Datenlecks: Diese Rechte haben Betroffene
In letzter Zeit berichten Medien häufig über Datenlecks bei Unternehmen. Zuletzt waren vor allem Facebook und LinkedIn-Nutzer von einem Datenklau betroffen. Hier waren sensible Daten wie Namen, Adressen und Handynummern im Internet frei zugänglich. Ursache ist oftmals ein unzureichender Schutz personen-bezogener Daten. Diesen gewährleisten die Plattformen ihren Nutzern aufgrund Gewinnerzielungs-Absicht nicht. Wie Sie feststellen, ob auch Sie von einem der zahlreichen Datenlecks betroffen sind und welche Rechte Ihnen zustehen, erfahren Sie nun.
Was ist ein Datenleck?
Bei einem Datenleck werden private Datensätze, die Sie einem Unternehmen anvertraut haben, veröffentlicht. Da einige Datenbanken oftmals keinen vollumfänglichen Schutz genießen, ist es für Hacker einfach, auf die dort gespeicherten Datensätze zuzugreifen. Cyber-Kriminelle haben es auf sensible Daten abgesehen, die sie anschließend für ihre Zwecke missbrauchen. Darunter fallen nicht nur Benutzernamen und Passwörter, sondern auch E-Mail-Adressen, Telefonnummern und sogar Kreditkarten-Nummern. Ein Datenleck verursacht aber auch das Unternehmen aufgrund interner Systemfehler durchaus selbst.
Die größten Datenlecks:
Facebook
Im April 2021 wurde das bisher größte Datenleck bei Facebook publik. Von weltweit 553 Millionen Nutzern sind ca. sechs Millionen deutsche Verbraucher betroffen. Hacker erbeuteten die Datensätze aufgrund einer Sicherheitslücke. Anschließend tauchten diese im Internet auf. Nach eigenen Angaben hatte Facebook diese Sicherheitslücke bereits 2019 schließen lassen. Schon damals waren sensible Datensätze der Nutzer veröffentlicht worden. Mittlerweile haben bereits einige Gerichte Facebook zur Zahlung von Schadensersatz an betroffene Verbraucher verurteilt.
Twitter
Auch bei Twitter gab es ein Datenleck, von dem etwa 5,4 Millionen Nutzer betroffen sind. Bereits im Januar 2022 war Twitter bekannt, dass eine Sicherheitslücke in ihrem System besteht. Diese wurde durch eine Code-Aktualisierung im Juni 2021 ausgelöst. Das ermöglichte Nutzern, zu überprüfen, ob ihr Twitter-Konto mit Telefonnummer oder E-Mail-Adresse verbunden ist. War dies der Fall, so gab Twitter die zugehörige Konto-ID preis. Ein paar Monate später wurde bekannt, dass Hacker diese Sicherheitslücke für sich genutzt haben. Die von ihnen gesammelten Daten boten sie in einem Hackerforum zum Verkauf an. Twitter bestätigte, dass die zum Verkauf stehenden Daten echt sind.
Deezer
Deezer, der internationale Musikstreaming-Dienstleister, ist neben Twitter und Facebook ebenfalls von einem Datenleck betroffen. Mehr als 229 Millionen Deezer-Nutzer haben mit einem Datenverlust zu rechnen. Verschuldet ist das Datenleck von einem Drittanbieter, mit dem Deezer bereits vor zwei Jahren die Zusammenarbeit beendet hatte. Dies ist der Grund dafür, dass der Datenverlust, der bereits 2019 stattgefunden hat, erst Ende 2022 bekannt wurde. Deezer selbst versicherte, dass die verlorenen Datensätze keine vertraulichen Daten wie Zahlungsdaten und Passwörter umfasse. Preisgegeben wurden Informationen wie Namen, Geburtsdaten und E-Mail-Adressen.
