Datenklau: Knapp eine halbe Milliarde Daten im Darknet verfügbar – Großes Datenleck bei WhatsApp

Allerdings verdichten sich die Hinweise, dass die WhatsApp-Daten aus dem Datenleck bei Facebook stammen. Unsere Kanzlei informiert Verbraucher über den nächsten Datenschutz-Skandal bei Facebook. Was können Betroffene unternehmen? Ansprüche auf Schadensersatz überprüfen unsere Anwälte im kostenlosen Online-Check. Und es liegen auch schon erste Urteile gegen den Mutterkonzern Meta vor.

Was über das Datenleck bei WhatsApp bekannt ist

Seit Mitte November 2022 stehen in einem Hackerforum rund eine halbe Milliarde WhatsApp-Kontakte zum Verkauf. Vom Datenleck sollen laut Medienberichten auch sechs Millionen deutsche Rufnummern betroffen sein. Die restlichen Daten verteilen sich weltweit. Der Hacker hat dem Online-Fachmagazin Cybernews einen kleinen Datensatz zur Überprüfung zur Verfügung gestellt. Alle Nummern waren über WhatsApp erreichbar, so Cybernews. Experten werten die positive Überprüfung als Hinweis darauf, dass die Daten echt sind.

Das aktuelle Diskussion um das Datenleck des Messenger-Dienstes WhatsApp zeigt, wie schnell hochsensible Daten von Kunden plötzlich für Dritte einsehbar und abgreifbar sind. Das ist für die Verbraucher brandgefährlich. Die Cyber-Kriminellen sind hinter dem Geld der Facebook-Kunden her. Sie versuchen mit Hilfe der gestohlenen Daten, Zugriff auf weitere hochsensible Daten wie Kontozugänge und Kreditkartennummern zu erlangen. Aus Sicht unserer Kanzlei hätte WhatsApp oder Facebook die Daten besser schützen müssen. WhatsApp gehört auch zur Meta-Gruppe wie Facebook und Instagram. Was ist jetzt im Detail zum Datenleck bei WhatsApp bekannt:

• Rund 500 Millionen WhatsApp-Kontakte hat ein Hacker beim Messenger-Dienst erbeutet. Wie er an die Daten herangekommen ist, lässt sich derzeit nicht klären. Der Hacker hat gegenüber dem Onlinemagazin Cybernews von „eigenen Methoden“ gesprochen.
• Das Magazin „Cybernews" spekuliert über eine automatisierte Suche nach möglichen Kontakten. Dahinter könnte auch ein "Scraping" stecken. Beim "Scraping" werden öffentlich zugängliche Daten im großen Stil zusammengetragen. Die AGB von WhatsApp verbietet das jedoch ausdrücklich. Ein solches Verbot hindert Hacker aber gerade nicht daran, Daten abzugreifen,
• Allerdings gibt es laut Medienberichten vom 29. Dezember 2022 Hinweise, dass die WhatsApp-Daten aus dem Datenleck bei Facebook stammen. Die in Hackerforen angebotenen WhatsApp-Datensätze sollen mit denen von Facebook übereinstimmen. Womöglich haben Kriminelle die Datensätze von Facebook nur recycelt, um noch einmal Geld mit dem Verkauf der Daten zu verdienen. Trifft diese Konstellation zu, gäbe es kein Datenleck bei WhatsApp. Aber das bei Facebook ist in jedem Fall real. Aufgrund des Datenlecks hat die irische Datenschutzbehörde DPC gegen Facebook eine Strafzahlung in Höhe von 265 Millionen Euro verhängt.
• Was kann den Betroffenen passieren, deren Telefonnummern in die Hände von Kriminellen geraten sind? Es drohen ungebetene und betrügerische Kontaktaufnahmen. Sollten Verbraucher Nachrichten von unbekannten Usern erhalten, ist Vorsicht angesagt. Insbesondere wenn Links in den Nachrichten angefügt sind oder um Geldüberweisungen gebeten wird. Ist der Absender der Nachricht unbekannt, sollte die Nummer am besten blockiert werden.
• Kriminelle sammeln durch Datenlecks hochsensible personenbezogene Daten und generieren auf diese Weise E-Mails oder SMS, um Schadsoftware auf Computern oder Handys zu installieren. Letztlich geht es um das Abgreifen von Geld.

• Inwieweit WhatsApp-Nutzer tatsächlich betroffen sind, lässt sich abschließend noch nicht überprüfen. Gut möglich, dass altgediente Dienste wie haveibeenpwned.com die Datensätze bald integrieren werden und eine seriöse Überprüfung zu lassen. Ist diese Überprüfung möglich, so übernimmt die Kanzlei Dr. Stoll & Sauer den Vorgang für ihre Mandaten. Eine Überprüfung der Betroffenheit zum Facebook-Datenleck führt unsere Kanzlei bereits in der kostenlosen Erstberatung für Mandaten aus.

Wie schätzt Dr. Stoll & Sauer das WhatsApp-Datenleck ein?

Facebook (jetzt Meta) mit den zahlreichen Datenlecks zeigt, wie unvorsichtig Unternehmen mit den Daten ihrer Kunden umgehen. Auch bei der Tochter WhatsApp soll es ein riesiges Datenleck geben. Letztlich kann Betroffenen durch das Datenleck ein immaterieller Schaden entstanden sein. Sie müssen sich das folgendermaßen vorstellen: Sind die Daten erst einmal im ungeschützten Raum, ist Missbrauch Tür und Tor geöffnet und das zeitlich unbegrenzt. Die Betroffenen wissen nicht, was mit ihren von Kriminellen abgegriffenen Daten geschehen wird. Das kann schon beängstigend sein.

Und aufgrund dieser Unsicherheit liegt nach unserer Auffassung ein klarer Verstoß gegen die europäische Datenschutzgrundverordnung (DSGVO) vor. Deutsche Gerichte sprechen von Datenlecks und Datenschutz-Verstößen Betroffenen mittlerweile hohe Schadensersatzsummen zu. Die Chancen der Verbraucher auf Schadensersatz sind enorm gestiegen. Das gilt für alle Facetten des Datenschutzes – also Schufa-Angelegenheit, Sicherheitslücken in Unternehmen wie jüngst bei Twitter, Otto, Kaufland, Facebook, WhatsApp, Revolut, Entega und generell Verstößen gegen den Datenschutz. Mehr zum Thema Datenschutz hier.

Prüfen Sie Ihre Betroffenheit eines Datenlecks

Die Kanzlei Dr. Stoll & Sauer steht Ihnen mit Anwälten für IT-Recht zur Seite. Sie verfügen über jahrelange Erfahrung und nehmen nach einer fundierten Prüfung und Beratung alle Formalitäten in die Hand. Gehen Sie wie folgt vor, um Ihren Schadensersatz erfolgreich durchzusetzen:

Wie ist die derzeitige Rechtslage bei Verstößen gegen den Datenschutz?

Die Rechtslage ist derzeit höchst verbraucherfreundlich. Zurzeit urteilen deutsche Gerichte hohe Beträge an Schmerzensgeld bei Datenschutz-Verstößen aus. Grundlage dafür ist Artikel 82 der europäischen Datenschutzgrundverordnung (DSGVO). Das Unternehmen Meta (ehemals Facebook) ist zum Beispiel mit derzeit zwei Datenlecks konfrontiert. Einmal bei Facebook selbst und aktuell bei WhatsApp. Am Landgericht Zwickau ist Meta aufgrund eines Datenlecks beim Tochterunternehmen Facebook zur Zahlung von Schadensersatz in Höhe von 1000 Euro verurteilt worden. Andere Gerichte haben sogar bis zu 2000 Euro Schadensersatz ausgeurteilt. Möglich sind bis zu 5000 Euro. Zudem hat die irische Datenschutzbehörde DPC am 28. November 2022 aufgrund eine Strafzahlung gegen den Facebook-Mutterkonzern Meta in Höhe von 265 Euro verhängt. Auslöser von Ermittlungen der Datenschützer war ein Datenleck bei Facebook aus dem Frühjahr 2021. Mehr zum Datenleck beim Social-Media-Riese Facebook gibt es hier auf unserer Spezialseite.

