Gigantischer Datenklau bei Deezer: Weltweit 229 Millionen betroffene Kunden – Deezer-Datenleck: Sichern Sie sich Schadensersatz

Datenleck beim Streaming-Dienst

Nur wenige Informationen von Deezer zum Datenleck

Beinahe alle großen Social-Media-Unternehmen und Online-Händler sind mit ihrem Bestand an sensiblen Kundendaten nachlässig umgegangen. Facebook, Twitter, WhatsApp, LinkedIn, Media Markt, Otto, Kaufland und wie sie alle heißen – Hacker konnten ungestört Daten wie E-Mail-Adressen, Telefonnummern oder sogar Kontodaten von Unternehmens-Servern abgreifen. Jetzt hat es auch den Musik-Streaming-Dienst Deezer erwischt. Unglaubliche 229 Millionen Datensätze konnten kriminelle Hacker abgreifen. Cyber-Diebe stahlen Daten aus 180 Ländern. So spektakulär sich das anhört, so unglaublich ist die bisherige Reaktion von Deezer. Die Datenpanne soll bereits im Jahr 2019 geschehen sein. Erst im November 2022 bemerkte Deezer das Datenleck. Dann tauchten im Januar 2023 auf der Plattform Have-I-been-pwned die Deezer-Daten auf. Auf dieser Plattform können Verbraucher feststellen, ob sie Opfer eines Datenlecks geworden sind. Und erst Anfang Februar 2023 informiert Deezer die Kunden per Mail über den Datenklau. Und das obwohl bereits seit Monaten die Daten im Darknet gehandelt werden – ein Skandal.

Skandalös auch die E-Mail. Die E-Mail bleibt oberflächlich und soll Empfänger beruhigen: Bei einem Partnerunternehmen sei es zu einem Datenabfluss gekommen. Man arbeite mit dem Dienstleister jedoch nicht mehr zusammen. "Bei diesem Vorfall sind keine Informationen über Passwörter oder Zahlungsdaten betroffen, und die Folgen scheinen sich in Grenzen zu halten" schreibt das Unternehmen auf Englisch. Nähere Informationen zu dem Datenraub fehlen. Lassen Sie sich das als Deezer-Kunden nicht gefallen, nutzen Sie unsere kostenlose Erstberatung. Hier stellen unsere Anwälte fest, ob Sie betroffen sind und zeigen Ihnen Ihre rechtlichen Möglichkeiten auf. Schadensersatz bis zu 5000 Euro ist möglich. Gerichte haben Verbrauchern bei vergleichbaren Verstößen gegen die Datenschutzgrundverordnung (DSGVO) hohe Summen an Schadensersatz zugesprochen.

Deezer will das Datenleck mit Desinformation klein halten

Informativer als die nichtssagende Kunden-E-Mail von Deezer wird das Unternehmen in einem etwas versteckten Support-Artikel. Bei dem Cyber-Einbruch beim Deezer-Dienstleister erhielten die Diebe Zugriff auf nicht-sensible Nutzerdaten. Dabei konnten Daten aus den Kundenbeständen Stand Mitte 2019 entwendet werden. Am 8. November 2022 erfuhrt Deezer vom Datenleck.  Bei dem Einbruch konnten die Cyber-Diebe an die Vor- und Nachnamen, Geburtsdaten und E-Mail-Adressen von Nutzern gelangen. Passwörter oder Bezahlinformationen habe das Unternehmen in den Datensätzen nicht gefunden. Deezer rät in der Mail den Kunden dazu, das Passwort zu ändern und wachsam zu bleiben, da die Informationen aus dem Leck für Phishing missbraucht werden könnten. Aber warum braucht Deezer so lange Zeit, um die Kunden zu informieren? Ganze einfach: Deezer will wie andere Unternehmen am liebsten das Datenleck verschweigen. Mögliche Forderungen nach Schadensersatz sollen im Keim erstickt werden. Desinformation ist dazu die beste Taktik. Das sollten sich Verbraucher nicht gefallen lassen und den Rat unserer Anwälte einholen.

