Seitensprungportal „Ashley Madison“ und Nutzer einigen sich

News

In dem Seit Juli 2015 laufenden Verfahren zwischen den Betreibern des Seitensprungportals „Ashley Madison“ und seinen Nutzern steht eine Einigung kurz bevor. Die Parteien reichten am vergangenen Freitag (14. Juli 2017) einen Vergleichsvorschlag ein, der das Verfahren zu einem einvernehmlichen Ende bringen soll. Die erforderliche gerichtliche Zustimmung des United States District Court for the Eastern District of Missouri steht noch aus.

Was war passiert?

Bei Ashley Madison handelte es sich im Grunde um ein Dating Portal. Ziel des Portals war jedoch nicht die Vermittlung ewiger Liebe, sondern der diskrete Seitensprung. Das Portal richtete sich seinem Design nach daher auch an verheiratete Personen oder solche, die sich in einer festen Beziehung befanden. Im Rahmen der Anmeldung wurden natürlich umfangreich personenbezogene Daten abgefragt. Um bei dem prekären Angebot von Ashley Madison das Vertrauen der Nutzer zu gewinnen, wurden die hohen Sicherheitsstandards vom Betreiber besonders hervorgehoben.

Im Juli 2015 kamen dem Betreiber in Zusammenhang mit einem Hackerangriff dennoch eine Vielzahl personenbezogener Daten abhanden. Betroffen waren die Daten von ca. 37 Millionen Nutzern, die kurz darauf im Internet veröffentlicht wurden. In Zusammenhang mit der Veröffentlichung stellte sich heraus, dass die Betreiber von Ashley Madison mit der Hilfe von Bots wohl umfangreich falsche Profile unterhielten, die Nutzer aus Fleisch und Blut letztendlich zum Erwerb kostenpflichtiger Inhalte veranlassen sollten. Außerdem stellte sich heraus, dass sich unter den veröffentlichten Daten auch die Daten solcher Nutzer befanden, die ihre Profile gegen einen Aufpreis löschen ließen.

Im Anschluss an den Datenschwund gingen sowohl die Federal Trade Commission (FTC) als auch betroffene Nutzer gerichtlich gegen den Betreiber von Ashley Madison vor. Bei der Federal Trade Commission handelt es sich um eine US-amerikanische Bundesbehörde, die unter anderem für den Verbraucherschutz zuständig ist.

Die Verfahren gegen den Betreiber

Bereits im Dezember 2016 wurden die Betreiber von Ashley Madison nach einer Auseinandersetzung mit der Federal Trade Commission dazu verpflichtet, umfangreiche IT-Sicherheitsmaßnahmen zu implementieren, um den Schutz personenbezogener Daten (amerikanischer Verbraucher) zu gewährleisten. Darüber hinaus hatten die Betreiber einen Betrag von ca. USD 1,6 Millionen zu zahlen. Die Zahlung sollte ursprünglich USD 17.5 Millionen betragen. Auf den Betrag von USD 1.6 Millionen hatte man sich geeinigt, nachdem die Betreiber von Ashley Madison gegenüber der FTC dargelegt hatten, zu größeren Zahlungen nicht in der Lage zu sein.

Kurz nach dem Bekanntwerden des Datenlecks im Juli 2015 reichten auch erste Nutzer des Portals Klage ein. Das anschließende Verfahren zieht sich bis heute. Nach langwierigen Verhandlungen zwischen Klägern (Nutzer) und Beklagten (Ashley Madison bzw. deren Betreiber) haben sich die Parteien nunmehr auf einen Vergleich geeinigt, den sie dem Gericht in Missouri am 14. Juli 2017 zur Zustimmung vorlegten. Der Vergleich sieht die Zahlung eines Betrags von USD 11.2 Millionen vor. Der Betrag soll in einen Fonds überführt werden, der zur Entschädigung der Nutzer bestimmt ist. Die Höhe des je Nutzer zu leistenden Ersatzes richtet sich nach unterschiedlichen Kategorien, wobei der je Nutzer zu leistende Betrag auf ein Maximum von USD 3.500 beschränkt ist. Soweit der Betrag nicht gänzlich abgerufen wird, soll der verbleibende Teil einer wohltätigen Einrichtung zu Gute kommen.

Orientierungshilfe für Bußgelder nach DSGVO?

Einer der zentralen Vorwürfe gegen den Betreiber von Ashley Madison war stets, entgegen der eigenen Behauptungen, nicht die erforderlichen Sicherheitsmaßnahmen getroffen zu haben, um die personenbezogenen Daten seiner Nutzer ausreichend zu schützen. Die Implementierung angemessener technischer und organisatorische Maßnahmen spielt auch im Rahmen der Datenschutz-Grundverordnung (DSGVO) eine zentrale Rolle. Zentrale Norm ist Art. 32 DSGVO, nach der Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu treffen haben, um ein dem jeweiligen Risiko angemessenes Schutzniveau zu gewährleisten. Ein Verstoß gegen Art. 32 DSGVO kann gemäß Art. 83 Abs. 4 lit. a) DSGVO mit einem Bußgeld von bis zu EUR 10 Millionen oder von bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden. Nach Art. 83 Abs. 1 DSGVO sollen verhängte Bußgelder in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein.

Die Schwere des Verstoßes des Betreibers von Ashley Madison, der gegenüber seinen Nutzern damit warb, seine Systeme mit den höchsten Sicherheitsstandards auszustatten, lässt sich der kurzen Zusammenfassung des Sachverhalts sicher nicht abschließend entnehmen. Bei einem Datenleck diesen Ausmaßes wäre aber wohl auch nach den Bestimmungen der Datenschutz-Grundverordnung mit einem erheblichen Bußgeld zu rechnen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.