Von Datenleck betroffen? Jetzt Schadensersatz fordern!

Immer wieder werden neue Datenschutzvorfälle bekannt. Betroffene müssen befürchten, Opfer gezielter Cyberattacken über Phishing und andere Angriffe zu werden.

Was ist ein Datenleck?

Datenschutzverletzungen, Datenlecks, Datenpanne oder Datenverlust sind Begriffe, die oft synonym verwendet werden. Eine Datenschutzverletzung bezieht sich auf Diebstahl, Verlust oder unbefugten Zugriff auf sensible Daten, was die Integrität und Vertraulichkeit beeinträchtigen kann. Datenschutzverletzungen sind in der Regel absichtlich, strategisch und gut organisiert, erfordern oft umfangreiche Recherchen, um Schwachstellen zu identifizieren. Im Gegensatz dazu bezieht sich ein Datenleck oder eine Datenpanne auf versehentliche oder fahrlässige Weitergabe von Informationen an Dritte, ohne einen ausgeklügelten Angriff. In beiden Fällen sind jedoch sensible Informationen kompromittiert.

Hackern ist es in der Vergangenheit immer wieder gelungen, über Sicherheitslücken aus den IT-Systemen von Unternehmen Daten abzugreifen. Die erbeuteten Daten werden danach im Internet, meistens im sogenannten Darknet, zum Verkauf angeboten. Besonders interessant sind für Cyberkriminelle die Daten von Banken oder Kreditkarten-Unternehmen, wie der Sparkasse oder Mastercard, denn mit diesen Daten lässt sich auf illegale Art und Weise besonders schnell Geld verdienen.

Bin ich von einem Datenleck betroffen?

Weltweit wurden bereits Millionen von Datensätzen mit personenbezogenen Daten von Nutzern von sozialen Netzwerken, Online-Marktplätzen und anderen Anbietern veröffentlicht. In den Datensätzen befinden sich oft neben den Namen auch das Geburtsdatum, Telefonnummern, Adressen und vielfach auch Passwörter im Klartext.

Bei „Have I Been Pwned“ (abrufbar unter https://haveibeenpwned.com/) handelt es sich um ein bekanntes Projekt des Datenschützers Troy Hunt, das offen verfügbare, geleakte Anmeldedaten sammelt und in einer Datenbank speichert. Über die Eingabe Ihrer Telefonnummer oder Ihrer E-Mail-Adresse können Sie prüfen, ob Ihre Daten im Internet veröffentlicht wurden und Sie von einem Datenleck betroffen sind.

Bekannte Datenschutzlecks?

Im Folgenden finden Sie einen Auszug von Unternehmen, die von einem Datenleck betroffen waren und bei denen Schadensersatzansprüche für deutsche Kunden in Betracht kommen:

  • Facebook Datenleck: Im April 2021 wurde ein großer Datensatz von über 500 Mio. Nutzern des sozialen Netzwerks Facebook im Darknet veröffentlicht. Daten von etwa 20% aller Facebook-Nutzer wurden durch einen sogenannten Exploit aus April 2019 von der Plattform exportiert. Ein großer Anteil des Datensatzes beinhaltet neben dem Namen auch die Telefonnummer, Geburtsdatum, Wohnort, Beziehungsstatus und Arbeitgeber.
  • LinkedIn Datenleck: Im Jahr 2021 war das Karrierenetzwerk LinkedIn erneut Ziel eines Hackerangriffs. Hunderte Millionen Profile wurden durchsucht und den Angreifern gelang es offenbar über das sognannte Scraping-Verfahren ca. 400 Mio. Datensätze zu exportieren, 125 Mio. davon mit E-Mail-Adressen, Namen, Orten, Geschlecht und Job-Beschreibungen.
  • Twitter / X Datenleck: Im Januar 2022 konnten Angreifer aus dem sozialen Netzwerk Twitter fast 7 Mio. Datensätze, sowohl von aktiven als auch von gesperrten Accounts exportieren. Ein einzelner Datensatz besteht oft aus E-Mail-Adressen, Telefonnummern, Benutzername, Displayname, Biografie, Wohnort und Profilfoto. Seit August 2022 werden die Datensätze im Darknet zum Kauf angeboten.
  • Mastercard Datenleck: Im August 2019 startete Mastercard in Deutschland das sogenannte „Priceless Specials“ Programm. Auf ungeklärte Weise schafften es die Hacker, 90.000 vollständige Datensätze zu exportieren. Ein vollständiger Datensatz beinhaltet Namen, E-Mail-Adressen, Telefonnummern und umfangreiche Kreditkartendaten. In Folge des Datenlecks wurde das Programm vom Markt genommen.
  • Media Markt, Otto, Kaufland und Check24 Datenleck: Auch im Zusammenhang mit den online Marktplätzen von Otto, Media Markt, Idealo, Check24 oder Kaufland wurde im Jahr 2021 ein Datenleck öffentlich. Dabei hatte der Softwareanbieter Modern Solutions, der für die Händler die Schnittstelle bereitstellt, offenbar mit einem ungesicherten Zugang gearbeitet. Durch den ungesicherten Zugang sind nach Schätzungen über 1 Millionen sehr sensible Daten weitgehend ungesichert im Internet verfügbar gewesen. Das Datenleck wurde mittlerweile behoben.
  • Deezer Datenleck: Ende 2022 gab der Musikstreaming-Dienst Deezer auf seiner Internetseite bekannt, dass es im Jahr 2019 zu einem Datenleck bei einem Geschäftspartner des Unternehmens gekommen war. Presseberichten zufolge sind dabei rund 230 Millionen Nutzerinformationen abhandengekommen. Soweit dies bekannt ist, wurden die Daten auf einem Hackerforum zum Verkauf angeboten.
  • The North Face: Ende Dezember 2023 gab die VF Corporation, zu welcher bekannte Brands wie unter anderem The North Face, Vans, Supreme, Timberland, Eastpak und Dickies gehören, bekannt, dass ein unbefugter Zugriff auf ihre IT-Systeme erfolgt ist. In der Reaktion hat die VF Corporation nach eigenen Angaben erste Maßnahmen ergriffen, betroffene Systeme offline genommen und die zuständigen Behörden sowie externe Sicherheitsexperten kontaktiert, um den Vorfall aufzuarbeiten. Ein von der VF Corporation im Januar 2024 veröffentlichte Stellungnahmen gibt nun weiteren Aufschluss über das Ausmaß des Cyberangriffs – nach derzeitigem Stand haben die Bedrohungsakteure die persönlichen Daten von ungefähr 35,5 Millionen individuellen Kunden gestohlen

