≡ 
RECHTSANWALT  LAMOTTKE

Datenleck

Schadenersatz

≡ 

Vertrauensanwalt der Verbraucherorganisation ACE
RECHTSANWALT
OLAF LAMOTTKE
Direktkontakt
0231 422100
Benninghofer Str. 161
44269 Dortmund
ra.lamottke@t-online.de


Inhaltsübersicht

  • 1. Was ist ein Datenleck?
  • 2. Bin ich von einem Datenleck betroffen?
  • 3. Liste betroffener Dienste und Anbieter
  • 4. Welche negativen Folgen haben Datenlecks für Betroffene?
  • 5. Bei Datenleck Schadensersatz: So helfe ich Ihnen 
  • 6. Ihre Rechte auf Schadenersatz 
  • 7. Urteile Datenleck: Diese Gerichte haben Schadensersatzansprüche bestätigt
  • 8. So machen Rechtsschutzversicherte mit meiner Hilfe Ansprüche im Datenskandal geltend


1. Was ist ein Datenleck?
Ein Datenleck ist eine technische Panne, bei der sensible und vertraulicherDaten, die ein Kunde einem Unternehmen anvertraut hat, zB. Daten, bei Erstellung eines  Accounts in einem sozialen Netzwerk, oder Daten, wie Hinterlegung von E-Mail-Adresse oder Telefonnummer bei Registrierung bei einem Online-Anbieter, unfreiwillig Dritten zugänglich werden.  Ein Datenleck kann zum  durch eine Panne, die auf Seiten des Anbieters passiert ist, oder durch einen gezielten Hacker-Angriff auf das Unternehmen geschehen oder sonstige unzureichende Datensicherheitsmaßnahmen passiert sein. Hackerangreifer haben es in der Vergangenheit immer wieder geschafft, über Sicherheitslücken aus den IT-Systemen von Unternehmen sensible Daten zu exportieren. Diese erbeuteten Daten werden danach im Internet und Darknet zum Verkauf angeboten.

Ein Datenleck stellt ein erhebliches Sicherheitsrisiko dar und kann schwerwiegende Folgen für die betroffene Person bedeuten.
Die Gefahren für betroffene Personen liegen im möglichen Daten-Missbrauch, wenn sensible Finanzdaten, persönliche Identitäten und vertrauliche Geschäftsinformationen in die unseriose Hände geraten. Öffentlich einsehbare Nutzerdaten können für Spam und Phishing-Versuche oder Identitätsdiebstahl genutzt werden. Beim Phishing versuchen Betrüger, durch gefälschte E-Mails, Nachrichten oder Anrufe, die täuschend echt aussehen, an weitere Nutzerdaten wie Kreditkarten- oder andere Zahlungsinformationen zu gelangen. Je mehr Daten vorher dabei bekannt werden, desto leichter ist es, Vertrauen zu erwecken. Im Fall eines Datenlecks sollten Nutzer in der Folgezeit besonders vorsichtig mit unerwarteten E-Mails oder Nachrichten umgehen.


2. Bin ich von einem Datenleck betroffen?


2.1. Weltweit wurden bereits Millionen von Datensätzen mit personenbezogenen Daten von Nutzern von sozialen Netzwerken, Online-Marktplätzen und anderen Dienstleistern veröffentlicht. Im Darknet innerhalb des Tor-Netzwerks stehen die Datensätze für Jedermann zum Download bereit. In den betroffenen Dateiensätzen befinden sich oft neben den Namen auch das Geburtsdatum, die Telefonnummer, der Beziehungsstatus, das Passwort und der Benutzername, Kreditkarten-Daten.

2.2 Wie kann ich selbst überprüfen, ob ich von einem Datenleck  betroffen bin?

Der Datenschützer Troy Hunt hat unter der Webseite haveibeenpwned.com die meisten veröffentlichten Datensätze zusammengeführt. Über die Eingabe Ihrer Telefonnummer oder Ihrer E-Mail-Adresse können Sie prüfen, ob Ihre Daten im Internet veröffentlicht wurden! Bitte geben Sie Ihre Mobilnummer im Internationalen Format an, beginnend mit +49, ohne Bindestriche und ohne Leerzeichen.

