Datendiebstahl bei Condor Versicherung
Mehrere Branchendienste berichteten einhellig über den Datendiebstahl bei der Condor Versicherung, wobei die Muttergesellschaft R+V den Vorfall ebenfalls bestätigte. Bisher unbekannte Täter erbeuteten bei einem klassischen Einbruch in Geschäftsräume zwei Festplatten. Diese enthielten wertvolle E-Mail-Korrespondenzen zwischen Kunden und Maklern.
Es ist unklar, welche Art von Daten die Einbrecher erlangt haben und wie viele der nahezu 200.000 Condor-Kunden von diesem Vorfall betroffen sind. Den Berichten zufolge sind die betroffenen Kunden jedoch bereits vorsorglich informiert worden. Ein Sprecher der R+V zitiert das "Versicherungsjournal" und erklärt: "Unsere Datenanalysten arbeiten derzeit daran, die genauen Umstände zu klären. Die entwendeten Daten erfordern einen erheblichen IT-technischen Aufwand, um sie auszuwerten. Derzeit gibt es keine Hinweise darauf, dass die Daten missbräuchlich verwendet werden."
In der jüngsten Vergangenheit waren Finanzdienstleister immer wieder Ziel von Datendiebstählen, die von Cyberkriminellen verübt wurden. Bekannt ist beispielsweise der "Hack" bei der Haftpflichtkasse Darmstadt, der Angriff auf die Makler-Software-Tools "Smart Cloud" und "Smart Consult" des IT-Hauses Smart Insurtech sowie der Cyberangriff auf die Neobank Revolut. Kriminelle erzielten ebenfalls Erfolge bei Attacken auf den Deutschen Industrie- und Handelskammertag (DIHK), indem sie unter anderem das Vermittlerregister des DIHK für längere Zeit außer Betrieb setzten.
Fazit der Kanzlei Dr. Stoll & Sauer: Wie jedes Datenleck, so ist auch der Datendiebstahl für betroffene Verbraucher eine ernste Angelegenheit. Sensible personenbezogene Daten können erbeutet worden sein. Kriminelle können diese Daten für ihre Machenschaften nutzbar machen und beispielsweise Phishing-Attacken perfektionieren. Dieser Kontrollverlust über die eigenen Daten kann einen immateriellen Schaden darstellen. Hat die Condor Versicherung gegen datenschutzrechtliche Bestimmungen verstoßen, so können Betroffene Ansprüche auf Schadensersatz erfolgreich geltend machen. Laut EuGH-Urteil vom 4. Mai 2023 (Az.: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.
Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks und Datendiebstahls im Klaren sein und entsprechende Maßnahmen ergreifen, um sich beispielsweise vor Phishing-Angriffen zu schützen. Mit Hilfe kombinierter Informationen aus anderen Datenlecks könnten Cyberkriminellen gezielte Phishing-Angriffe gegen Verbraucher initiieren. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check. Hier prüft die Kanzlei auch die mögliche Betroffenheit von Verbrauchern.
EuGH stärkt Rechte von betroffenen Verbrauchern
Opfern von Datenlecks haben Rechte auf Auskunft, Schadensersatz und Unterlassung.
- Auskunftsrecht: Gemäß Artikel 15 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind. Dazu gehören Angaben über die Art der Daten, die betroffenen Personen und den Zeitraum der Verarbeitung.
- Schadensersatzrecht: Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EuGH) entschieden. Laut EuGH-Urteil vom 4. Mai 2023 (: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.
- Unterlassungsrecht: Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen.
Was tun, wenn Sie Opfer einer Phishing-Attacke geworden sind?
Phishing bleibt eine beliebte Betrugsmasche unter Cyberkriminellen und scheint ein lukratives kriminelles Geschäftsmodell zu sein. Im April warnte das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails, die Opfer mit angeblichen Zollgebühren lockten. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:
- Sofort die Zugangsdaten für Online-Bankgeschäfte geändert werden.
- Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.
- Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.
- Unbedingt Strafanzeige erstatten.