Digitale Mandats­­annahme

Über unsere digitale Mandatsannahme können Sie Ihre Mandatsanfrage bequem online einreichen. Dies spart Ihnen Zeit und ermöglicht es uns, schnell auf Ihre Anfrage zu reagieren.

Haben Betroffene Ansprüche auf Schadensersatz?

Auf der Grundlage von Art. 15 DSGVO können Nutzer Auskunft gegenüber dem Unternehmen verlangen, ob sie vom Datenleck betroffen sind. Erteilt dieses sodann keine oder eine unvollständige Auskunft, kann sich daraus bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen im Zusammenhang mit dem jeweiligen Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.

Der Europäische Gerichtshof (EuGH) hat am 04.05.2023 zum Thema Schadensersatz bei Datenlecks geurteilt (Az.: C-300/21): Bei einem Datenleck, das aus einem Verstoß gegen die DSGVO resultiert, ist Schadensersatz möglich. Hierzu müssen drei Bedingungen erfüllt sein:

  1. Dem Datenleck muss ein Verstoß gegen die DSGVO zugrunde liegen
  2. Es muss ein materieller oder immaterieller Schaden entstanden sein
  3. Es muss ein kausaler Zusammenhang zwischen Verstoß und Schaden nachgewiesen werden

Zusätzlich entschied der EuGH, dass es in diesem Zusammenhang keine Bagatellfälle gibt. Betroffen müssen sich also insbesondere nicht fragen, ob „der Verstoß gravierend war?“ oder „Es ist ja nicht so viel passiert?“.

Mit einem weiteren Urteil vom 14.12.2023 äußerte sich der EuGH konkret zum immateriellen Schaden (C-340/21). Dabei stellte er sich gegen die Meinung einiger deutscher Gerichte, die in einem bloßen unguten Gefühl aufgrund eines Datenlecks keinen immateriellen Schaden und damit auch keinen Anspruch auf Schadensersatz sehen. Der EuGH dagegen urteilte:

„Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen immateriellen Schaden darstellen.“

Mit seinem Urteil hat der EuGH die Rechte von Millionen von Betroffenen in der EU enorm gestärkt. Des Weiteren können Unternehmen, deren IT-Systeme gehackt wurden, praktisch kaum noch vortragen, dass sie daran keine Schuld tragen. Im Ergebnis bedeutet dies, dass im Falle eines Missbrauchs der eigenen Daten infolge eines Hackerangriffs, die Chancen für einen (immateriellen) Schadensersatzanspruch besser denn je stehen.

Für Fragen stehen wir Ihnen mit unserem kompetenten Team aus Rechtsanwälten und Steuerberatern unter der Telefonnr.: 0931/22222 zur Verfügung. Gerne können Sie uns Ihr Anliegen auch per E-Mail an info@steinbock-partner.de oder über unseren Button „Kontakt“ schildern.

rechtsanwalt domenic ipta
Domenic Ipta Rechtsanwalt
Kontaktieren Sie uns
Wir freuen uns Sie persönlich kennenzulernen.
info@steinbock-partner.de