Datenlecks - sind Sie betroffen?
Kanzlei für IT-Recht
Hier geht es zum Datenleck-Checker
  • Über 100.000 Mandanten vertrauen uns

  • Bis zu 3.000€ Schadensersatz erhalten

  • Schnell – sicher – unverbindlich

Weiter

Facebook-Datenleck: BGH sieht Ansprüche auf Schadensersatz / Meta-Sammelklage eingereicht
Massive Datenlecks im Internet – Wir verhelfen Ihnen zu Ihrem Recht

Die Meldungen über Datenlecks, Spam-Mails und täuschend echt wirkende SMS verunsichern die Verbraucher. Cyberkriminelle nutzen Datenlecks für ihre Raubzüge aus. Doch es gibt gute Nachrichten: Die Rechtsprechung ist auf Seiten der Verbraucher. Vom Europäischen Gerichtshof (EuGH) gibt es mit einem sensationellen Urteil vom 4. Mai 2023 Rückenwind. Ist durch einen Datenschutz-Verstoß einem Verbraucher ein Schaden entstanden,  so steht ihm Schadensersatz zu, urteilten die Richter am EuGH (Az.: C-300/21).

Auch der Bundesgerichtshof (BGH) hat am 18. November 2024 zum Facebook-Datenleck im Sinne der Verbraucher entschieden(Az.: VI ZR 10/24). Aktuell hat am 9. Dezember 2024 der Verbraucherzentrale Bundesverband (vzbv) gegen Meta eine Facebook-Sammelklage auf den Weg gebracht. Anwälte unserer Kanzlei haben für den vzbv am Hanseatischen Oberlandesgericht Hamburg die Meta-Sammelklage eingereicht. 

Nie war es für Opfer eines Datenlecks so leicht, an Schadensersatz heranzukommen. Nutzen Sie unsere kostenlose Erstberatung.

Inhaltsverzeichnis

Datenleck bei unzähligen Unternehmen: So kam es dazu

Im Juni 2021 wurde bekannt, dass zahllose Datensätze von Kunden großer Online-Shops ungeschützt im Internet standen – schuld soll eine schlecht gesicherte Softwareschnittstelle eines IT-Dienstleisters gewesen sein. Betroffen waren bekannte Namen wie OTTO, Media Markt, Idealo und Kaufland.

Das Datenleck ist durch einen unzulänglich gesicherten Händlerzugang des Gelsenkirchener IT-Dienstleisters Modern Solution entstanden. Kunden des Dienstleisters sind Händler, die ihre Produkte auf verschiedenen Online-Marktplätzen anbieten. Per Zufallsfund deckte ein IT-Spezialist die Lücke auf: Kunden von Modern Solution konnten auf dem Server des Dienstleisters die Datenbanken aller anderen Kunden sowie die Transaktionen von deren Endkunden einsehen. Sensible Daten wie Mail- und Postadressen, Bestellinformationen, Telefonnummern und sogar Bankverbindungen waren frei im Netz einsehbar – teilweise über einen beachtlichen Zeitraum von mehreren Jahren.

Sicherheitsexperten befürchten finanzielle Folgeschäden für die Betroffenen – das sind rund 700.000 Verbraucher. Nach Aussage des IT-Spezialisten habe es eine Verschlüsselung nicht gegeben. Noch dazu seien alte Kundendaten seit Jahren nicht gelöscht worden. Dabei dürfen Kundendaten nur so lange gespeichert werden, wie sie benötigt werden oder so lange wie das Gesetz eine Aufbewahrungspflicht vorschreibt.

Unternehmen verletzen ihre Auskunftspflicht – Ihr Anspruch auf Schadensersatz

Nach der Entdeckung des Datenlecks wurden Betroffene nicht informiert – weder seitens des IT-Dienstleisters noch der einzelnen Plattformen. Bis heute warten betroffene Verbraucher auf die gemäß Art. 34 DSGVO gesetzlich geforderte Benachrichtigung. Solange Sie nicht von Ihrer Betroffenheit wissen, können Sie auch keine Gegenmaßnahmen ergreifen. Aus diesem Grund stellen wir Ihnen ein kostenloses Online-Formular zur Verfügung und prüfen Ihren individuellen Fall im Datenskandal.

Die Kanzlei Dr. Stoll & Sauer ist der Auffassung, dass die Verantwortlichen eine Auskunftspflicht ihren Kunden gegenüber haben, der sie allerdings nicht nachgekommen sind. Alleine durch die unterlassene Benachrichtigung haben betroffene Verbraucher Anspruch auf Schadensersatz  das sieht die DSGVO in Art. 82 vor. Es besteht eine Pflichtverletzung gegenüber der Verbraucher.

Datenklau - Schadensersatz
Step-by-Step

So machen Sie Ihre Ansprüche im Datenskandal geltend

  • Erstberatung

    1. Kostenlose Erstberatung nutzen

    Füllen Sie das Online-Formular aus und ermitteln, ob Sie vom großen Datenleck betroffen sind.

  • Vertrauen

    2. Rechte durchsetzen

    Den Rest erledigen wir: Wir vertreten Sie im Rechtsstreit und machen Ihren Schadensersatzanspruch geltend.

  • Recht bekommen

    3. Geld erhalten

    Sie lehnen sich entspannt zurück und kassieren Schadensersatz.

Kostenlose Erstberatung direkt online abrufen

Informieren Sie sich schnell, sicher und kostenlos. Geben Sie zur Erstellung Ihres persönlichen Zugangs Name, E-Mail-Adresse und Telefonnummer ein. Nach der Registrierung werden alle weiteren Schritte auf unserem abgesicherten Mandanten-Portal durchgeführt.