Welche Deezer-Kunden sind vom Datenleck betroffen?

Natürlich sind erst einmal alle zahlende Deezer-Kunden Opfer des Datenlecks geworden. Darüber hinaus betrifft es auch Deezer-Free-Nutzer. Vergessen dürfen auch nicht die vielen Vodafone-Kunden. Bei Vertragsverlängerungen oder bei Vertragsabschlüssen hat der Mobilfunk-Anbieter seinen Kunden Deezer-Rabatte und sogar Premiummitgliedschaften angeboten. Da kann es sein, dass Vodafon-Kunden ein Deezer-Konto haben und davon nichts wissen. Nutzen Sie unsere kostenlose Erstberatung. Da stellen wir für Sie fest, ob Sie vom Deezer-Datenleck betroffen sind.

Welche Gefahren drohen Deezer-Kunden durch das Datenleck

Wie bei den meisten Datenlecks lassen sich die Folgen nicht sofort erkennen. Fakt ist jedoch, dass 229 Millionen Datensätze von Deezer-Kunden an die Öffentlichkeit geraten und die Kunden geschädigt worden sind. Die Wahrscheinlichkeit, dass sich Kriminelle die Daten nutzbar machen, ist sehr groß. Besonders die Gefahr von Phishing-Mails ist durch das Datenleck gestiegen. Komplette Namen, Geburtsdaten, E-Mail, Nutzer-ID, Beitrittsdatum und Geschlecht sowie die IP-Adressen sind gestohlen worden und im Darknet verfügbar. Die Gefahr, dass auch Passwörter durchs Datenleck nach außen gerieten, ist enorm. Da muss niemand den Beteuerungen von Deezer vertrauen. Mit Hilfe der Daten können Kriminelle die Nutzer mit Phishing-Mails bombardieren, um an weitere Daten heranzukommen – beispielsweise Kontodaten.

Wer klagt derzeit nicht über Spam- und Phishing-Wellen? Das ist erstmal nur nervig. Die Gefahr ist jedoch groß, dass Kriminelle mit Hilfe von SMS, E-Mail oder Malware Betrugsversuche starten. Denn eine weitaus größere Gefahr braut sich für Deezer-Kunden nach und nach zusammen.

Hacker klauen sich Daten beispielsweise von den unterschiedlichsten Social-Media-Kanälen wie Facebook, Instagram, WhatsApp und Twitter zusammen. Natürlich kommen noch andere Internet-Firmen hinzu, die über Ihre Daten verfügen und Opfer eines Datenlecks werden können oder bereits geworden sind. Diese Flut an Daten wird miteinander kombiniert. Und damit wächst das Risiko, dass Kriminelle Ihre Identität übernehmen und in Ihrem Namen Geschäfte abschließen, für die Sie dann die Rechnung bezahlen müssen. Der Schaden liegt im Kontrollverlust über die eigenen Daten. Und das Schlimme: Sind die Daten einmal im Internet, können Kriminelle auch noch Jahre später Betrugsversuche starten.

Der Fall PayPal zeigt die Gefahren von Datenlecks

Es ist eine Binsenweisheit, dass das Internet nicht vergisst. Dass die Gefahr von Datenlecks in der Zukunft liegt, zeigt das Datenleck bei PayPal. Angreifer haben bei einer sogenannten Credential-Stuffing-Attacke zahlreiche Zugangsdaten ausgetestet – und hatten in knapp 35.000 Fällen Erfolg. Credential Stuffing gehört zu den gängigsten Cyberangriffsmethoden. Dabei werden zuvor geleakte oder illegal erlangte Anmeldedaten genutzt, um sie für den unbefugten Zugang bei anderen Diensten massenhaft auszuprobieren. Die Angreifer gehen davon aus, dass Anwender ihre Login-Daten mit gleichen Benutzernamen und Passwörtern bei mehreren Diensten gleichzeitig verwenden. Der Fall PayPal zeigt, dass Verbraucher Anmeldedaten nie für unterschiedliche Accounts nutzen sollten und die Betroffenheit nicht auf die leichte Schulter nehmen sollten. Mehr zu PayPal gibt es hier.

