Datenschutzklagen weiten sich über Datenpannen hinaus auf die routinemäßige Datennutzung, Tracking-Technologien und unzureichende Einwilligung aus. Neue Auslegungen von Gesetzen wie dem CCPA und dem BIPA sowie von Gesetzen zum Schutz der Privatsphäre bei Telefongesprächen und Videos befeuern Sammelklagen. Unternehmen haften nun auch für fehlende Einwilligungen – selbst ohne Datenschutzverletzungen –, was die Notwendigkeit robuster Einwilligungsmechanismen unterstreicht.
Die Landschaft der Einwilligung befindet sich im Umbruch, was das Verständnis von Gerichten und Klägern für den Datenschutz betrifft. Rechtliche Haftung beschränkt sich nicht mehr nur auf Fälle von Hacking oder Datenlecks, sondern ergibt sich zunehmend aus der routinemäßigen Datennutzung und unzureichenden Einwilligungsmechanismen. Eine wachsende Zahl aktueller Urteile und Vergleiche in Sammelklagen verdeutlicht diese neue Herausforderung, bei der das Fehlen eines Datenlecks Unternehmen nicht vor rechtlichen Risiken schützt.
Neue Auslegungen des California Consumer Privacy Act (CCPA) treiben diese Veränderungen voran. Gerichte lassen nun Sammelklagen zu, die sich gegen die routinemäßige Weitergabe personenbezogener Daten richten, selbst wenn keine Datenschutzverletzung vorliegt.
Welche Arten von Fällen betreffen diese Urteile? Ein Beispiel ist Shah gegen Capital One. Die Kläger warfen Capital One vor, personenbezogene Daten ohne ausreichende Benachrichtigung oder Einwilligung über Tracking-Pixel und eingebettete Technologien an Drittanbieter für Analyse und Werbung weitergegeben zu haben. Das Gericht wies den Antrag von Capital One auf Klageabweisung zurück und erkannte plausible CCPA-Verstöße auch ohne klassische Cybersicherheitslücken an. Dies geht über bisherige Auslegungen hinaus, die eine Haftung nach dem CCPA nur bei Hacking, Datenlecks oder Datenschutzverletzungen vorsahen.
Darüber hinaus wurden in Gerichtsverfahren Fragen aufgeworfen, ob Cookies und Chatbot-Konversationen als „Aufzeichnungen“ gelten können, die gegen US-amerikanische Abhörgesetze verstoßen. Diese Gesetze haben jedoch nichts mit Datenschutz, sondern mit der informierten Einwilligung zu tun. Welche Mechanismen sind vorhanden, um die Einwilligung zu erfassen, wenn bestimmte Interaktionsformen bisher nicht als Verstöße gegen das Abhörgesetz und nicht gegen den Datenschutz eingestuft wurden?
Diese Änderungen eröffnen ein breiteres Haftungsrisiko: Unternehmen müssen nun nicht nur prüfen, ob Daten gesichert sind, sondern auch, ob deren Erhebung, Weitergabe und Nutzung den Standards für Information, Einwilligung und Verbraucherkontrolle entsprechen und ob die eingesetzten Mechanismen möglicherweise neu eingestuft und somit als nicht konform eingestuft werden könnten.
Auch abseits von Tracking-Technologien gehen Gerichte und Aufsichtsbehörden gegen andere Formen der Datenerhebung ohne Einwilligung vor:
In einem Fall aus Illinois im Jahr 2024 wurde Charlotte Tilbury Beauty beschuldigt, ohne Einwilligung der Nutzer Gesichtsgeometrie-Scans über virtuelle Anprobe-Tools erfasst zu haben. Das Unternehmen stimmte einem Vergleich in Höhe von 2,93 Millionen US-Dollar gemäß dem Biometric Information Privacy Act (BIPA) zu – jeder Kläger erhielt zwischen 700 und 1.100 US-Dollar, ohne dass ein Schaden nachgewiesen werden musste.
Dies unterstreicht, dass die Erfassung biometrischer Daten, insbesondere ohne ordnungsgemäße Benachrichtigung oder Widerspruchsmöglichkeit, ein eigenes Feld der Datenschutzhaftung darstellt.
Auch andernorts häufen sich Fälle von Nichtverletzung. In einer Sammelklage gegen GameStop wurde ein Verstoß gegen den Video Privacy Protection Act (VPPA) geltend gemacht. Grund dafür war die Weitergabe personenbezogener, videobezogener Nutzerdaten an Facebook über Tracking-Pixel – erneut ohne Einwilligung. Berechtigte Nutzer konnten Gutscheine in US-Dollar erhalten.
Dieser Fall verdeutlicht das Muster von Rechtsstreitigkeiten im Zusammenhang mit Datenweitergabe oder Überwachung, nicht mit Datendiebstahl.
Sammelklagen zum Datenschutz erstrecken sich auch auf den Bereich der Verbraucherkommunikation. Ein Vergleich in Höhe von 5,95 Millionen US-Dollar zwischen Albertsons, Star Markets und Safeway betraf mutmaßliche Verstöße gegen den Telephone Consumer Protection Act (TCPA), insbesondere unerwünschte SMS und Anrufe trotz Widerspruchs.
Dies begründete eine Haftung ohne Rechtsverletzung, sondern aufgrund eines Eingriffs in die Privatsphäre durch Kommunikation und nicht durch Datenweitergabe.
Diese Diversifizierung von Datenschutzklagen findet inmitten eines allgemeinen Anstiegs von Fällen in den USA statt. Eine Artikelserie zum Thema Datenschutzklagen in den USA vom März 2025 verzeichnet allein im Jahr 2024 fast 2.000 Klagen vor Bundesgerichten – von Datenschutzverletzungen über Tracking und Datenbroker bis hin zu Biometrie, Verträgen und vielem mehr.
Dieses wachsende Spektrum an Rechtstheorien spiegelt das sich wandelnde gesellschaftliche Verständnis von Datenschutzverletzungen wider.
Mehrere Faktoren tragen zu dieser Entwicklung bei. Dazu gehören ein verstärkter regulatorischer Fokus auf Transparenz, Einwilligung und Verbraucherkontrolle – nicht nur auf Datensicherheit –, technologische Unklarheiten, niedrige Hürden für die Einleitung rechtlicher Schritte und das Risikomanagement von Unternehmen.
Angesichts dieser Herausforderungen müssen Unternehmen darüber nachdenken, was Einwilligung in einem sich ständig verändernden und fragmentierten Umfeld bedeutet. Wie können sie sich schützen?
Die erste Verteidigungslinie ist eine Einwilligungsmanagement-Plattform. Mit den Änderungen im Einwilligungsrecht wird jedoch ein ganzheitlicher Ökosystemansatz erforderlich sein.
©2025 CookieHub ehf.
