EuGH stärkt beim Datenschutz Verbraucher-Rechte
Mögliches Datenleck bei Vodafone schreckt Kunden auf: Wurden hochsensible Daten wie Passwort und Bankverbindung erbeutet?

Derzeit erhalten viele Vodafone-Kunden E-Mails, in denen sie aufgefordert werden, ein neues Passwort zu vergeben. Dies ist keine Phishing-Mail, sondern eine Reaktion auf einen Cyber-Vorfall bei Vodafones Partner "Vertriebswerk", bei dem sensible Daten entwendet wurden. Laut einer E-Mail, die dem Magazin „heise online“ vorliegen soll, sind folgende Informationen vom Datenleck bei Vodafone betroffen: Name, Geburtstag, E-Mail-Adresse, Mobilfunknummer, Adresse, Bankverbindung (IBAN/BIC) und Kunden-Kennwort. Vodafone hat als Reaktion auf das Datenleck das Passwort gesperrt und den betroffenen Kunden eine SMS-Nachricht geschickt. Die Kunden sollen sich auf der Unternehmenswebsite anmelden und dort ihr Passwort ändern. Eine Anleitung dazu stellt Vodafone als PDF-Datei zur Verfügung. Kunden, die noch kein MeinVodafone-Konto haben, können das beigefügte Formular zur Passwortänderung per Post oder Fax verwenden.

Vodafone hat das Datenleck dem Bundesbeauftragten für Datenschutz und Informationsfreiheit gemeldet und eine Strafanzeige erstattet. Die Ermittlungen laufen noch. Bislang konnten in Vodafones eigenen Systemen keine Missbräuche festgestellt werden. Zum jetzigen Zeitpunkt ist kein Missbrauch von Daten bekannt. In der Regel spielt sich der Missbrauch bei Datenlecks auch in der Zukunft ab, statt in zeitlicher Nähe zum Datenraub.

Informieren Sie sich schnell, sicher und kostenlos. Geben Sie zur Erstellung Ihres persönlichen Zugangs Name, E-Mail-Adresse und Telefonnummer ein. Nach der Registrierung werden alle weiteren Schritte auf unserem abgesicherten Mandanten-Portal durchgeführt.

• Kunden sollten aufgrund des Datenlecks Abbuchungen oder Kontobewegungen aufmerksamer überprüfen als sonst. 
• Es empfiehlt sich bedingt durch das Datenleck auch, das Vodafone-Kundenkonto regelmäßig auf unerwartete Änderungen zu überwachen. 
• Ganz wichtig generell nach Datenlecks: Anrufe, E-Mails und SMS-Nachrichten auf mögliche Phishing-Versuche prüfen. Im Zweifelsfall sollten Kunden angefragte Kennwörter oder andere sensible Daten nicht weitergeben. 
• Betroffene Kunden sollten selbst den Kontakt zu Vodafone über das Kontaktformular oder offizielle Telefonnummern suchen, falls sie etwas Verdächtiges im Zusammenhang mit dem Dataenleck beobachtet haben.

• Die durch das Datenleck betroffenen Plattformen "aktivieren.vodafone.de" und "vorteilstarife.net", die vom Dienstleister Vertriebswerk betrieben werden, sind nach dem Cyber-Angriff vorsorglich außer Betrieb genommen worden.
• Unbekannte hatten am 16. Mai 2023 diese externen Plattformen angegriffen und über das Datenleck E-Mail-Adressen mit den dazugehörigen Passwörtern kopiert. 
• Wie Vodafone in der „heise online“ vorliegenden E-Mail schreibt, sind vom Datenleck "Name, Geburtstag, E-Mail-Adresse, Mobilfunknummer, Adresse, Bankverbindung (IBAN/BIC) und Kunden-Kennwort" betroffen.  
• Es ist derzeit kein Missbrauch der gestohlenen Daten bekannt. 
• Als Vorsichtsmaßnahme wurden nach dem bekanntwerden des Datenlecks die Passwörter von rund 7.500 Kunden zurückgesetzt und diese darüber informiert. 
• Die vollständige Wiederherstellung der Vertriebsplattform soll nach Vodafone-Angaben zeitnah erfolgen.

