Hacker klaut Daten im Internet

Verbraucher haben bei Datenlecks Anspruch auf Schadensersatz Massive Datenlecks im Internet – Wir verhelfen Ihnen zu Ihrem Recht

Sensible Daten wie Namen, Adressen und Vorlieben beim Einkaufen sind eine harte Währung im Internet. Damit lassen sich Milliarden an Umsätzen erzielen. Aus diesem Grund horten viele Unternehmen teilweise auf widerrechtliche Weise personenbezogene Daten. Oft werden diese Datensätze nicht ausreichend geschützt.

Manche sind daher in Teilen frei zugänglich im Internet einsehbar: Bestellinformationen, Telefonnummern und Bankverbindungen werden zu barer Münze – und das über Jahre hinweg. Wir informieren Sie, ob Sie von einem der zahlreichen Datenlecks bei großen Shopping-Portalen und Preisvergleichsanbietern betroffen sind und welche Rechte Sie wahrnehmen können.

Inhaltsverzeichnis

Datenleck bei unzähligen Unternehmen: So kam es dazu

Im Juni 2021 wurde bekannt, dass zahllose Datensätze von Kunden großer Online-Shops ungeschützt im Internet standen – schuld soll eine schlecht gesicherte Softwareschnittstelle eines IT-Dienstleisters gewesen sein. Betroffen waren bekannte Namen wie OTTO, Media Markt, Idealo und Kaufland.

Das Datenleck ist durch einen unzulänglich gesicherten Händlerzugang des Gelsenkirchener IT-Dienstleisters Modern Solution entstanden. Kunden des Dienstleisters sind Händler, die ihre Produkte auf verschiedenen Online-Marktplätzen anbieten. Per Zufallsfund deckte ein IT-Spezialist die Lücke auf: Kunden von Modern Solution konnten auf dem Server des Dienstleisters die Datenbanken aller anderen Kunden sowie die Transaktionen von deren Endkunden einsehen. Sensible Daten wie Mail- und Postadressen, Bestellinformationen, Telefonnummern und sogar Bankverbindungen waren frei im Netz einsehbar – teilweise über einen beachtlichen Zeitraum von mehreren Jahren.

Sicherheitsexperten befürchten finanzielle Folgeschäden für die Betroffenen – das sind rund 700.000 Verbraucher. Nach Aussage des IT-Spezialisten habe es eine Verschlüsselung nicht gegeben. Noch dazu seien alte Kundendaten seit Jahren nicht gelöscht worden. Dabei dürfen Kundendaten nur so lange gespeichert werden, wie sie benötigt werden oder so lange wie das Gesetz eine Aufbewahrungspflicht vorschreibt.

Unternehmen verletzen ihre Auskunftspflicht – Ihr Anspruch auf Schadensersatz

Nach der Entdeckung des Datenlecks wurden Betroffene nicht informiert – weder seitens des IT-Dienstleisters noch der einzelnen Plattformen. Bis heute warten betroffene Verbraucher auf die gemäß Art. 34 DSGVO gesetzlich geforderte Benachrichtigung. Solange Sie nicht von Ihrer Betroffenheit wissen, können Sie auch keine Gegenmaßnahmen ergreifen. Aus diesem Grund stellen wir Ihnen ein kostenloses Online-Formular zur Verfügung und prüfen Ihren individuellen Fall im Datenskandal.

Die Kanzlei Dr. Stoll & Sauer ist der Auffassung, dass die Verantwortlichen eine Auskunftspflicht ihren Kunden gegenüber haben, der sie allerdings nicht nachgekommen sind. Alleine durch die unterlassene Benachrichtigung haben betroffene Verbraucher Anspruch auf Schadensersatz das sieht die DSGVO in Art. 82 vor. Es besteht eine Pflichtverletzung gegenüber der Verbraucher.

Kostenlose Erstberatung direkt online abrufen

So machen Sie Ihre Ansprüche im Datenskandal geltend

  • Lupe

    1. Kostenlose Erstberatung nutzen

    Füllen Sie das Online-Formular aus und ermitteln, ob Sie vom großen Datenleck betroffen sind.

