Welche Daten sind vom Datenlecks bei Watchfinder betroffen?
Unternehmen, Behörden und Arbeitgeber sammeln Daten von Verbrauchern, verarbeiten sie, nutzen sie für ihre Zwecke und verdienen damit oft auch Geld. Allerdings wird mit den personenbezogenen Daten manchmal leichtfertig umgegangen, so dass es zu Verstößen gegen datenschutzrechtliche Normen kommt. Da die Zahl der Datenlecks täglich immer größer wird, ist beinahe jeder von einem Datenleck betroffen – ohne dass er es vielleicht weiß. Oft informieren die Unternehmen ihre Kunden nicht darüber, dass sie Opfer eines Datenlecks geworden sind und ihre Daten im Internet kursieren.
Auch beim Onlinehändler für Secondhand-Uhren Watchfinder konnten sich Kriminelle Zugriff auf Kundenkonten verschaffen. Watchfinder hat nach eigenen Angaben Kunden von der Datenpanne informiert und sie zur Wachsamkeit ermahnt. Bei den betroffenen Daten soll es sich um E-Mail-Adressen, Telefonnummern und Einkaufshistorien der Kunden handeln. Postadresse, Passwörter, Kreditkartendaten und andere Bankinformationen sollen nicht abgegriffen worden sein. Watchfinder gehört zum britischen Schmuck- und Uhrenkonzern Richemont
Worin besteht der Schaden beim Datenleck bei Watchfinder
Auf den ersten Blick scheint der Schaden bei einem Datenleck nicht so groß zu sein. Doch der erste Blick täuscht. Bei Datenlecks sind von heute auf morgen hochsensible Daten von Kunden plötzlich für Dritte einsehbar und abgreifbar – und das für ewige Zeiten.
Das Internet vergisst nichts. Die nächste Spam- und Phishing-Welle rollt bereits auf Verbraucher zu. Das kann mehr als nervig sein. Die Gefahr ist groß, dass es mit Hilfe von SMS, E-Mail oder Malware zu Betrugsversuchen kommt. Da es auch zum großen Datenklau beispielsweise bei Social-Media-Accounts wie Facebook gekommen ist, wächst das Risiko, dass Kriminelle weitere personenbezogene Daten miteinander verknüpfen und zum Schluss die Identität von Verbrauchern übernehmen und im Namen der Geschädigten Geschäfte abschließen. Das jüngste Datenleck bei PayPal entstand nur deshalb, weil Kriminelle Passwörter und Nutzernamen anwenden konnten, die bei anderen Datenlecks erbeutet worden waren.
Bereits jetzt werden die Mails von Banken täuschend echt kopiert. Wer da im Eifer des Tagesgeschäft die falsche Taste drückt, kann große Probleme bekommen. Die Gefahr eines Datenlecks liegt in dem Kontrollverlust über die eigenen Daten. Sind diese Daten einmal weg, sind sie für Kriminelle jederzeit benutzbar. Die Gefahr liegt also in der Zukunft.
Datenleck: Was können Watchfinder-Kunden unternehmen?
Betroffene eines Datenlecks sind dem Datenklau nicht schutzlos ausgeliefert. Die Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der EU. Wichtige Stützpfeiler der DSGVO sind das Recht auf Auskunft der Verbraucher über ihre Daten sowie die Möglichkeit Ansprüche auf Schadensersatz geltend zu machen. Watchfinder-Nutzer haben daher ein Recht darauf zu erfahren, ob sie vom Datenleck betroffen sind. Das Unternehmen muss ihnen nach Artikel 15 der europäischen Datenschutzgrundverordnung (DSGVO) darüber Auskunft erteilen. Dafür hat das Unternehmen einen Monat Zeit. So sieht es Artikel 12 DSGVO vor. Wenn Watchfinder dieser Auskunftspflicht gar nicht oder ungenügend nachkommt, entstehen Ansprüche auf Schadensersatz.