Cyber-Vorfälle wie das Datenleck bei Vodafone ereignen sich heutzutage beinahe täglich, auch große Unternehmen sind häufig betroffen. Gerade wurde beispielsweise die Deutsche Leasing, ein Verband, der von vielen Sparkassen getragen wird, Opfer eines Datenlecks. Als Folge wurden alle IT-Systeme offline genommen, und Leasing-Verträge können derzeit nur in Papierform abgeschlossen werden. Auf den ersten Blick scheint für betroffene Verbraucher bei einem Datenleck nicht viel passiert zu sein. Doch erst auf den zweiten Blick sieht man, wie gefährlich ein Datenleck in der Zukunft werden kann. Hier ein paar Fakten:

• Zuerst sind Spams und echt wirkende E-Mails nur lästig. 
• Allerdings werden häufig im Wege des sogenannten Smishing SMS versendet. Smishing ist eine Form des Phishings, bei dem überzeugende Phishing-SMS/Textnachrichten verwendet werden, um ein potenzielles Opfer dazu zu verleiten, auf einen Link zu klicken und private Informationen zum Angreifer zu senden oder Malware auf das Handy zu laden.
• Malware wird mit dem Ziel programmiert, Schaden auf einem eigenständigen Computer oder auf einem vernetzten PC anzurichten. Und schon nimmt das Unheil für Computer oder Smartphone seinen Lauf. Das kann richtig teuer werden, wenn es den Angreifern gelingt, Zugang zum Bankkonto zu ergaunern.
• Zwar sind solche Nachrichten beim ruhigen Hinsehen in der Regel unglaubwürdig, doch durch die Datenfülle der geleakten Informationen werden die Nachrichten immer authentischer.
• Durch die Vielzahl von Datenlecks kreisen im Darknet die unterschiedlichsten Informationen über ein und denselben Verbraucher. Hier gelingt es Kriminellen immer wieder komplette Identitäten nachzubilden. Und auf einmal werden Geschäfte abgewickelt, die der Verbraucher nie getätigt hat.
• Auch lassen sich Mails mit Daten des eigenen Geburtstags, Berufs, Wohnorts und weiterer persönlicher Informationen täuschend echt gestalten. Der Eindruck wird erweckt, als hätten sie tatsächlich einen seriösen Hintergrund. Die Gefahr für die Betroffenen, tatsächlich eine Phishing-Mail zu öffnen, wächst somit enorm.

Gerade beim Datenleck von Facebook sprechen sich deutsche Gerichte vermehrt für bis zu vierstellige Schadensersatzsummen aus. Rückenwind für Betroffene von Datenlecks und Verstößen gegen die Datenschutzgrundverordnung (DSGVO) gibt es vom Europäischen Gerichtshof (EuGH), der mit einem bahnbrechenden Urteil zum Datenschutz die Rechte der Verbraucher gestärkt hat. Zur Entscheidung stand die Frage: Wann müssen Unternehmen bei Datenschutz-Verstößen Schadensersatz bezahlen? Ansprüche auf Schadensersatz bestehen nur dann, wenn aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist, so der EuGH mit Urteil vom 4. Mai 2023 (Az.: C-300/21). Gerade durch den unzureichenden Schutz von Personendaten beispielsweise bei Facebook, Deezer, Twitter & Co. oder jetzt bei Vodafone kommt es zu Datenlecks. Betroffene haben künftig mit negativen Folgen zu rechnen. Ihnen ist ein Schaden entstanden und sie haben Ansprüche gegenüber den Unternehmen. Dr. Stoll & Sauer bietet von Datenschutz-Verstößen betroffenen Verbrauchern im  Online-Check eine kostenlose Erstberatung an.