Bitte um dieses Video zu sehen.

BGH stellt sich beim Facebook-Datenleck auf Seiten der Verbraucher
Datenleck Facebook: Bundesgerichtshof sieht Ansprüche auf Schadensersatz

Der Bundesgerichtshof (BGH) hat am 18. November 2024 entschieden, dass Facebook-Nutzer aufgrund des Datenlecks Ansprüche auf Schadensersatz haben, wenn sie aufgrund einer Verletzung der Datenschutzgrundverordnung die Kontrolle über ihre persönlichen Daten verloren haben. Dies gilt unabhängig davon, ob konkrete Beeinträchtigungen oder Ängste nachweisbar sind.

  • Höhe des Schadensersatzes: Der BGH hält 100 Euro für angemessen, wenn keine konkreten Beeinträchtigungen nachgewiesen werden, die über den reinen Kontrollverlust über die Daten hinausgeht. Diesen Betrag müsse man aufwenden, um die Kontrolle über die Daten wiederzuerlangen, z.B: durch einen Rufnummernwechsel. Betroffene müssen jedoch den Nachweis erbringen, dass sieeinen Kontrollverlust erlitten habe. „Ist dieser Nachweis erbracht, stellt der Kontrollverlust selbst einen immateriellen Schaden dar. Es bedarf damit nicht des Nachweises sich aus dem Kontrollverlust entwickelnder besonderer Befürchtungen oder Ängste der betroffenen Person. Diese können lediglich den eingetretenen immateriellen Schaden noch vertiefen bzw. vergrößern“, führte der Vorsitzende Richter am 18. November 2024 aus. Weiter macht der BGH klar: „Für die Schlüssigkeit einer Schadenersatzklage muss der Betroffene jedoch nur darlegen, dass und in welcher Weise er von dem „Scraping“ betroffen war und welche Folgen dies für ihn hatte.“ Kommen große Sorgen und Ängste aufgrund des Datenlecks beim Verbraucher durch, könnte also der Schadensersatz über die vom BGH vorgeschlagenen 100 Euro hinaus gehen.
  • Zukünftige Schäden: Zudem erweitert der BGH die Haftung auf potenzielle zukünftige Schäden, einschließlich solcher, die aus dem Missbrauch von Daten aus dem Darknet resultieren könnten.
  • Die Höhe der Ansprüche auf Schadensersatz wird von Gericht zu Gericht bisher höchst unterschiedlich gehandhabt. Das Landgericht München hat einem Kläger 3000 Euro Schadensersatz zugesprochen. Er konnte glaubhaft nachweisen, dass sein Leben aufgrund des Facebook-Datenlecks unsicherer geworden ist. Die Furcht, in Zukunft Opfer eines Betrugs zu werden, hat bei ihm zu Nöten und Sorgen geführt (Az.: 47 O 461/24). 

Mehr Informationen zur Verhandlung am BGH zum Facebook-Datenleck gibt es hier (Az.: VI ZR 10/24). 

Bundesgerichtshof

Ansprüche auf Schadensersatz nach Verstoß gegen Datenschutz möglich
EuGH erleichtert Klagen gegen Facebook, Twitter, Deezer & Co

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 4. Mai 2023 die grundsätzliche Frage geklärt, wann es bei Verstößen gegen den Datenschutz Schadensersatz gibt. Unterm Strich hat das Gericht Verbraucherrechte gestärkt und die Chancen auf Schadensersatz enorm erhöht (Az.: C-300/21). Was hat das Gericht im Details entschieden: 

Erstens gibt es nur dann Schadensersatz, wenn tatsächlich ein materieller oder auch immaterieller Schaden eingetreten ist. Voraussetzung dafür ist natürlich, dass ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) vorliegt. Beispielsweise sind bei einem Datenleck wie bei Facebook, Deezer oder Twitter in der Regel die personenbezogenen Daten nicht ausreichend geschützt und gesichert worden. Das haben schon etliche Gerichte in Deutschland so entschieden. Durch diesen Verstoß gegen den Datenschutz in Form einer ungenügenden Datensicherung ist den Kunden und Verbrauchern ein Schaden entstanden. Daher steht ihnen Schadensersatz zu. Der materielle Schaden lässt sich einfach ermitteln, wenn das Bankkonto leergeräumt oder die Kreditkarte missbraucht wurde. Beim Immateriellen Schaden geht es um künftige mögliche Schäden. Kriminelle sammeln personenbezogene Daten aus unterschiedlichen Datenlecks und können diese beispielsweise zu einem Identitäts-Diebstahl nutzen. Der Schaden liegt im Verlust und der Kontrolle der Daten in der Zukunft.

Zweitens hat der EuGH klar festgestellt, dass es keine Bagatellfälle gibt. Liegt ein Schaden durch einen Datenschutzverstoß vor, wird Schadensersatz fällig, egal wie klein oder groß der Schaden auch ist. 

Drittens stellt die DSGVO keine Regeln zur Bemessung des Schadensersatzes zur Verfügung. Kriterien dafür müssen die Mitgliedsstaaten selbst ermitteln. Wichtig dabei ist dem Gericht, dass dabei ein vollständiger und wirksamer Schadenersatz für den erlittenen Schaden sichergestellt wird. 

Mit dieser Rechtsprechung stärkt der EuGH die Rechte der Verbraucher und erleichtert die Durchsetzung der Ansprüche auf Schadensersatz. Nutzen Sie unseren kostenlosen Online-Check zur Erstberatung. 