LinkedIn
Nicht zuletzt hatte auch die Karriereplattform LinkedIn im Juni 2021 mit einem Datenleck zu kämpfen. Die Daten von über 700 Millionen Nutzern sind auf einem Hackerforum zum Verkauf angeboten worden. Bei 756 Millionen Nutzern weltweit sind somit 93 Prozent vom Datenleck betroffen. Auch bei LinkedIn konnten die sensiblen Datensätze über eine Sicherheitslücke in der verwendeten Software erbeutet werden. Der Ausdruck "Scraping" (welcher mit "Schürfen" übersetzt wird) beschreibt eine Methode, mit der durch Programmiercodes systematisch Daten gesammelt und gespeichert werden. So soll es bereits im April 2021 möglich gewesen sein, die Daten von 500 Millionen Mitgliedern "abzusaugen" und anschließend zum Verkauf anzubieten. „Scraping“ wird von einigen Plattformen verwendet, ist jedoch für derartige Hackerangriffe anfällig.
Mastercard
Im Jahr 2019 wurde bekannt, dass das Kreditkarten-Unternehmen Mastercard Opfer eines Datenlecks wurde. Rund 90.000 Kundendaten waren öffentlich zugänglich. Im Rahmen des Bonusprogramms "Priceless Specials", durch das Kunden Rabatte von verschiedenen Unternehmen wie Sixt, Tui und Jochen Schweizer erhielten, waren die Kreditkarten-Nummern der Kunden vollständig einsehbar, jedoch nicht die Ablaufdaten und Prüfnummern. Ebenso waren persönliche Informationen wie voller Name, Anschrift, Geburtsdatum, E-Mail-Adresse sowie Telefonnummer betroffen. Mastercard machte einen Drittanbieter für das Datenleck verantwortlich.
Vom Datenleck betroffen?
Wenn es zu einem beträchtlichen Datenleck kommt, ist das ein Thema, das viel Aufmerksamkeit erhält. Sobald die Daten öffentlich zugänglich sind und zum Beispiel in Online-Foren geteilt werden, sammeln verschiedene Anbieter diese Informationen und fügen sie zu einer Datenbank zusammen. Mithilfe dieser Datenbank können Sie herausfinden, ob Ihre E-Mail-Adresse betroffen ist.
So schützen Sie sich vor Datenlecks
Personen-bezogene Daten sind zu einem wertvollen Gut im Internet geworden. Unternehmen sammeln alle möglichen Informationen, verarbeiten sie und nutzen sie für ihre eigenen Zwecke. Viele Unternehmen gehen mit personen-bezogenen Daten leichtfertig um. Durch die mangelhaften Sicherheits-Vorkehrungen von Onlineplattformen sind Hacker in der Lage, wertvolle Daten zu stehlen. Für betroffene Nutzer sind die Auswirkungen eines solchen Datendiebstahls verheerend. Verbraucher haben verschiedene Möglichkeiten, um sich vor künftigen Angriffen oder Rückwirkungen eines bereits stattgefundenen Datenklaus zu schützen:
- Sichern Sie Ihre Daten mit starken Passwörtern. Nutzen Sie, sofern möglich, die zweistufige Authentifizierung. Das bietet zusätzlichen Schutz.
- Verfolgen Sie die Datenlecks in den Medien. Ergreifen Sie, falls nötig, entsprechende Maßnahmen. Nutzen Sie Datenleck-Checker.
- Nutzen Sie bei öffentlichen WLAN-Netzwerken einen VPN-Anbieter.
- Passen Sie auf, was Sie im Internet posten. Offenbaren Sie keine vertraulichen Daten.
- Installieren Sie die neueste Sicherheitssoftware auf Ihrem Computer.
- Klicken Sie nicht auf Links von E-Mails, wo Absender oder Inhalt unseriös erscheinen.
Folgen eines Datenlecks
Die Folgen des Datenlecks sind weitläufig und reichen von Spam und Phishing bis hin zu Identitätsdiebstahl. Es ist entscheidend, umgehend aktiv zu werden, um die mangelnde Datensicherheit bei Unternehmen zu bekämpfen. Die Veröffentlichung sensibler Datensätze aufgrund von Datenlecks missbrauchen Cyber-Kriminelle. Dies sind die Folgen des Datenklaus:
Smishing
Smishing beinhaltet das Versenden von Textnachrichten mit schädlichen Links. Rufen Sie diesen Link auf, leitet Sie dieser auf eine Seite mit Malware weiter. Diese Software laden Sie unbemerkt auf das Mobilgerät herunter. Dies ermöglicht Kriminellen, auf das Gerät zuzugreifen und alle Aktivitäten darauf zu verfolgen. Oftmals nutzen Betrüger beim Versenden von Smishing-Nachrichten den Absender eines Versand-Unternehmens. Solche Nachrichten wirken realistisch. So geht der Verbraucher von einem seriösen Absender aus und ist geneigt, auf den Link zu klicken.