  • Handschlag

    2. Rechte durchsetzen

    Den Rest erledigen wir: Wir vertreten Sie im Rechtsstreit und machen Ihren Schadensersatzanspruch geltend.

  • Geld zurück

    3. Geld erhalten

    Sie lehnen sich entspannt zurück und kassieren Schadensersatz.

Datenleck bei OTTO, Media Markt, Idealo und Co.

Große Unternehmen wie OTTO, Media Markt, Kaufland und Idealo verkaufen im Internet nicht nur ihre eigenen Produkte, sondern betreiben auf ihren Webseiten auch weitere Marktplätze. So bieten sie ihren Kunden die Möglichkeit, Produkte externer Händler über ihren Online-Shop zu erwerben. Häufig bemerken Käufer beim Bestellvorgang dabei gar nicht, dass die Waren von einem Dritthändler kommen. Diese sind über eine Schnittstelle mit dem Online-Marktplatz verbunden und bedienen sich der Hilfe eines sogenannten Schnittstellendienstleisters.

Der zuständige IT-Dienstleister hatte die Kundendaten dieser großen Handelsunternehmen allerdings nicht ausreichend geschützt. Die Folge: Seit 2018 konnten über 1.000.000 sensible Datensätze von Nutzern der Online-Marktplätze von OTTO, Media Markt und Co. im Internet weitgehend ungesichert eingesehen werden. Eine Verschlüsselung der Daten fand nicht statt. Kundendaten wurden zu dem seit Jahren nicht gelöscht. Der Dienstleister soll die Lücke erst im Sommer 2021 geschlossen haben. Über mindestens drei Jahre hinweg waren die Daten nahezu frei zugänglich.

Für betroffene Kunden eine Katastrophe. Denn Schweizer Sicherheitsexperten haben festgestellt, dass die Datensätze sehr konkrete Inhalte haben. Phishing und Identitätsdiebstahl seien demnach nicht ausgeschlossen, sollten die Informationen im Darknet gelandet sein, so die Experten. Auch Kriminelle können auf diese Daten zugreifen. Sicherheitsexperten raten deshalb zur Vorsicht bei verdächtigen E-Mails, wenn Sie ein vermeintlicher Händler unerwartet kontaktiert.

Die vom Datenleck betroffenen Verbraucher haben Anspruch auf Auskunft und Schadensersatz. Das Datenleck stellt eine eindeutige Pflichtverletzung des verantwortlichen Dienstleisters dar. Hieraus lässt sich für betroffene ein Schadensersatzanspruch aus Artikel 82 der Datenschutzgrundverordnung (DSGVO) herleiten. Deutsche Gerichte haben in den vergangenen Monaten hohe Schadensersatzforderungen den Verbrauchern zugebilligt.

Würfel auf einer Tastatur mit DSGVO-Schriftzug.

Die wenigsten wissen, dass sie von einem Datenleck betroffen sind.

Das Sicherheitsrisiko ist enorm – nehmen Sie Ihren Anspruch war!

Kostenlose Erstberatung starten

✔ schnell   ✔ sicher   ✔ unverbindlich

Die wenigsten wissen, dass sie von einem Datenleck betroffen sind.

Das Sicherheitsrisiko ist enorm – nehmen Sie Ihren Anspruch war!

✔ schnell   ✔ sicher   ✔ unverbindlich

Datenlecks bei Facebook: Auch der Netzwerkriese hat Probleme

Nicht nachvollziehbare Datenschutzbestimmungen haben bereits in den vergangenen Jahren die öffentliche Wahrnehmung von Facebook geprägt. Zuletzt sorgten neue Tricks von Hackern an Ostern 2021 für Aufsehen: Sensible Daten von insgesamt 530 Millionen Personen wurden aus einer Sicherheitslücke des Facebook-Netzwerks erbeutet und im Internet veröffentlicht. Diese beinhalten Namen, E-Mail-Adressen, Handynummern, Geburtsdaten sowie Angaben zum Beziehungsstatus. Unter den Betroffenen sollen rund sechs Millionen Nutzer aus Deutschland sein.

Für Betroffene stellt die Datenpanne eine besondere Gefahr dar. Durch die veröffentlichten Daten gibt es ein vermehrtes Aufkommen von betrügerischen Spam-Nachrichten. Oftmals sind solche Nachrichten bei genauem Hinsehen ohnehin nicht besonders glaubwürdig, allerdings kann sich dies durch die Datenfülle der geleakten Informationen schnell ändern. Mit der Kenntnis von all den Informationen, die ein Facebook-Profil hergibt, können die Nachrichten immer authentischer gestaltet werden.

Auf der Grundlage Ihres Auskunftsrechts nach Art. 15 DSGVO können Sie Auskunft gegenüber Facebook verlangen, ob Sie vom Datenleck betroffen sind. Wird Ihnen keine oder eine unvollständige Auskunft erteilt, kann sich daraus ein Schadensersatzanspruch aus Art. 82 DSGVO für Sie ergeben. Die Kanzlei Dr. Stoll & Sauer berät Sie gerne zu Ihren Ansprüchen und Gegenmaßnahmen.

Mehr Informationen und Hintergründe zum Datenleck bei Facebook haben wir hier auf unserer Facebook Spezialseite zusammengefasst.

E-Mail-Anbieter GMX im Fokus von Hackerangriffen

Als im Januar 2019 personenbezogene Daten von Politikern, Prominenten und Journalisten ausgespäht und ins Internet gestellt wurden, geriet vor allem der deutsche E-Mail-Anbieter GMX in die Kritik. Der Hacker soll eine Sicherheitslücke im Passwort-Bereich genutzt haben, um die Konten zu kapern. Hauptkritik an GMX war, dass der Anbieter keine Zwei-Faktor-Authentifizierung nutzte – das erleichterte einen Einbruch in unzählige Konten.

Ein Experiment eines Schweizer IT-Experten verdeutlichte, wie schnell Cyberkriminelle ein Nutzerkonto übernehmen, wenn ein geleaktes Passwort nach einem Datenleck weiterhin verwendet wird. Eine von Kriminellen häufig genutzte Liste beinhaltet rund 593 Millionen eindeutige E-Mail-Adressen – viele davon mit dazugehörenden Passwörtern. Diese wurden von verschiedenen Online-Diensten gefischt. Angreifer nutzen diese Liste, um Credential Stuffing zu betreiben. In solch einer Liste befanden sich rund 140.000 GMX-Adressen.

Beim Credential Stuffing handelt es sich um einen Cyberangriff, bei dem die geleakten Anmeldedaten verwendet werden, um sich bei einem anderen Dienst anzumelden. Da ellenlange Listen mit erbeuteten Benutzernamen und Passwörtern auf dem Schwarzmarkt verkauft werden, tritt Credential Stuffing immer häufiger auf – mit ihnen werden millionenschwere Geschäfte gemacht.

Datenleck bei Neobank Revolut betrifft 50.000 Kunden

Bei einem Cyperangriff auf die Smartphone Bank Revolut haben Kriminelle sich Zugriff auf rund 50.000 Kundendaten verschafft. Wie das britische Fintech der Aufsichtsbehörde in Litauen mitteilte, sei der unerlaubte Zugriff am späten Abend des 11. Septembers 2022 entdeckt worden. Am nächsten Morgen konnte das Datenleck geschlossen werden. Revolut arbeitet mit einer litauischen Banklizenz. Revolut-Kunden sollten sich unbedingt anwaltlich beraten lassen. Laut Revolut sollen keine „Kartendaten, PINs oder Passwörter abgegriffen“ worden sein. In einer Mitteilung an die Kunden heißt es jedoch, dass die Hacker wahrscheinlich teilweise auf Kartenzahlungsdaten sowie Namen, Adressen, E-Mail-Adressen und Telefonnummern zugegriffen hätten. Revolut warnt deshalb seine Kundschaft vor Phishing-Versuchen, die jemand mit den kopierten Daten durchführen könnte. Niemals, so das Unternehmen weiter, werden Kunden angerufen oder per SMS kontaktiert, um nach Log-in-Daten oder Ähnlichem zu fragen.

Den betroffenen Kunden ist ein immaterieller Schaden nach Artikel 82 der europäischen Datenschutzgrundverordnung (DSGVO) entstanden. Private Daten könnten sich in die Hände von Kriminellen befinden. 

Weitere Fälle zu Datenlecks: Diese Unternehmen sind auch betroffen

Vom kleinen Start-Up Raisin Pension bis hin zur riesigen Fluggesellschaft easyJet: Diverse Unternehmen waren in den vergangenen Jahren von Datenlecks betroffen. Erst im Jahr 2021 mussten Raisin Pension, Amorelie und Spreadshirt massive Datenverluste einräumen. Geleakt wurden u.a. Bankdaten, Vertragsdaten, Zugangsdaten sowie Bestellinformationen.

Ähnlich prominent waren die Hackerangriffe auf Scalable Capital: Das Datenleck führte beim Vermögensverwalter dazu, dass vertrauliche Datensätze von rund 33.000 Personen in die Hände unbefugter Dritter gelangten. Beim Bonusprogramm Mastercard Priceless Specials waren es sogar rund 90.000 Datensätze, die infolge einer IT-Sicherheitslücke abhandengekommen sind. Ein Leck in einer vergleichbaren Größenordnung musste der größte Hardware-Wallet-Anbieter Ledger vermelden. Unbekannte hatten sich Zugriff auf personenbezogene Daten von rund einer Millionen Kunden verschafft.

Führerschein-Nummern, Namen, Zahlungsdaten und noch mehr Kundendaten der Autovermietung Buchbinder waren im Januar 2020 wochenlang im Internet abrufbar. Laut der Berichterstattung waren 3,1 Millionen Kunden vom Datenleck betroffen. Ein zahlenmäßig noch größerer Vorfall ereignete sich bei easyJet. Bei einem Angriff auf die Billigfluggesellschaft erbeuteten Hacker sensible Daten von rund 9 Millionen Kunden. Laut der Berichterstattung sind Anschriften, Reisedaten und E-Mail-Adressen der Betroffenen abgegriffen worden – in 2200 Fällen auch Kreditkartendaten.

Unsere kostenlose Erstberatung schafft Gewissheit, wenn Sie ein Kunde der oben genannten Unternehmen sind. Gegen den Missbrauch Ihrer Daten können Sie sich mit unserer Hilfe zur Wehr setzen – wir machen Ihre Ansprüche geltend.

Beginn der gerichtlichen Aufarbeitung – erste Urteile in Datenleck-Fällen

Die deutschen Gerichte haben bereits den Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO zugesprochen. Die Norm wird von den Gerichten zunehmend weit ausgelegt. Diese vertreten die Ansicht, dass Schadensersatzsummen eine abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müssen. In den folgenden Fällen haben deutsche Gerichte in Verfahren zu ähnlichen Sachverhalten im Datenschutzrecht hohe Schadensersatzsummen im vierstelligen Bereich zugesagt:

  • 14.9.2022: Das Landgericht Zwickau hat  Facebook zur Zahlung von 1000 Euro Schadensersatz verurteilt. Einem User sei durch ein Datenleck im Frühjahr 2021 ein immaterieller Schaden im Sinne der europäischen Datenschutzgrundverordnung (DSGVO) entstanden.
  • 09.12.2021: Das Landgericht München verurteilte den Online-Broker Scalable Capital zur Zahlung von Schadensersatz in Höhe von 2.500 Euro an den Kläger, dessen persönliche Daten infolge eines Datenlecks im Netz veröffentlicht wurden. Das Unternehmen habe versäumt die Daten ihrer Kunden ausreichend zu schützen.
  • 12.11.2021: Das Landgericht Mainz hat einem Kläger einen Schadensersatzbetrag in Höhe von 5.000 Euro wegen zunächst nicht gelöschtem negativen SCHUFA-Eintrag zugesagt. Das Inkassobüro hatte die SCHUFA nicht über den Ausgleich der Forderung informiert. Dem Kläger war durch den negativen Eintrag ein immaterieller Schaden nach Art. 82 DSGVO – im Sinne der Einschätzung seiner Kreditwürdigkeit durch Dritte – entstanden.
  • 28.10.2021: Das Oberlandesgericht Düsseldorf hat einer Klägerin wegen eines Datenschutzverstoßes Ihrer Krankenkasse immateriellen Schadensersatz in Höhe von 2.000 Euro zugesprochen. Die Klägerin hatte bei Ihrer Krankenkasse die Zusendung Ihrer Gesundheitsakte an Ihre E-Mail-Adresse angefordert. Da die Akte an das falsche Postfach verschickt wurde – ohne die E-Mail oder den Anhang zu verschlüsseln – stellte das OLG einen Verstoß gegen Art. 6 Abs. 1 DGSVO fest.

Die wichtigsten Fragen zu Datenlecks

Wenn Sie seit dem Jahr 2018 bei OTTO, Media Markt, Kaufland (früher Real) oder Idealo eingekauft haben, sind Sie möglicherweise von der Sicherheitslücke betroffen. Nutzen Sie unsere kostenlose Erstberatung, um sicherzugehen. Durch unterlassene Benachrichtigung seitens der Unternehmen steht Ihnen ein Anspruch auf Schadensersatz zu. Die Kanzlei Dr. Stoll und Kollegen prüfen Ihren individuellen Fall.

Nutzen Sie zunächst unsere kostenlose Erstberatung, um zu erfahren, ob Sie vom Datenleck betroffen sind.  Ist dies der Fall, erteilen Sie der Kanzlei Dr. Stoll und Kollegen ein Mandat, damit wir Sie in einem Rechtsstreit erfolgreich vertreten können.

Ja, wenn Sie eine Rechtsschutzversicherung abgeschlossen haben, können Sie eine Klage weitestgehend kostenlos erheben. Sie zahlen höchstens eine Selbstbeteiligung, die Sie mit Ihrer Versicherung bei Vertragsabschluss vereinbart haben. Die restlichen Prozesskosten übernimmt dann Ihr Versicherer. Die spezialisierte Kanzlei Dr. Stoll und Kollegen übernehmen die Korrespondenz mit Ihrer Rechtsschutzversicherung.

Die Besonderheit im Fall des Datenlecks bei Online-Marktplätzen ist, dass sich die Klage nicht gegen die Online-Händler richtet, sondern gegen den IT-Dienstleister wie im Beispiel von Otto die Firma Modern Solution, der die Kundendaten nicht ausreichend geschützt hat. Die Marktplätze selbst sind keine Vertragspartner der Käufer.

Prüfen Sie, wie viel Schadensersatz Ihnen wegen DSGVO-Verstößen zusteht

✔ schnell   ✔ sicher   ✔ individuell

Die Kanzlei Dr. Stoll & Sauer gehört zu den bestbewerteten Verbraucherrechtskanzleien in Deutschland und steht Ihnen bei der Prüfung und Durchsetzung Ihrer Ansprüche gerne zur Seite. Unsere erfahrenen Anwälte im Datenschutzrecht bieten Ihnen eine kompetente Beratung und gewissenhafte Bearbeitung Ihrer Angelegenheit, damit Sie zügig zu Ihrem Recht kommen. Nutzen Sie unsere kostenlose Erstberatung und erteilen Sie uns anschließend ein Mandat. Alles Weitere erledigen wir – dazu gehört auch die Abwicklung und Korrespondenz mit Ihrer Rechtsschutzversicherung.