Arbeitsrecht EuGH

Datenleck bei OTTO, Media Markt, Idealo und Co.

Große Unternehmen wie OTTO, Media Markt, Kaufland und Idealo verkaufen im Internet nicht nur ihre eigenen Produkte, sondern betreiben auf ihren Webseiten auch weitere Marktplätze. So bieten sie ihren Kunden die Möglichkeit, Produkte externer Händler über ihren Online-Shop zu erwerben. Häufig bemerken Käufer beim Bestellvorgang dabei gar nicht, dass die Waren von einem Dritthändler kommen. Diese sind über eine Schnittstelle mit dem Online-Marktplatz verbunden und bedienen sich der Hilfe eines sogenannten Schnittstellendienstleisters.

Der zuständige IT-Dienstleister hatte die Kundendaten dieser großen Handelsunternehmen allerdings nicht ausreichend geschützt. Die Folge: Seit 2018 konnten über 1.000.000 sensible Datensätze von Nutzern der Online-Marktplätze von OTTO, Media Markt und Co. im Internet weitgehend ungesichert eingesehen werden. Eine Verschlüsselung der Daten fand nicht statt. Kundendaten wurden zu dem seit Jahren nicht gelöscht. Der Dienstleister soll die Lücke erst im Sommer 2021 geschlossen haben. Über mindestens drei Jahre hinweg waren die Daten nahezu frei zugänglich.

Für betroffene Kunden eine Katastrophe. Denn Schweizer Sicherheitsexperten haben festgestellt, dass die Datensätze sehr konkrete Inhalte haben. Phishing und Identitätsdiebstahl seien demnach nicht ausgeschlossen, sollten die Informationen im Darknet gelandet sein, so die Experten. Auch Kriminelle können auf diese Daten zugreifen. Sicherheitsexperten raten deshalb zur Vorsicht bei verdächtigen E-Mails, wenn Sie ein vermeintlicher Händler unerwartet kontaktiert.

Die vom Datenleck betroffenen Verbraucher haben Anspruch auf Auskunft und Schadensersatz. Das Datenleck stellt eine eindeutige Pflichtverletzung des verantwortlichen Dienstleisters dar. Hieraus lässt sich für betroffene ein Schadensersatzanspruch aus Artikel 82 der Datenschutzgrundverordnung (DSGVO) herleiten. Deutsche Gerichte haben in den vergangenen Monaten hohe Schadensersatzforderungen den Verbrauchern zugebilligt.

IT-Recht Beratung

Die wenigsten wissen, dass sie von einem Datenleck betroffen sind.

Das Sicherheitsrisiko ist enorm – nehmen Sie Ihren Anspruch war!

✓ schnell   ✓ sicher   ✓ unverbindlich

Auch der Netzwerkriese hat Probleme
Datenlecks bei Facebook

Nicht nachvollziehbare Datenschutzbestimmungen haben bereits in den vergangenen Jahren die öffentliche Wahrnehmung von Facebook geprägt. Zuletzt sorgten neue Tricks von Hackern an Ostern 2021 für Aufsehen: Sensible Daten von insgesamt 530 Millionen Personen wurden aus einer Sicherheitslücke des Facebook-Netzwerks erbeutet und im Internet veröffentlicht. Diese beinhalten Namen, E-Mail-Adressen, Handynummern, Geburtsdaten sowie Angaben zum Beziehungsstatus. Unter den Betroffenen sollen rund sechs Millionen Nutzer aus Deutschland sein.

Für Betroffene stellt die Datenpanne eine besondere Gefahr dar. Durch die veröffentlichten Daten gibt es ein vermehrtes Aufkommen von betrügerischen Spam-Nachrichten. Oftmals sind solche Nachrichten bei genauem Hinsehen ohnehin nicht besonders glaubwürdig, allerdings kann sich dies durch die Datenfülle der geleakten Informationen schnell ändern. Mit der Kenntnis von all den Informationen, die ein Facebook-Profil hergibt, können die Nachrichten immer authentischer gestaltet werden.

Auf der Grundlage Ihres Auskunftsrechts nach Art. 15 DSGVO können Sie Auskunft gegenüber Facebook verlangen, ob Sie vom Datenleck betroffen sind. Wird Ihnen keine oder eine unvollständige Auskunft erteilt, kann sich daraus ein Schadensersatzanspruch aus Art. 82 DSGVO für Sie ergeben. Die Kanzlei Dr. Stoll & Sauer berät Sie gerne zu Ihren Ansprüchen und Gegenmaßnahmen.

Mehr Informationen und Hintergründe zum Datenleck bei Facebook haben wir hier auf unserer Facebook Spezialseite zusammengefasst.

E-Mail-Anbieter GMX im Fokus von Hackerangriffen

Als im Januar 2019 personenbezogene Daten von Politikern, Prominenten und Journalisten ausgespäht und ins Internet gestellt wurden, geriet vor allem der deutsche E-Mail-Anbieter GMX in die Kritik. Der Hacker soll eine Sicherheitslücke im Passwort-Bereich genutzt haben, um die Konten zu kapern. Hauptkritik an GMX war, dass der Anbieter keine Zwei-Faktor-Authentifizierung nutzte – das erleichterte einen Einbruch in unzählige Konten.

