. Wir weisen darauf hin, dass es eine Ausnahme für Situationen wie Stalking geben sollte, die eine Gefahr von Körperverletzungen oder anderen irreparablen Schäden darstellen, wenn eine Person auf eine Antwort auf den Regressantrag warten muss.

Obwohl wir nicht der Meinung sind, dass ein Datenschutzgesetz mit einer so dramatischen Änderung der amerikanischen Verteilung der Prozesskosten belastet werden sollte, dass Kosten und Anwaltskosten auf die unterlegene Partei verlagert werden, haben wir eine bescheidene Bestimmung zur Gebührenverlagerung eingeführt, die mit wohl akzeptiertes amerikanisches Recht. Es orientiert sich an Urteilsangeboten in Regel 68 der Bundeszivilprozessordnung, die es einem zivilrechtlichen Beklagten erlaubt, ein Angebot abzugeben, das bei Annahme in ein Urteil gegen den Beklagten umgewandelt werden kann; bei Ablehnung kann es jedoch die Haftung für Prozesskosten verschieben, wenn der Kläger nicht mehr als das Angebot zurückerhält. Basierend auf diesem Modell schlagen wir vor, dass ein versichertes Unternehmen, das auf einen Regressantrag reagiert, Geld anbieten kann und dass dieses Angebot wie ein Angebot nach Regel 68 funktioniert, wenn ein Kläger letztendlich weniger als den Betrag des Angebots zurückerhält. Wie Regel 68 würde dies dazu dienen, die Beilegung von Ansprüchen zu fördern.

Das bestehende Bundesgesetz schlägt auch Möglichkeiten vor, Sammelklagen zuzulassen und gleichzeitig einige der Bedenken der Industrie in Bezug auf solche Fälle auszuräumen. Der Private Securities Litigation Reform Act von 1995 (PSLRA) legt zusätzliche Plädoyer-Anforderungen für Wertpapierstreitigkeiten fest, die dazu dienen, die Entdeckung in Schach zu halten, bis eine Klasse genehmigt wird. Es beschreibt auch Verfahren zur Auswahl eines Hauptklägers unter den Vertretern der Sammelkläger und umreißt die Sammelleistungen und die erwarteten Gebühren in Sammelklagen. Diese Verfahren können an Datenschutzstreitigkeiten angepasst werden, wobei einige Bestimmungen, die sui generis für Wertpapierfälle sind, weggelassen werden. Da sich die PSLRA auf Regel 23 der Bundeszivilprozessordnung bezieht – die Sammelklagen regelt – meinen wir, dass eine solche Bestimmung in der Datenschutzgesetzgebung den Bundesgerichten die ausschließliche Zuständigkeit für Sammelklagen geben müsste; eine Überlagerung auf staatliche Verfahren könnte sich als zu kompliziert erweisen.

In ähnlicher Weise empfehlen wir, dass das Bundesklagerecht der ausschließliche Rechtsbehelf für die in allen Privatklagen beanstandeten Klagen ist. Dies würde eine Anhängung umfangreicherer Landesforderungen an den Bundesfall verhindern, eine Rechtsmittelwahl erzwingen und eine Umgehung der bundesrechtlichen Schadensgrenzen auf der Grundlage von Landesforderungen verhindern.

Ein Weg nach vorne?

Abgesehen von einer radikalen Änderung in der Zusammensetzung des Kongresses ist es unwahrscheinlich, dass die Frage des privaten Rechts auf Klage in der bundesstaatlichen Datenschutzgesetzgebung mit einem Entweder-Oder-Ergebnis gelöst wird. Infolgedessen erfordert die Verabschiedung umfassender grundlegender Rechtsvorschriften Entscheidungen. Angesichts der Möglichkeiten, ein privates Klagerecht zuzuschneiden, würden solche Entscheidungen wahrscheinlich denen ähneln, die wir hier vorschlagen.