3. Datenleck-Schadensersatz: Liste betroffener Dienste und Anbieter

Die Liste der Unternehmen, die vom Datenklau betroffen waren, wird immer länger. Allein in den Jahren 2021 und 2022 waren auch in Deutschland zahlreiche Unternehmen von Lecks betroffen. Die folgende Liste zeigt eine Auswahl der wichtigsten Leaks der letzten Jahre in Deutschland.

Deezer: Beim Musik-Streamingdienst Deezer passierte 2022 ein Datenleck, der mehr als 240 Millionen Nutzer betrifft. Das Datenleck geht zurück auf einen Vorfall mit einem Drittanbieter im Jahr 2019, wobei persönliche Daten wie Vor- und Nachname, Geburtsdatum und Emailadresse betroffen sind.

Facebook: Facebook und der Meta-Konzern erlitten bereits in den vergangenen Jahren immer wieder wegen Datenlecks. Beim letzten  Facebook-Datenskandal im Frühjahr 2021 wurden persönliche Daten von rund 530 Millionen Nutzern und Nutzerinnen, darunter mehr als sechs Millionen aus Deutschland, veröffentlicht.

Houzz: Bei der Online-Plattform rund um das Thema Wohnen passierte 2018 ein Datenleck, bei dem alsdann rund 50 Millionen Datensätze mit Namen, IP Adressen Passwörter und Links zu Social Media-Profilen veröffentlicht wurden.

LinkedIn: Die Karriere-Plattform LinkedIn war nicht nur einmal aufgrund von IT-Sicherheitslücken in die Schlagzeilen geraten. In 2016 waren 164 Millionen Mailadressen und Passwörter einer Veröffentlichung ausgesetzt, beruhte auf einem Vorfall, der bereits 2012 stattgefunden hatte. Die Passwörter wurden damals als SHA1 verschlüsselte Hash-Codes veröffentlicht, welche bereits entschlüsselt sein dürften. Im Jahr 2021 waren vermutlich durch Scraping ca.  700 Millionen Nutzer, von Datendiebstahl bei LinkedIn betroffen. Öffentlich einsehbar wurden dabei Namen, E-Mailadressen, Berufsbezeichnungen und weitere Social Media-Profile.

LinkedIn selbst hat dazu am 29. Juni eine Pressemitteilung veröffentlicht. Innerhalb dieser Pressemitteilung verneint LinkedIn ausdrücklich, dass diese erlangten Profil-Daten auf einen Datenschutzverstoß von LinkedIn zurückzuführen sind. Außerdem behauptet LinkedIn, dass keine privaten LinkedIn-Mitgliedschaften offengelegt, bzw. innerhalb der zum Kauf angebotenen Daten keine Daten aus privaten Profilen zu finden sind.

Mastercard: Im Rahmen des Bonusprogramms „Priceless Specials“ kam es im August 2019 bei Mastercard zu einem Datenleck, bei der rund 90.000 Datensätze mit Mailadressen, Namen, Kreditkartendaten und weitere Informationen im Internet veröffentlicht wurden.

Twitter: Der Kurznachrichtendienst Twitter war bereits zweimal betroffen, da durch Sicherheitslücken Nutzerdaten erlangt wurden und ins Internet gelangten. Im Januar 2022 wurden 6,7 Millionen Datensätze mit E-Mailadressen, Namen, Telefonnummern, Profilbildern, Biografie, Wohnort veröffentlicht. Seit August 2022 werden die Datensätze im Darknet zum Kauf angeboten. Ca. 235 Millionen persönliche Nutzerdaten wie Namen, E-Mailadressen und Social Media-Profile wurden bei einem Hackerangriff in 2021 erbeutet, die im Januar 2023 in einem Hackerforum veröffentlicht wurden.

Auch bei vielen weiteren Unternehmen und Dienstleistern wie zum Beispiel GMX, Klarna, Online Shops Otto, Media Markt, Kaufland, Easyjet,Idealo, PayPal, Scalable Capital, Sixt, Watchfinder sind in der Vergangenheit Datenlecks entstanden und kriminell ausgenutzt worden. Dabei hatte der Softwareanbieter Modern Solutions, der für die Händler die Schnittstelle bereitstellt, offenbar mit einem ungesicherten Zugang gearbeitet. Durch den ungesicherten Zugang sind ca. 1 Million sensible Daten im Internet verfügbar gewesen. 