Ein Experiment eines Schweizer IT-Experten verdeutlichte, wie schnell Cyberkriminelle ein Nutzerkonto übernehmen, wenn ein geleaktes Passwort nach einem Datenleck weiterhin verwendet wird. Eine von Kriminellen häufig genutzte Liste beinhaltet rund 593 Millionen eindeutige E-Mail-Adressen – viele davon mit dazugehörenden Passwörtern. Diese wurden von verschiedenen Online-Diensten gefischt. Angreifer nutzen diese Liste, um Credential Stuffing zu betreiben. In solch einer Liste befanden sich rund 140.000 GMX-Adressen.

Beim Credential Stuffing handelt es sich um einen Cyberangriff, bei dem die geleakten Anmeldedaten verwendet werden, um sich bei einem anderen Dienst anzumelden. Da ellenlange Listen mit erbeuteten Benutzernamen und Passwörtern auf dem Schwarzmarkt verkauft werden, tritt Credential Stuffing immer häufiger auf – mit ihnen werden millionenschwere Geschäfte gemacht.

Datenleck bei Neobank Revolut betrifft 50.000 Kunden

Bei einem Cyperangriff auf die Smartphone Bank Revolut haben Kriminelle sich Zugriff auf rund 50.000 Kundendaten verschafft. Wie das britische Fintech der Aufsichtsbehörde in Litauen mitteilte, sei der unerlaubte Zugriff am späten Abend des 11. Septembers 2022 entdeckt worden. Am nächsten Morgen konnte das Datenleck geschlossen werden. Revolut arbeitet mit einer litauischen Banklizenz. Revolut-Kunden sollten sich unbedingt anwaltlich beraten lassen. Laut Revolut sollen keine „Kartendaten, PINs oder Passwörter abgegriffen“ worden sein. In einer Mitteilung an die Kunden heißt es jedoch, dass die Hacker wahrscheinlich teilweise auf Kartenzahlungsdaten sowie Namen, Adressen, E-Mail-Adressen und Telefonnummern zugegriffen hätten. Revolut warnt deshalb seine Kundschaft vor Phishing-Versuchen, die jemand mit den kopierten Daten durchführen könnte. Niemals, so das Unternehmen weiter, werden Kunden angerufen oder per SMS kontaktiert, um nach Log-in-Daten oder Ähnlichem zu fragen.

Den betroffenen Kunden ist ein immaterieller Schaden nach Artikel 82 der europäischen Datenschutzgrundverordnung (DSGVO) entstanden. Private Daten könnten sich in die Hände von Kriminellen befinden. 

Diese Unternehmen sind auch betroffen
Weitere Fälle zu Datenlecks

Vom kleinen Start-Up Raisin Pension bis hin zur riesigen Fluggesellschaft easyJet: Diverse Unternehmen waren in den vergangenen Jahren von Datenlecks betroffen. Erst im Jahr 2021 mussten Raisin Pension, Amorelie und Spreadshirt massive Datenverluste einräumen. Geleakt wurden u.a. Bankdaten, Vertragsdaten, Zugangsdaten sowie Bestellinformationen.

Ähnlich prominent waren die Hackerangriffe auf Scalable Capital: Das Datenleck führte beim Vermögensverwalter dazu, dass vertrauliche Datensätze von rund 33.000 Personen in die Hände unbefugter Dritter gelangten. Beim Bonusprogramm Mastercard Priceless Specials waren es sogar rund 90.000 Datensätze, die infolge einer IT-Sicherheitslücke abhandengekommen sind. Ein Leck in einer vergleichbaren Größenordnung musste der größte Hardware-Wallet-Anbieter Ledger vermelden. Unbekannte hatten sich Zugriff auf personenbezogene Daten von rund einer Millionen Kunden verschafft.

Führerschein-Nummern, Namen, Zahlungsdaten und noch mehr Kundendaten der Autovermietung Buchbinder waren im Januar 2020 wochenlang im Internet abrufbar. Laut der Berichterstattung waren 3,1 Millionen Kunden vom Datenleck betroffen. Ein zahlenmäßig noch größerer Vorfall ereignete sich bei easyJet. Bei einem Angriff auf die Billigfluggesellschaft erbeuteten Hacker sensible Daten von rund 9 Millionen Kunden. Laut der Berichterstattung sind Anschriften, Reisedaten und E-Mail-Adressen der Betroffenen abgegriffen worden – in 2200 Fällen auch Kreditkartendaten.

Unsere kostenlose Erstberatung schafft Gewissheit, wenn Sie ein Kunde der oben genannten Unternehmen sind. Gegen den Missbrauch Ihrer Daten können Sie sich mit unserer Hilfe zur Wehr setzen – wir machen Ihre Ansprüche geltend.

Erste Urteile in Datenleck-Fällen
Beginn der gerichtlichen Aufarbeitung

Die deutschen Gerichte haben bereits den Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO zugesprochen. Die Norm wird von den Gerichten zunehmend weit ausgelegt. Diese vertreten die Ansicht, dass Schadensersatzsummen eine abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müssen. In den folgenden Fällen haben deutsche Gerichte in Verfahren zu ähnlichen Sachverhalten im Datenschutzrecht hohe Schadensersatzsummen im vierstelligen Bereich zugesagt. Möglich sind bis zu 5000 Euro:

  • 14.9.2022: Das Landgericht Zwickau hat  Facebook zur Zahlung von 1000 Euro Schadensersatz verurteilt. Einem User sei durch ein Datenleck im Frühjahr 2021 ein immaterieller Schaden im Sinne der europäischen Datenschutzgrundverordnung (DSGVO) entstanden.
  • 09.12.2021: Das Landgericht München verurteilte den Online-Broker Scalable Capital zur Zahlung von Schadensersatz in Höhe von 2.500 Euro an den Kläger, dessen persönliche Daten infolge eines Datenlecks im Netz veröffentlicht wurden. Das Unternehmen habe versäumt die Daten ihrer Kunden ausreichend zu schützen.
  • 12.11.2021: Das Landgericht Mainz hat einem Kläger einen Schadensersatzbetrag in Höhe von 5.000 Euro wegen zunächst nicht gelöschtem negativen SCHUFA-Eintrag zugesagt. Das Inkassobüro hatte die SCHUFA nicht über den Ausgleich der Forderung informiert. Dem Kläger war durch den negativen Eintrag ein immaterieller Schaden nach Art. 82 DSGVO – im Sinne der Einschätzung seiner Kreditwürdigkeit durch Dritte – entstanden.
  • 28.10.2021: Das Oberlandesgericht Düsseldorf hat einer Klägerin wegen eines Datenschutzverstoßes Ihrer Krankenkasse immateriellen Schadensersatz in Höhe von 2.000 Euro zugesprochen. Die Klägerin hatte bei Ihrer Krankenkasse die Zusendung Ihrer Gesundheitsakte an Ihre E-Mail-Adresse angefordert. Da die Akte an das falsche Postfach verschickt wurde – ohne die E-Mail oder den Anhang zu verschlüsseln – stellte das OLG einen Verstoß gegen Art. 6 Abs. 1 DGSVO fest.
Abgasskandal MFK

Datenleck bei LinkedIn trifft rund 700 Millionen Nutzer

Jetzt hat es auch die Microsoft-Tochter LinkedIn erwischt. Nach Medienberichten sollen unglaubliche 700 Millionen Kunden vom Datenklau betroffen sein. Die Wahrscheinlichkeit, dass hochsensible Daten von Kunden des Karrierenetzwerks in kriminelle Hände geraten sind, ist enorm. E-Mail-Adressen, vollständige Namen, Telefonnummern, Adressen, Ortungsdaten, beruflicher Hintergrund, Geschlecht und weitere Social-Media-Accounts samt Nutzernamen sind nach Medienberichten durch das Datenleck erbeutet worden. Auch die Microsoft-Tochter LinkedIn hat es jetzt erwischt. Nach Medienberichten sollen unglaubliche 700 Millionen Kunden vom Datenklau betroffen sein. Die Wahrscheinlichkeit, dass hochsensible Daten von Kunden des Karrierenetzwerks in kriminelle Hände geraten sind, ist enorm. E-Mail-Adressen, vollständige Namen, Telefonnummern, Adressen, Ortungsdaten, beruflicher Hintergrund, Geschlecht und weitere Social-Media-Accounts samt Nutzernamen sind nach Medienberichten durch das Datenleck erbeutet worden. Mehr zum Datenleck bei LinkedIn gibt es auf unsere Spezialseite hier.

Auch Twitter muss sich mit Datenleck beschäftigen

Das Datenleck bei Twitter entwickelt sich zu einer wahren Räuberpistole. Nach unterschiedlichen Medienberichten sollen in einem Hackerforum rund 400 Millionen Datensätze von Twitter-Nutzern zum Verkauf angeboten werden. Ein Hacker mit dem Namen „Ryushi„ hat Twitter-Boss Elon Musk in dem Forum dazu aufgefordert, die Datensätze selbst aufzukaufen. Er rät ihm zum Kauf, damit Musk einer möglichen Geldbuße in Millionenhöhe entgeht, die beispielsweise Facebook nach einem Datenleck aufgebrummt bekommen hat, weil die Kundendaten nicht ausreichend vor kriminellem Zugriff geschützt worden waren. Der Hacker will für die Daten 200.000 US-Dollar haben. Mehr zum Datenleck bei Twitter gibt es auf unsere Spezialseite hier.

Jetzt hat auch Bezahldienstleister PayPal ein Datenleck

Mit PayPal hat es jetzt nach Mastercard den nächsten Zahlungsdienstleister mit einem Datenleck erwischt. Knapp 35.000 Kunden sind von der Datenpanne nach Angaben von PayPal betroffen. Nach Medienberichten entdeckte PayPal den Hackerangriff am 20. Dezember 2022. Bei der eingeleiteten Untersuchung stellte sich heraus, dass der Angriff bereits zwischen dem 6. und 8. Dezember stattgefunden hat. Die kriminellen Hacker haben bei einer sogenannten Credential-Stuffing-Attacke zahlreiche Zugangsdaten ausgetestet – und hatten in knapp 35.000 Fällen Erfolg. Credential Stuffing gehört zu den gängigsten Cyberangriffsmethoden. Dabei werden zuvor geleakte oder illegal erlangte Anmeldedaten genutzt, um sie für den unbefugten Zugang bei anderen Diensten massenhaft auszuprobieren. Die Angreifer gehen davon aus, dass Anwender ihre Login-Daten mit gleichen Benutzernamen und Passwörtern bei mehreren Diensten gleichzeitig verwenden. Der Fall PayPal zeigt:  Anmeldedaten sollten nie für unterschiedliche Accounts genutzt werden. Mehr dazu hier.

Uhrenhändler Watchfinder muss Datenleck eingestehen

Die Häufigkeit von bekannt gewordenen Datenlecks nimmt zu. Beim Onlinehändler für Secondhand-Uhren Watchfinder konnten sich Kriminelle Zugriff auf Kundenkonten verschaffen. Watchfinder hat nach eigenen Angaben Kunden von der Datenpanne informiert und sie zur Wachsamkeit ermahnt. Bei den betroffenen Daten soll es sich um E-Mail-Adressen, Telefonnummern und Einkaufshistorien der Kunden handeln. Postadresse, Passwörter, Kreditkartendaten und andere Bankinformationen sollen nicht abgegriffen worden sein. Watchfinder gehört zum britischen Schmuck- und Uhrenkonzern Richemont. Den Watchfinder-Kunden ist aus Sicht der Kanzlei Dr. Stoll & Sauer ein sogenannter immaterieller Schaden entstanden. Mehr zum Thema gibt es hier.

Büroausstatter Chairholder informiert Kunden über Datenleck

Der renommierte Büroausstatter Chairholder hat seine registrierten Kunden am 3. Februar 2023 über ein Datenleck informieren müssen. Das Unternehmen berichtete per E-Mail  an seine Kunden über konkrete Hinweise, dass unbekannte Hacker Zugriff auf die Kundendatenbanken erhalten haben. "Nach den uns bislang vorliegenden Informationen müssen wir bedauerlicherweise im schlimmsten Fall davon ausgehen, dass auch in Ihre Kundendaten (Name, Anschrift, Telefon- und/oder Mobilnummer und E-Mail) durch die Angreifer eingesehen werden konnten". heißt es in der E-Mail. Die zuständige Staatsanwaltschaft wurde eingeschaltet. Ein spezialisiertes IT-Sicherheitsunternehmen untersucht den Angriff und unterstützt Chairholder dabei, die IT-Systeme gegen vergleichbare Angriffe für die Zukunft noch besser abzusichern.

Bitmarck: Datenleck bei IT-Dienstleister der Krankenkassen

Das Unternehmen Bitmarck, das insbesondere für gesetzliche Krankenkassen IT-Dienstleistungen bereitstellt, ist am 19. Januar 2023 Opfer eines Cyber-Angriffs geworden. Cyberkriminellen ist es nach Medienberichten gelungen, Daten aus dem Projektmanagement Jira und Unternehmensdatenbanken abzuziehen. Der Datenklau könnte das Versicherungswesen in Deutschland erschüttern. Bitmarck ist einer der führenden Anbieter für IT-Lösungen im deutschen Versicherungsbereich des Gesundheitswesens. Zu den Kunden gehört ein Großteil der Betriebskrankenkassen, aber etwa auch die DAK. Bitmarck liefert technische Infrastruktur, Softwarelösungen und Beratung im Bereich öffentlichen Krankenkassen.

Die Hacker sollen Zugriff auf Passwort-Hashes, persönliche Kundeninformationen, VIP-Kundeninformationen und persönliche Daten von Führungspersonal sowie Nutzer- und Angestellten-Informationen haben. Bitmarck verwaltet die Daten von 30.000 Angestellten der gesetzlichen Krankenversicherungen – und von weiteren 25 Millionen Versicherten.

Deezer: Datenleck mit gigantischem Ausmaß

Jetzt hat es auch den Streaming-Dienst Deezer erwischt: 229 Kunden sind Opfer eines gigantischen Datenlecks beim französischen Unternehmen geworden. Die Plattform Have I been pwned hatte bekannt gegeben, dass rund 229 Millionen Nutzer des Musik-Streamingdienstes Deezer von einem Datenleck betroffen sind. Bereits im Jahr 2019 ist es anscheinend zu einem großen Datenabfluss gekommen. Deezer bemerkte nach eigenen Angaben erst im November 2022 das Leck. In einer Mitteilung spielte Deezer den Vorfall heunter: Bei der „Verletzung der Datensicherheit“ sind „nicht-sensible Daten unserer Nutzer“ offengelegt worden, heißt es dort. Zu den offengelegten Daten sollen Informationen wie Vor- und Nachname, Geburtsdatum und E-Mail-Adresse gehören, nicht aber „Informationen zu Passwörtern oder Zahlungsdetails“, hieß es weiter. Medien berichten jedoch, dass auch die IP-Adresse der Kunden und Geschlecht von den kriminellen Hackern erbeutet worden sein sollen. Die zögerlich Informationspolitik von Deezer zeigt deutlich, wie wenig das Unternehmen Interesse an einer Aufklärung hat.  Mehr dazu gibt es hier

Datenleck: Cyberkriminelle erbeuten Kundendaten bei Jobrad

Die deutsche Firma Jobrad, die Dienstleistungen im Bereich des Fahrradleasings anbietet, hat ein Datenleck erlitten. Dabei wurden personenbezogene Daten wie Namen, Adressen und Geburtsdaten von Kunden und Mitarbeitern gestohlen. Das Unternehmen hat den Vorfall bestätigt und erklärt, dass es sofort Maßnahmen ergriffen hat, um das Datenleck zu schließen und die Sicherheit seiner Systeme zu verbessern.

Betroffene Kunden und Mitarbeiter wurden über den Vorfall informiert und gebeten, ihre Passwörter zu ändern. Jobrad hat auch eine Hotline eingerichtet, um Fragen zu beantworten und Unterstützung zu bieten. Es ist unklar, wer für das Datenleck verantwortlich ist. Jobrad hat jedoch angekündigt, Strafanzeige zu erstatten, um rechtliche Schritte gegen die Verantwortlichen einzuleiten. Der Datenschutzvorfall hat sich nach Angaben von JobRad bei einem IT-Dienstleister ereignet. Aus Sicht unserer Kanzlei ist auch den betroffenen Kunden ein Schaden entstanden. Mit den abgegriffenen Kundendaten werden die Kriminellen garantiert versuchen, an weitere Daten der Kunden heranzukommen und sie zum Schluss materiell zu schädigen.

 

Datenleck auch bei Continental aufgetaucht

Bei dem Ransomware-Angriff der Hackergruppe Lockbit im Sommer 2022 sind 40 Terabyte Daten beim Automobilzulieferer Continental gestohlen worden. Die Hacker haben für die verschlüsselten Daten angeblich 50 Millionen US-Dollar gefordert. Erst im September 2022 wurde das Datenleck öffentlich. Die gestohlenen Daten sollen unter anderem Geschäftsgeheimnisse, Konstruktionszeichnungen und technische Daten von Fahrzeugkomponenten enthalten. Der Diebstahl von Geschäftsgeheimnissen und intellektuellem Eigentum stellt eine ernsthafte Bedrohung für Unternehmen dar, insbesondere in der Automobilindustrie, wo Innovation und Wettbewerbsvorteile von entscheidender Bedeutung sind. Die deutschen Behörden haben Ermittlungen eingeleitet, um den Vorfall zu untersuchen und die Verantwortlichen zu identifizieren. Die gehackten Daten befinden sich mittlerweile im Darknet. Unter den gestohlenen Daten befinden sich auch Daten über psychische und physische Probleme von Angestellten.

Jetzt auch Tesla: E-Auto-Hersteller hat ein gigantisches Datenleck

Laut einem Zeitungsbericht gab es bei Tesla ein großes Datenleck, bei dem 100 Gigabyte an vertraulichen Daten gestohlen wurden. Diese Daten enthalten sensible Informationen über Kunden, Mitarbeiter und Geschäftspartner des Elektroautoherstellers. Darüber hinaus beinhalten nicht vertraulich gekennzeichnete Dokumente Informationen über Projekte wie das selbstfahrende Auto, die Entwicklung neuer Batteriezellen und den geplanten Elektro-Pickup von Tesla. Die gestohlenen Daten deuten darauf hin, dass Tesla größere technische Probleme mit dem Autopiloten hat als bisher angenommen. Tesla hat angegeben, dass ein ehemaliger Mitarbeiter verdächtigt wird, die Daten unter Verletzung der Geheimhaltungspflicht weitergegeben zu haben, und dass rechtliche Schritte gegen den Verdächtigen eingeleitet werden sollen. Betroffenen ist ein Schaden entstanden. Mehr dazu hier

Datenleck bei Vodafone: Hochsensible Daten von Kriminellen erbeutet

Auch Vodfone hat seit Mai 2023 mit einem Datenleck zu kämpfen, das durch einen Dienstleister verursacht wurde. Portale für die Account-Erstellung, Newsletter-Anmeldung und Vertragsabschlüsse wurden gehackt. Ganz offensichtlich sind hochsensible Daten wie Namen, Adressen, Passwörtern und Bankverbindungen über das Datenleck abhanden gekommen, wie das Magazin "heise online" berichtete. Bereits 2013 konnten Kriminelle zwei Millionen Datensätze von Vodafone-Kunden erbeuten. Das erneute Datenleck zeigt für unsere IT-Kanzlei , dass Vodafone ein Problem mit der Datensicherheit hat. Mehr Informationen zum Datenleck bei Vodafone gibt es hier

Gigantisches Datenleck bei Krankenkasse AOK

Nun hat es auch eine große Krankenasse mit einem Datenleck erwischt. Nach Medienberichten vom Juni 2023 müssen sich Kunden der Allgemeinen Ortskrankenkassen (AOK) berechtigte Sorgen um ihre Daten machen. 19 Millionen AOK-Mitglieder könnten von einer Sicherheitslücke im IT-System betroffen sein. Die AOK hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Vorgänge informiert. Knackpunkt ist das von der AOK, aber auch von weiteren Unternehmen verwendete Programm MOVEit. Das BSI bestätigt, dass es bei der Software zu einem Datenabfluss gekommen ist. Das Datenleck könnte sich also dramatisch entwickeln. Weitere Untersuchungen laufen. Mehr Informationen zum AOK-Datenleck gibt es hier

Datenleck bei Vodafone sorgt für Verwirrung

Auch der Mobilfunkanbieter Vodafone kämpft mit einem Datenleck. Bei einem Vodafone-Dienstleister haben Hacker sich am 16. Mai 2023 Zugriff auf Portale für Account-Einstellungen, Newsletter-Anmeldung und Vertragsabschlüsse verschafft. Laut einer E-Mail, die dem Magazin „heise online“ vorliegen soll, sind folgende hochsensible Daten betroffen: Name, Geburtstag, E-Mail-Adresse, Mobilfunknummer, Adresse, Bankverbindung (IBAN/BIC) und Kunden-Kennwort. Vodafone bestreitet das jedoch. Die Lage ist jedoch so ernst, dass das Unternehmen den Vorfall dem Bundesbeauftragten für Datenschutz und Informationsfreiheit gemeldet und eine Strafanzeige erstattet hat. Die Ermittlungen laufen. Bereits 2013 konnten Kriminelle zwei Millionen Datensätze von Vodafone-Kunden erbeuten. Das erneute Datenleck zeigt für unsere IT-Spezialisten, dass Vodafone ein Problem mit der Datensicherheit hat. Weitere Infos zum Datenleck bei Vodafone gibt es in unserer News.