Phishing
Ein Datenleck ermöglicht es Cyber-Kriminellen, unerwünschte Phishing-Mails zu versenden. Betrüger geben sich als legitime Firma oder Regierungs-Behörde aus und fordern vom Empfänger meist sensible Daten wie Kontodetails oder Passwörter. Diese Mails enthalten schädliche Links und Dateien. Öffnen Sie diese unter keinen Umständen. Sonst droht Identitätsdiebstahl.
Vishing
Bei dieser Masche nutzen Betrüger automatisierte Anrufe, um ahnungslose Empfänger zur Preisgabe vertraulicher Informationen zu bewegen. Sie stellen sich als Bankarbeiter oder Telefon-Anbieter vor oder sogar als eine Person, die Sie persönlich kennen. So versuchen sie, Ihre Bankdaten, Passwörter oder Login-Daten zu erhalten. Bitte achten Sie darauf, dass Sie niemals sensible Daten telefonisch weitergeben.
Das sind Ihre Rechte und Ansprüche
Sind Sie vom Datenleck betroffen? Dann stehen Ihnen gemäß DSGVO verschiedene Rechte zu. Die DSGVO trat am 25.05.2018 in Kraft und legt innerhalb der EU Richtlinien für die Verarbeitung personen-bezogener Daten fest. Im Kontext mit Datenlecks haben drei Bestimmungen der DSGVO eine signifikante Bedeutung erlangt:
- Artikel 15
- Artikel 34
- Artikel 82
Dank dieser Vorschriften haben Sie die Möglichkeit, vom Unternehmen selbst Auskunft über die Verarbeitung Ihrer Daten zu verlangen. Konzerne sind außerdem verpflichtet, preiszugeben, wenn Ihre Daten gestohlen wurden. Des Weiteren steht Ihnen einen Anspruch auf Schadensersatz zu.
Nutzen Sie Ihre Chance auf Schadensersatz!
Gemäß DSGVO sind Unternehmen verpflichtet, angemessene Maßnahmen zu ergreifen, um die personen-bezogenen Daten ihrer Nutzer zu schützen. Verstoßen diese dabei gegen die Vorgaben der DSGVO, haben Betroffene nach Artikel 82 der DSGVO Ersatzansprüche. Ihnen steht ein immaterieller Schadensersatz zu. Dabei handelt es sich um die Kompensation der Veröffentlichung Ihrer Daten. Schließlich sind diese womöglich einem Missbrauch ausgesetzt. Ein finanzieller Schaden ist dabei nicht ausschlaggebend. Machen Sie von Ihrem Auskunftsanspruch nach Art. 15 DSGVO Gebrauch.
Der Auskunftsanspruch nach Art. 15 DSGVO – So erfahren Sie, ob Sie betroffen sind
Das Auskunftsrecht nach Art. 15 DSGVO ist ein entscheidendes Betroffenenrecht, das Transparenz schafft. Nur wenn man über den Umgang mit seinen personen-bezogenen Daten informiert ist, kann man die Rechtmäßigkeit der Verarbeitung überprüfen und entscheiden, ob weitere Rechte beansprucht werden müssen.
Betroffene haben das Recht, Informationen darüber zu erhalten, welche personen-bezogenen Daten das Unternehmen verarbeitet. Darüber hinaus sind Ihnen Informationen über die Verarbeitungs-Prozesse zu erteilen.