Schadensersatz: Wie stehen die Erfolgsaussichten gegen Deezer, Ansprüche durchzusetzen

Deezer-Nutzer haben ganz grundsätzlich ein Recht darauf zu erfahren, ob sie vom Datenleck betroffen sind. Das Unternehmen muss ihnen nach Artikel 15 der europäischen Datenschutzgrundverordnung (DSGVO) darüber Auskunft erteilen. Innerhalb eines Monats muss das Unternehmen Auskunft erteilen. So sieht es auch Artikel 12 DSGVO vor. Letztlich ist aus Sicht der Kanzlei Dr. Stoll & Sauer den Betroffenen ein sogenannter immaterieller Schaden entstanden. Die Gefahr, Opfer von Kriminellen zu werden, ist enorm gestiegen. Auch ein Identitätsdiebstahl ist im Bereich des Möglichen. Und die Chancen auf Schadensersatz stehen gut.

Seit einigen Monaten urteilen die meisten deutschen Gerichte sehr großzügig bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) und sprechen oft hohe Schadensersatzsummen klagenden Verbrauchern zu. Am Landgericht Zwickau ist beispielsweise Facebook aufgrund eines Datenlecks zur Zahlung von Schadensersatz in Höhe von 1000 Euro verurteilt worden. Das Unternehmen hätte Vorkehrungen für die Verhinderung eines Datenlecks treffen müssen, so das Gericht in seiner Urteilsbegründung. Am Landgericht Oldenburg waren es in der Summe sogar 3000 Euro. 2000 Euro Schadensersatz für das Datenleck und 1000 Euro Schmerzensgeld für die verweigerte Auskunft, ob der Kunde vom Datenleck betroffen war oder nicht. In anderen Datenschutz-Fällen sind sogar bereits 5000 Euro Schadensersatz betroffenen Verbrauchern zugesprochen worden.

Unterstützung können die Verbraucher von höchster Stelle erwarten. Am Europäischen Gerichtshof (EuGH) sind mehrere Vorabentscheidungsverfahren anhängig. Am 6. Oktober 2022 hat sich der Generalanwalt Campos Sánches-Bordona in einem Verfahren dahingehend geäußert, dass der reine „Ärger“ über einen Datenschutz-Verstoß nicht zwangsläufig zu Schadensersatz führen muss. Sollte es Klägern gelingen, etwa spürbare anhaltende negative Gefühle oder negative Konsequenzen aufgrund der Pflichtverletzung nachzuweisen, könnten Gerichte weiterhin immateriellen Schadensersatz zusprechen. Nationale Gerichte sollen herausfinden, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann (Az.: C-300/21).

Letztlich bahnt sich am EuGH eine verbraucherfreundliche Rechtsprechung an. Denn wer hat schon ein gutes Gefühl dabei, wenn sich die eigenen hochsensiblen Daten wie E-Mail-Adresse oder Kontodaten möglicherweise im Besitz von kriminellen Hackern befinden? Das ist eine permanente Bedrohung. Den Verbrauchern ist ein immaterieller Schaden entstanden.

Datenleck bei Deezer, Mastercard, Facebook, Twitter & Co: Sind Sie betroffen?

Die Kanzlei Dr. Stoll & Sauer steht Ihnen mit unseren kompetenten Anwälten für IT-Recht zur Seite. Sie verfügen über jahrelange Erfahrung und nehmen nach einer fundierten Prüfung und Beratung alle Formalitäten für Sie in die Hand. In unserer kostenlosen Erstberatung können wir für Sie feststellen, ob Sie von einem Datenleck-Skandal wie beispielsweise bei Deezer, Mastercard oder Facebook betroffen sind. Im Ernstfall setzen wir Ihre Rechte erfolgreich durch: