Der Fall Halara – Datenleck betrifft knapp 950.000 Kunden
Und wieder ein Datenleck. Dieses Mal hat es den Anbieter von Frauenmode Halara erwischt. Das Sammeln und Verwalten personenbezogener Daten ist mittlerweile ein fester Bestandteil des alltäglichen Lebens der Verbraucher. Derzeit ist ein rapider Anstieg von Cyberangriffen auf Unternehmen zu beobachten. Die Kriminellen wollen Kundendaten abgreifen und im Darknet verkaufen oder selbst für Attacken auf Verbraucher verwenden. Die Kanzlei Dr. Stoll & Sauer zeigt auf, was über das jüngste Datenleck bei Halara bisher bekannt geworden ist und wie die Verbraucher sich dagegen zur Wehr setzen können.
- In einem Hackerforum wird der Datensatz von Kunden des Herstellers Halara schon seit dem 7. Januar 2024 zum Download angeboten, wie unterschiedliche Medien berichten.
- Ein unter dem Pseudonym Sanggiero auftretender Angreifer behauptet in einem Beitrag des Hackerforums, die angebotene Datenbank umfasse mehr als eine Million Datenzeilen mit Vornamen, Nachnamen, Rufnummern, Ländern, Wohnadressen, Postleitzahlen, Provinzen und Wohnorten von Halara-Kunden.
- Laut dem Online-Magazin Bleeping Computer werden die Daten als Textdatei angeboten.
- Entgegen der Behauptung von Sanggiero seien darin dem Bleeping-Bericht zufolge nur 941.910 Datensätze enthalten.
- Stichprobenartige Prüfungen hätten ergeben, dass es sich tatsächlich um Daten von Halara-Kunden handle. Allerdings sei noch unklar, ob dies ausnahmslos auf alle enthaltenen Informationen der Datenbank zutreffe.
- Der Hacker Sanggiero habe auf Nachfrage des Magazins erklärt, dass aufgrund eines Fehlers in der API der Halara-Webseite das Abgreifen der Daten erst möglich geworden sei. Details zu der Sicherheitslücke wurden nicht genannt. Es gebe Hinweise, dass die Lücke noch immer nicht geschlossen worden sei.
- Auch interessant: Für den Hacker haben die erbeuteten Daten keinen großen Wert. Er habe sich daher entschieden, sie kostenlos zu veröffentlichen.
- Halara erklärte gegenüber Bleeping Computer, das Unternehmen sei sich des Daten-Vorfalls bewusst. Untersuchungen seien derzeit am Laufen.
- Halara ist sich des Datenlecks bewusst und führt derzeit Untersuchungen durch.
- Das Unternehmen erlangte seit seiner Gründung im Jahr 2020 vor allem durch Social-Media-Präsenz Bekanntheit und behauptet, auf Plattformen wie TikTok und YouTube hohe Zugriffszahlen erreicht zu haben.
EuGH erleichtert bei Datenleck Klagen auf Schadensersatz
Von einem Cyberangriff betroffene Verbraucher sollten sich die Konsequenzen eines Datenlecks und Datendiebstahls bewusst vor Augen führen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Das kann sogar zum Diebstahl der Identität führen. Damit können beispielsweise Geschäfte zulasten der Verbraucher getätigt werden. Wie sieht derzeit die Rechtslage aus? Haben Betroffene beispielsweise Ansprüche auf Schadensersatz? Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken.
- Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Kunden von Halara Auskunft darüber verlangen, ob sie vom Angriff betroffen sind.
- Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.
- 82 DSGVO möglicht Schadensersatzansprüche, falls Halara unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
- Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden von Halara, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.