Wenn der Konzern keine Daten unter Ihrem Namen verarbeitet, hat dieser Ihnen das mitzuteilen (Negativauskunft). Wenn die Firma jedoch personen-bezogene Daten verarbeitet, besitzen Sie ein Anrecht darauf, dass diese Sie über Einzelheiten aufklärt. Gemäß Art. 15 DSGVO ist diese Auskunft nur betroffenen Personen zu erteilen. Sie haben jedoch die Möglichkeit, Ihren Rechtsbeistand zu bevollmächtigen. Dieser stellt für Sie einen Antrag auf Auskunftserteilung. Haben Sie einen Antrag auf Auskunftserteilung gemäß Art. 15 DSGVO gestellt? Dann hat Sie das Unternehmen innerhalb eines Monats über die Sie betreffenden Daten aufzuklären. Wird diese Frist versäumt oder erfolgt die Auskunft nicht ordnungsgemäß? Dann steht Ihnen ebenfalls ein Anspruch auf Schadensersatz zu.
- Auskunftspflicht nach Art. 34 DSGVO
Wenn Sie von einem Datenleck betroffen sind, hat das verantwortliche Unternehmen Sie darüber in Kenntnis zu setzten. Dies bedeutet, dass dieses Ihnen mitzuteilen hat, ob und in welchem Umfang Sie durch die Panne betroffen sind. Unternehmen sind oftmals aber nicht bereit, Schwachstellen der IT-Sicherheit einzugestehen, damit Schadenersatz-Forderungen ausbleiben. Setzen Sie Ihr Recht auf Auskunft mit juristischer Unterstützung durch.
- Durchsetzung Ihrer Ansprüche auf Schadensersatz
Die GfV steht Ihnen bei der Durchsetzung Ihrer Ansprüche und Rechte beratend zur Seite. Wir vermitteln Sie gerne an eine unserer Partnerkanzleien, die sich auf die Durchsetzung von Verbraucherrechten spezialisiert hat. Mittels kostenloser Ersteinschätzung Ihres Falles spricht Ihr Anwalt mit Ihnen Erfolgsaussichten sowie das genaue Vorgehen mit Ihnen ab. Anschließend entscheiden Sie, ob Sie Ihre Ansprüche gegen das jeweilige Unternehmen durchsetzen. Sind Sie von einem Datenleck betroffen? Dann hat Sie das Unternehmen, das die hochsensiblen Daten in Umlauf gebracht hat, geschädigt. Fordern Sie gemäß Artikel 82 der DSGVO eine Entschädigung. Die Höhe dieser Entschädigung ist individuell zu bemessen. Nach Ansicht der GfV scheint ein Schadensersatz-Anspruch in Höhe von bis zu 5.000 Euro angemessen.
Erfolgreiche Urteile - Deutsche Gerichte stärken Verbraucherrechte
Richterliche Urteile bezüglich der steigenden Anzahl von Datenlecks zeigen einen deutlichen Weg: Gerichte nehmen die Partei der Verbraucher ein, wenn es um Datenschutz-Verstöße geht. Diese sprechen ein Schadensersatzrecht zu.
Zuletzt hatte das Landgericht Paderborn die Verbraucherrechte bei Datenschutz-Verstößen nochmals gestärkt. Es verurteilte Facebook zu einer Schadensersatz-Zahlung in Höhe von 500 Euro. Begründet hat das Gericht seine Entscheidung damit, dass sich Facebook mehrere Verstöße gegen die DSGVO zuschulden kommen ließ. Auch das Landgericht Gießen verurteilte den Internetgiganten zu einer Schadensersatz-Zahlung in Höhe von 1.000 Euro und bestätigte hiermit ebenfalls die Auffassung, dass Facebook innerhalb des Datenlecks mehrfach gegen die DSGVO verstoßen hatte.
Die GfV rät
Prüfen Sie, ob Sie vom Datenleck betroffen sind. Stellt sich heraus, dass dies der Fall ist, wenden Sie sich unverbindlich an die GfV. Die GfV vermittelt Sie an eine unserer Partnerkanzleien, die sich auf die Durchsetzung von Verbraucherschutz-Rechten spezialisiert hat. Anschließend bespricht Ihr Anwalt mit Ihnen das weitere Vorgehen sowie die Erfolgschanchen. Der fahrlässige Umgang mit personen-bezogenen Daten ist nicht tragbar. Plattformen und Unternehmen haben zu einem bedachteren Umgang mit Ihren Daten ermahnt zu werden.