Und auch beim Europäischen Gerichtshof deutet sich eine verbraucherfreundliche Rechtsprechung an. In einem Schlussantrag hat der EuGH-Generalanwalt Campos Sánches-Bordona unterstrichen, dass Schmerzensgeld zwar nur fällig wird, wenn tatsächlich ein materieller oder immaterieller Schaden nachweisbar ist. Nationale Gerichte sollen herausfinden, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann (Az.: C-300/21). Aber sollte es Klägern gelingen, etwa spürbare anhaltende negative Gefühle oder negative Konsequenzen aufgrund der Pflichtverletzung nachzuweisen, könnten Gerichte weiterhin immateriellen Schadensersatz zusprechen. Denn, wer Opfer eines Datenlecks beispielsweise bei Facebook geworden ist, der ärgert sich nicht nur darüber, dass sein E-Mail-Konto zugespammt wird, sondern der muss sich Sorgen darüber machen, ob seine sensiblen personenbezogenen Daten in die Hände von Kriminellen geraten. Da besteht die Gefahr, dass Bankgeschäfte oder Käufe getätigt werden.

Beim vorliegenden Fall des Messenger-Dienstes WhatsApp könnte die rechtliche Beurteilung ähnlich wie beim Facebook-Datenleck liegen. Hochsensible Daten von Kunden können plötzlich für Dritte einsehbar und abgreifbar sein. Und der Datenklau kann für Verbraucher gefährlich werden, wenn es den Kriminellen gelingt, an Kontodaten und Geheimnummern zu gelangen. Daher hätte WhatsApp die personenbezogenen Daten besser schützen müssen.

Tipps und Tricks zum Datenschutz

Unternehmen, Behörden und Arbeitgeber sammeln Daten von Verbrauchern, verarbeiten sie, nutzen sie für ihre Zwecke und verdienen damit oft auch Geld. Gerade Facebook gehört zu den großen Datensammlern im Internet. Allerdings wird mit den personenbezogenen Daten oft leichtfertig umgegangen, so dass es zu Verstößen gegen datenschutzrechtliche Normen kommt. Beim Facebook-Datenleck hat das Unternehmen die Daten der Kunden nur unzureichend vor Hacker-Angriffen geschützt, urteilen vermehrt Gerichte. Was können Verbraucher unternehmen, um sich jetzt nachträglich vor weiteren kriminellen Angriffen zu schützen? Und was ergibt Sinn, um sich zukünftig vor Zugriffen von Dritten zu schützen? Hier einige generelle Tipps, die sich Verbraucher zu Herzen nehmen sollten.

• Das Facebook-Passwort sollte, so wie bei anderen Online-Accounts auch, häufiger geändert werden. Dabei ist es ratsam, die Regeln für ein starkes Passwort zu beachten. Den Ratschlag zur Änderung von Passwörtern sollte auch bei anderen Internet-Accounts beherzigt werden.
• Auch das Passwort für den E-Mail-Account sollte geändert werden. Es macht generell Sinn, Passwörter häufig zu ändern. Das gilt auch vor allem fürs Online-Banking.
• Mehrere E-Mail-Accounts für unterschiedliche Internet-Aktivitäten sind auch sinnvoll also beispielsweise fürs Einkaufen, für die sozialen Medien oder für Familie und Freunde. Wenn ein Konto geknackt wurde, hält sich der Schaden in Grenzen.
• Finger weg von E-Mails und SMS von unbekannter Herkunft. Links oder Anhänge in solchen Nachrichten niemals öffnen. Die E-Mails sollten auch nicht beantwortet werden.
• Auch wenn es mühselig ist: Hin und wieder sollte die mobile Rufnummer geändert werden.