Barmer: Nächstes Datenleck bei einer Krankenkasse

Ein weiteres Unternehmen im Gesundheitssektor hat mit einem Datenleck zu kämpfen. Die Krankenkasse Barmer informiert derzeit ihre Kunden darüber, dass persönliche Informationen wie Namen, Krankenversicherungsnummern, Prämienbeträge und Kontodaten in die Hände von Kriminellen gelangt sind. Ein Schreiben an die Kunden, datiert auf den 19. Juni 2023, wurde der Kanzlei Dr. Stoll & Sauer übergeben. Das Datenleck soll bei einem Dienstleister für das Prämienprogramm der Barmer aufgetreten sein. Die IT-Kanzlei Dr. Stoll & Sauer beobachtet derzeit eine Zunahme von Cyberangriffen im Gesundheitssektor. Auch die AOK muss sich mit einem Datenleck auseinandersetzen. Mehr Infos gibt es hier.

Die wichtigsten Fragen zu Datenlecks

Wenn Sie seit dem Jahr 2018 bei OTTO, Media Markt, Kaufland (früher Real) oder Idealo eingekauft haben, sind Sie möglicherweise von der Sicherheitslücke betroffen. Nutzen Sie unsere kostenlose Erstberatung, um sicherzugehen. Durch unterlassene Benachrichtigung seitens der Unternehmen steht Ihnen ein Anspruch auf Schadensersatz zu. Die Kanzlei Dr. Stoll und Kollegen prüfen Ihren individuellen Fall.

Nutzen Sie zunächst unsere kostenlose Erstberatung, um zu erfahren, ob Sie vom Datenleck betroffen sind.  Ist dies der Fall, erteilen Sie der Kanzlei Dr. Stoll und Kollegen ein Mandat, damit wir Sie in einem Rechtsstreit erfolgreich vertreten können.

Ja, wenn Sie eine Rechtsschutzversicherung abgeschlossen haben, können Sie eine Klage weitestgehend kostenlos erheben. Sie zahlen höchstens eine Selbstbeteiligung, die Sie mit Ihrer Versicherung bei Vertragsabschluss vereinbart haben. Die restlichen Prozesskosten übernimmt dann Ihr Versicherer. Die spezialisierte Kanzlei Dr. Stoll und Kollegen übernehmen die Korrespondenz mit Ihrer Rechtsschutzversicherung.

Die Besonderheit im Fall des Datenlecks bei Online-Marktplätzen ist, dass sich die Klage nicht gegen die Online-Händler richtet, sondern gegen den IT-Dienstleister wie im Beispiel von Otto die Firma Modern Solution, der die Kundendaten nicht ausreichend geschützt hat. Die Marktplätze selbst sind keine Vertragspartner der Käufer.

Die Liste der Unternehmen, die bereits von einem Datenleck betroffen waren, wird beinahe mit jedem Tag länger. Gerade in den Jahren 2021 und 2022 ist die Anzahl von Datenlecks in deutschen Unternehmen merklich angestiegen. Hier eine kleine Auswahl der wichtigsten Datenlecks in den vergangenen Jahren in Deutschland. 

  • Amorelie 
  • Buchbinder
  • Check24
  • Crowdfox
  • Facebook
  • GMX
  • Hood
  • Idealo
  • Kaufland (früher real)
  • LinkedIn
  • Mediamarkt
  • Otto
  • Raisin Pension
  • Scalable Capital
  • Spreadshirt 
  • Tyre24
  • Twitter
Arbeitsrecht Abfindung

Prüfen Sie, wie viel Schadensersatz Ihnen wegen DSGVO-Verstößen zusteht

✓ schnell   ✓ sicher   ✓ individuell

Kanzlei Dr. Stoll & Sauer
Ihre Anwälte im Datenschutzrecht

Die Kanzlei Dr. Stoll & Sauer gehört zu den bestbewerteten Verbraucherrechtskanzleien in Deutschland und steht Ihnen bei der Prüfung und Durchsetzung Ihrer Ansprüche gerne zur Seite. Unsere erfahrenen Anwälte im Datenschutzrecht bieten Ihnen eine kompetente Beratung und gewissenhafte Bearbeitung Ihrer Angelegenheit, damit Sie zügig zu Ihrem Recht kommen. Nutzen Sie unsere kostenlose Erstberatung und erteilen Sie uns anschließend ein Mandat. Alles Weitere erledigen wir – dazu gehört auch die Abwicklung und Korrespondenz mit Ihrer Rechtsschutzversicherung.

Kanzlei Lahr

Unsere Themen- und Leistungsbereiche im IT-Recht und Datenschutz

Unsere Rechtsanwälte konnten in der Vergangenheit bereits zahlreiche Erfolge in IT-rechtlichen Auseinandersetzungen verzeichnen. Der Verbraucherschutz steht für uns dabei an erster Stelle. Als Kanzlei sind wir besonders dann die richtige Adresse, wenn es um Datenlecks und Online-Casinos geht.

Aktuelle News und Urteile im IT-Recht

Juristische Bewertungen IT-rechtlicher Urteile, Neues zur DSGVO und wissenswerte Änderungen für Verbraucher im Netz – wichtige Nachrichten aus dem IT-Recht und Datenschutz haben wir hier für Sie gesammelt.

Newsletter

Immer auf dem Laufenden
Abonnieren Sie unseren Newsletter

Schnelle Informationen und Hintergründe helfen Ihnen bei den richtigen Entscheidungen. Profitieren Sie von wichtigen juristischen Informationen aus erster Hand. Wir informieren Sie mit unseren Newslettern über aktuelle Themen wie Abgasskandal, Datenschutzrecht oder Bankenskandale.