4. Welche negativen Folgen haben Datenlecks für Betroffene?

Wenn erbeutete Daten im Internet veröffentlicht werden, kann es zu gezielten Angriffen:

Unaufgeforderte Kontaktversuche:

Per E-Mail:
Per E-Mail werden Nutzer kontaktiert, die Produkte weit unter Marktpreis bestellen sollen. Wer diese Ware kauft, gibt nicht nur seine Daten an die Kriminellen weiter, sondern erhält trotz Zahlung keine Ware.
Auch werden E-Mails zum Phishing oder zur Infektion von Computern mit Viren und Malware versendet.


Per Telefon:
Die Telefonnummer eines Nutzers kann von Kriminellen beispielsweise für den „Enkeltrick“ genutzt werden. Beim „Enkeltrick“ gibt sich der Betrüger  als Familienmitglied aus, um unter Vorspiegelung falscher Tatsachen an Bargeld, Schmuck oder sonstige Wertgegenstände von dem Angerufenen zu gelangen. Oft geben sich die Betrüger als Polizeibeamte aus, um angeblich Wertgegenstände vor Betrügern zu sichern, in dem sie sich diese aushändigen lassen. Auch
 kommt es zudem zu Anrufen von angeblichen Beamten von BKA, Europol oder Interpol. Die Angerufenen werden  aufgefordert, persönliche Daten preiszugeben oder Geld zu überweisen. 


Über SMS & Kurznachrichten:
Nutzer können auch per Nachricht über SMS oder einen Kurznachrichten-Dienst wie WhatsApp oder dem Messenger-Dienst Telegram kontaktiert werden. Über Kurznachrichten werden genauso wie per Spam-E-Mails  Produkte beworben oder über Phishing versucht, an die Bankdaten zu gelangen.

Computerinfektion mit Malware oder Viren

Nach der Infektion eines Computers mit Schadcode kommt es unter Umständen zur Verschlüsselung wichtiger Daten und alsdann zur Erpressung von Geld gegen die Freigabe der gesperrten Daten. Die Schadprogramme infizieren oftmals auch den E-Mail-Clienten des infizierten IT-Systems, um sich automatisch an die innerhalb des Systems gespeicherten weiteren Adressen zu verbreiten.


5. Bei Datenleck Schadensersatz: So helfe ich Ihnen

Ich vertrete rechtsschutzversicherte Verbraucher. Neben der Geltendmachung von Schadensersatzansprüchen sichere ich Sie mit einem Feststellungsantrag gegen mögliche künftige Schäden ab. Ich führe kostenfrei für Sie die Deckungszusage bei Ihrer Rechtsschutzversicherung durch und übernehme die gesamte erforderliche Korrespondenz.


6. Ihre Rechte auf Schadenersatz

Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen für einen sicheren Umgang mit persönlichen Nutzerdaten sorgen. Grds. stehen bei einem Verstoß den Betroffenen Ansprüche auf Auskunft, Schadensersatz, Feststellung, dass etwige künftige Schäden vom Unternehmen zu tragen sind, und Unterlassung der künftigen Datennutzung zu.

6.1 (Auch) bei einem Datenleck haben Nutzer gemäß Art. 15 Abs. 1 DSGVO das Recht, Auskunft darüber zu erhalten, ob und in welchem Umfang Sie von dem Datenleck betroffen sind. Dafür haben Unternehmen in der Regel einen Monat Zeit.Bestätigt das Unternehmen, dass Sie von einem Datenleck betroffen sind, haben Sie Anspruch auf Schadensersatz nach Art. 82 DSGVO.Kommt das Unternehmen der Auskunftspflicht gemäß Art. 34 DSGVO nicht oder nicht rechtzeitig nach, begründet der Verstoß gegen die Auskunftspflicht ebenfalls einen Anspruch auf Schadensersatz nach Art. 82 DSGVO.

6.2 Betroffenen kann  infolge eines Datenlecks auch ein sogenannter immaterieller Schaden entstehen. Nach der DSGVO genügt ein immaterieller Schaden, um Ansprüche geltend machen zu können. Erste Gerichte haben Betroffenen bereits Schadensersatzansprüche aus Artikel 82 DSGVO zugesprochen.

7. Urteile Datenleck pro Verbraucher

  • Das Landgericht München I hat  Scalable Capital zur Zahlung von Schadensersatz in Höhe von 2.500,- Euro an einen Datenleck-Geschädigten verurteilt (Urteil vom 09.12.2021, Az. 31 O 16606/20).  Es handelte sich um das erste rechtkräftige Urteil in Deutschland, bei dem ein datenschutzrechtlicher Schadenersatz  wegen eines Datenlecks bestätigt wurde.
  • Das Landgericht Freiburg hat Facebook aufgrund datenschutzrechtlicher Verstöße dazu verurteilt, 300,- Euro Schadensersatz zu zahlen (Urteil vom 15.09.2023, Az. 8 O 14/23).
  • Das Landgericht Aachen hat Facebook aufgrund datenschutzrechtlicher Verstöße dazu verurteilt, 300,- Euro Schadensersatz zu zahlen (Urteil vom 14.09.2023, Az. 12 O 354/22).
  • Das Landgericht Paderborn hat Facebook aufgrund datenschutzrechtlicher Verstöße dazu verurteilt, 400,- Euro Schadensersatz zu zahlen (Urteil vom 04.09.2023, Az. 4 O 100/23).   Auffällig an diesem Urteil ist: Es liegt im Bezirk des Oberlandesgerichts (OLG) Hamm, welches am 15.08.2023 (Az. 7 U 19/23) entschieden hatte, dass Facebook zwar gegen die DSGVO verstoßen habe, der Geschädigte  aber mangels ausreichender „persönlicher bzw. psychologischer Beeinträchtigungen“ keinen immateriellen Schadensersatz geltend machen könne. 
  • Es  gibt zahlreiche weitere Urteile gegen Facebook (bzw. Meta). Ua: Die Landgerichte Zwickau, Gießen, Oldenburg, haben Facebook zur Zahlung  zwischen 500,- und 3.000,- Euro als  Schadensersatz verurteilt.
  • Das Oberlandesgericht Düsseldorf hat eine gesetzliche Krankenkasse zur Zahlung von Schadensersatz in Höhe von 2.000,- Euro verurteilt, weil die Gesundheitsakte einer Versicherten an eine falsche E-Mail-Adresse (Urteil vom 28.10.2021, Az. 16 U 275/20) übermittelt wurde und der  Bewerber darüber nicht unverzüglich informiert worden war. 
  • Das Landgericht Darmstadt hat einem Stellenbewerber Schadensersatz in Höhe von 1000,- Euro zugesprochen, weil die Bank die Bewerberdaten irrtümlich an unbeteiligten Dritten weitergeleitet und den Bewerber darüber nicht unverzüglich informiert hatte (Urteil vom 26.05.2020, Az. 13 O 244/19).


8. So machen Sie, wenn Sie über eine Rechtsschutzversicherung verfügen, mit meiner Hilfe Ihre Ansprüche im Datenskandal geltend!

8.1. KOSTENLOSE ERSTEINSCHÄTZUNG EINHOLEN

Füllen Sie unverbindlich das Online-Formular aus oder rufen mich an oder senden mir eine E-Mail und lassen ermitteln, ob Sie auch von einem Datenleck betroffen sind. Bitte teilen Sie mir dabei auch Ihre Rechtsschutzversicherung nebst Rechtsschutzversicherungs-Nummer mit! 

8.2. RECHTE DURCHSETZEN

Alle weiteren notwendige Schritte führe ich für Sie aus: Ich vertrete Sie außergerichtlich als auch im Rechtsstreit und mache Ihren Schadensersatzanspruch geltend.
Recht bekommen

8.3. GELD IM ERFOLGSFALL ERHALTEN
Sie erhalten bei Obsiegen Schadensersatz.