Darüber hinaus ist aus Sicht der Kanzlei Dr. Stoll & Sauer den Betroffenen ein sogenannter immaterieller Schaden entstanden. Die Gefahr, Opfer von Kriminellen zu werden, ist enorm gestiegen. Auch ein Identitätsdiebstahl ist im Bereich des Möglichen. Erste Gerichte haben beispielsweise Facebook zur Zahlung von Schmerzensgeld in erster Instanz verurteilt, weil der Social-Media-Riese die Daten seiner Kunden besser hätte schützen müssen. Grundlage dafür ist Artikel 82 DSGVO. Die Verordnung sieht bei schuldhaften Verstößen bei den Geschädigten einen Anspruch auf ein „angemessene Schmerzensgeld“.
Fazit: Das Datenleck wird von Watchfinder heruntergespielt. Der Auskunftspflicht kommt das Unternehmen nicht nach. Für die betroffenen Verbrauchern stellt das Leck eine Datenkatastrophe und klaren Verstoß gegen den Datenschutz dar. Dr. Stoll & Sauer bietet für Watchfinder-Kunden eine kostenlose anwaltliche Erstberatung im Online-Check an. Wir zeigen die Möglichkeiten auf, gegen Watchfinder juristisch vorzugehen.
Der Fall Watchfinder: Was zum Datenleck bisher bekannt ist?
Die Kanzlei Dr. Stoll & Sauer fasst die wichtigsten Fakten zum Datenleck bei Watchfinder zusammen:
- Ende September 2022 erhielten Watchfinder-Kunden folgende E-Mail des CEO, die sie über eine Datenpanne informierte: „Guten Abend, (…) Wir müssen Ihnen leider mitteilen, dass wir vor Kurzem einen unbefugten Zugriff auf das Nutzerkonto eines unserer Mitarbeitenden entdeckt haben, was dazu führte, dass Listen unserer potenziellen Kunden kompromittiert wurden. Wir haben sofort Maßnahmen ergriffen und eine Untersuchung eingeleitet. Alle unsere Systeme bleiben geschützt.
Die betroffenen Unterlagen können Ihre E-Mail-Adresse, Telefonnummer und/oder Uhren enthalten, an denen Sie interessiert waren. Postanschriften, Passwörter, Kreditkarteninformationen oder andere Bankdaten waren nicht betroffen.“ - Als Sicherungsmaßnahmen empfahl Wachtfinder folgendes: „Dennoch möchten wir Sie aufgrund der Art der Daten über diesen Vorfall in Kenntnis setzen, um Sie vor möglicher verdächtiger Korrespondenz zu warnen.
Wir haben die zuständigen Behörden informiert und führen eine umfassende Überprüfung unserer Sicherheitsmaßnahmen und -richtlinien durch. Der vertrauliche Charakter unserer Beziehung mit Ihnen ist uns sehr wichtig. Wir möchten Ihnen versichern, dass die Sicherheit Ihrer personenbezogenen Daten für uns oberste Priorität hat. Wir möchten uns aufrichtig bei Ihnen entschuldigen.“ - Watchfinder gab auch noch eine E-Mail-Adresse für weitere Fragen an: „Falls Sie weitere Fragen haben, wenden Sie sich bitte unter folgender E-Mail-Adresse an uns: customerservice@watchfinder.co.uk.
Mit freundlichen Grüßen
Arjen van de Vall
CEO Watchfinder & Co. - Einige Kunden wollten genauer wissen, welche Daten von ihnen gestohlen worden sind. Antwort gab es vom Serviceteam auf Englisch. Letztlich wurde die erste Mail zusammengefasst wiederholt und versichert, dass die Angelegenheit durch ein Sicherheitsteam untersucht worden sei und dass alle Systeme weiterhin geschützt seien. Passwörter, Postanschriften, Kreditkartendaten oder andere Bankinformationen seien vom Zugriff nicht betroffen gewesen. Die Frage, welche Daten konkret von den Kunden gestohlen worden sind, blieb unbeantwortet.