Datenklau: Knapp eine halbe Milliarde Daten im Darknet verfügbar
Großes Datenleck bei WhatsApp

Seit Mitte November 2022 stehen in einem Hackerforum rund eine halbe Milliarde WhatsApp-Kontakte zum Verkauf. Vom Datenleck sollen laut Medienberichten auch sechs Millionen deutsche Rufnummern betroffen sein. Die restlichen Daten verteilen sich weltweit. Der Hacker hat dem Online-Fachmagazin Cybernews einen kleinen Datensatz zur Überprüfung zur Verfügung gestellt. Alle Nummern waren über WhatsApp erreichbar, so Cybernews. Experten werten die positive Überprüfung als Hinweis darauf, dass die Daten echt sind.

Das aktuelle Diskussion um das Datenleck des Messenger-Dienstes WhatsApp zeigt, wie schnell hochsensible Daten von Kunden plötzlich für Dritte einsehbar und abgreifbar sind. Das ist für die Verbraucher brandgefährlich. Die Cyber-Kriminellen sind hinter dem Geld der Facebook-Kunden her. Sie versuchen mit Hilfe der gestohlenen Daten, Zugriff auf weitere hochsensible Daten wie Kontozugänge und Kreditkartennummern zu erlangen. Aus Sicht unserer Kanzlei hätte WhatsApp oder Facebook die Daten besser schützen müssen. WhatsApp gehört auch zur Meta-Gruppe wie Facebook und Instagram. Was ist jetzt im Detail zum Datenleck bei WhatsApp bekannt:

• Rund 500 Millionen WhatsApp-Kontakte hat ein Hacker beim Messenger-Dienst erbeutet. Wie er an die Daten herangekommen ist, lässt sich derzeit nicht klären. Der Hacker hat gegenüber dem Onlinemagazin Cybernews von „eigenen Methoden“ gesprochen.
• Das Magazin „Cybernews" spekuliert über eine automatisierte Suche nach möglichen Kontakten. Dahinter könnte auch ein "Scraping" stecken. Beim "Scraping" werden öffentlich zugängliche Daten im großen Stil zusammengetragen. Die AGB von WhatsApp verbietet das jedoch ausdrücklich. Ein solches Verbot hindert Hacker aber gerade nicht daran, Daten abzugreifen,
• Allerdings gibt es laut Medienberichten vom 29. Dezember 2022 Hinweise, dass die WhatsApp-Daten aus dem Datenleck bei Facebook stammen. Die in Hackerforen angebotenen WhatsApp-Datensätze sollen mit denen von Facebook übereinstimmen. Womöglich haben Kriminelle die Datensätze von Facebook nur recycelt, um noch einmal Geld mit dem Verkauf der Daten zu verdienen. Trifft diese Konstellation zu, gäbe es kein Datenleck bei WhatsApp. Aber das bei Facebook ist in jedem Fall real. Aufgrund des Datenlecks hat die irische Datenschutzbehörde DPC gegen Facebook eine Strafzahlung in Höhe von 265 Millionen Euro verhängt.
• Was kann den Betroffenen passieren, deren Telefonnummern in die Hände von Kriminellen geraten sind? Es drohen ungebetene und betrügerische Kontaktaufnahmen. Sollten Verbraucher Nachrichten von unbekannten Usern erhalten, ist Vorsicht angesagt. Insbesondere wenn Links in den Nachrichten angefügt sind oder um Geldüberweisungen gebeten wird. Ist der Absender der Nachricht unbekannt, sollte die Nummer am besten blockiert werden.
• Kriminelle sammeln durch Datenlecks hochsensible personenbezogene Daten und generieren auf diese Weise E-Mails oder SMS, um Schadsoftware auf Computern oder Handys zu installieren. Letztlich geht es um das Abgreifen von Geld.
• Inwieweit WhatsApp-Nutzer tatsächlich betroffen sind, lässt sich abschließend noch nicht überprüfen. Gut möglich, dass altgediente Dienste wie haveibeenpwned.com die Datensätze bald integrieren werden und eine seriöse Überprüfung zu lassen. Ist diese Überprüfung möglich, so übernimmt die Kanzlei Dr. Stoll & Sauer den Vorgang für ihre Mandaten. Eine Überprüfung der Betroffenheit zum Facebook-Datenleck führt unsere Kanzlei bereits in der kostenlosen Erstberatung für Mandaten aus.

Facebook (jetzt Meta) mit den zahlreichen Datenlecks zeigt, wie unvorsichtig Unternehmen mit den Daten ihrer Kunden umgehen. Auch bei der Tochter WhatsApp soll es ein riesiges Datenleck geben. Letztlich kann Betroffenen durch das Datenleck ein immaterieller Schaden entstanden sein. Sie müssen sich das folgendermaßen vorstellen: Sind die Daten erst einmal im ungeschützten Raum, ist Missbrauch Tür und Tor geöffnet und das zeitlich unbegrenzt. Die Betroffenen wissen nicht, was mit ihren von Kriminellen abgegriffenen Daten geschehen wird. Das kann schon beängstigend sein.

Und aufgrund dieser Unsicherheit liegt nach unserer Auffassung ein klarer Verstoß gegen die europäische Datenschutzgrundverordnung (DSGVO) vor. Deutsche Gerichte sprechen von Datenlecks und Datenschutz-Verstößen Betroffenen mittlerweile hohe Schadensersatzsummen zu. Die Chancen der Verbraucher auf Schadensersatz sind enorm gestiegen. Das gilt für alle Facetten des Datenschutzes – also Schufa-Angelegenheit, Sicherheitslücken in Unternehmen wie jüngst bei Twitter, Otto, Kaufland, Facebook, WhatsApp, Revolut, Entega und generell Verstößen gegen den Datenschutz. Mehr zum Thema Datenschutz hier.

Die Rechtslage ist derzeit höchst verbraucherfreundlich. Zurzeit urteilen deutsche Gerichte hohe Beträge an Schmerzensgeld bei Datenschutz-Verstößen aus. Grundlage dafür ist Artikel 82 der europäischen Datenschutzgrundverordnung (DSGVO). Das Unternehmen Meta (ehemals Facebook) ist zum Beispiel mit derzeit zwei Datenlecks konfrontiert. Einmal bei Facebook selbst und aktuell bei WhatsApp. Am Landgericht Zwickau ist Meta aufgrund eines Datenlecks beim Tochterunternehmen Facebook zur Zahlung von Schadensersatz in Höhe von 1000 Euro verurteilt worden. Andere Gerichte haben sogar bis zu 2000 Euro Schadensersatz ausgeurteilt. Möglich sind bis zu 5000 Euro. Zudem hat die irische Datenschutzbehörde DPC am 28. November 2022 aufgrund eine Strafzahlung gegen den Facebook-Mutterkonzern Meta in Höhe von 265 Euro verhängt. Auslöser von Ermittlungen der Datenschützer war ein Datenleck bei Facebook aus dem Frühjahr 2021. Mehr zum Datenleck beim Social-Media-Riese Facebook gibt es hier auf unserer Spezialseite.

Und auch beim Europäischen Gerichtshof deutet sich eine verbraucherfreundliche Rechtsprechung an. In einem Schlussantrag hat der EuGH-Generalanwalt Campos Sánches-Bordona unterstrichen, dass Schmerzensgeld zwar nur fällig wird, wenn tatsächlich ein materieller oder immaterieller Schaden nachweisbar ist. Nationale Gerichte sollen herausfinden, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann (Az.: C-300/21). Aber sollte es Klägern gelingen, etwa spürbare anhaltende negative Gefühle oder negative Konsequenzen aufgrund der Pflichtverletzung nachzuweisen, könnten Gerichte weiterhin immateriellen Schadensersatz zusprechen. Denn, wer Opfer eines Datenlecks beispielsweise bei Facebook geworden ist, der ärgert sich nicht nur darüber, dass sein E-Mail-Konto zugespammt wird, sondern der muss sich Sorgen darüber machen, ob seine sensiblen personenbezogenen Daten in die Hände von Kriminellen geraten. Da besteht die Gefahr, dass Bankgeschäfte oder Käufe getätigt werden.

Beim vorliegenden Fall des Messenger-Dienstes WhatsApp könnte die rechtliche Beurteilung ähnlich wie beim Facebook-Datenleck liegen. Hochsensible Daten von Kunden können plötzlich für Dritte einsehbar und abgreifbar sein. Und der Datenklau kann für Verbraucher gefährlich werden, wenn es den Kriminellen gelingt, an Kontodaten und Geheimnummern zu gelangen. Daher hätte WhatsApp die personenbezogenen Daten besser schützen müssen.

Juristische Bewertungen, datenschutzrechtliche Urteile, Entwicklungen am Europäischen Gerichtshof und wissenswerte Änderungen für Verbraucher – wichtige Nachrichten aus dem IT-Recht haben wir hier für Sie gesammelt.