Die Verbraucherkanzlei Dr. Stoll & Sauer vertritt die Meinung, dass von Datenlecks betroffene Verbraucher sich unbedingt zur Wehr setzen sollten. Oftmals bekommen Verbraucher es gar nicht mit, dass ihre Daten im Internet kursieren. Die Kanzlei empfiehlt daher Verbrauchern, im kostenlosen Online-Check die Betroffenheit überprüfen zu lassen. Die Rechtsprechung am Europäischen Gerichtshof (EuGH) erleichtert derzeit für Betroffene, Schadensersatz erfolgreich einzuklagen. Mehr Infos zum Thema Datenleck gibt es auf unserer Website.
Datenlecks: Manchmal genügt eine kleine Unachtsamkeit
Aktuell sehen sich Millionen von E-Mail-Accounts mit einer Flut von Spam und betrügerisch überzeugenden E-Mails konfrontiert, verursacht durch verschiedene Datenpannen, unter anderem bei Facebook. Im Frühjahr 2021 wurde ein enormes Datenleck bei dem Social-Media-Giganten publik, von dem allein in Deutschland sechs Millionen Nutzer betroffen sein sollen. Nach solchen Sicherheitsvorfällen ist es üblich, dass Kriminelle in Hacker-Foren sensible Informationen wie E-Mail-Adressen, Passwörter und in einigen Fällen sogar Bankdaten zum Verkauf anbieten. Personen, deren Daten durch solche Lecks kompromittiert wurden, könnten unter Umständen Anspruch auf Schadensersatz erheben. Zunehmend sprechen Gerichte Urteile aus, die Unternehmen wie die Facebook-Muttergesellschaft Meta zur Leistung von Schadensersatz verpflichten. Kaum eine Woche ohne ein neues Datenleck. Ende Januar 2024 tauchten in Online-Medien Berichte darüber auf, dass der Automobilhersteller Mercedes ein eigenes Datenleck produziert hat – allerdings aus Versehen. Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was bisher bekannt geworden ist:
- Mercedes Benz hat versehentlich interne Informationen und Sourcecode preisgegeben, nachdem ein öffentlich zugänglicher GitHub-Schlüssel entdeckt wurde. Sicherheitsexperten von RedHunt Labs berichteten, dass sie bei einer Routineüberprüfung auf einen Token gestoßen sind, der den Zugang zu vertraulichen Unternehmensdaten ermöglichte.
- Der Token, der im September 2023 ausgestellt wurde, bot unbegrenzten Zugriff auf die GitHub-Seite des Automobilherstellers, ohne dabei überwacht zu werden.
- Bislang ist unklar, ob es zu unbefugten Zugriffen kam. Mercedes hat den Vorfall bestätigt und den Token inzwischen für ungültig erklärt, sodass eine Anmeldung nicht mehr möglich ist. Das Unternehmen versicherte zudem, dass das betroffene Repository nun nicht mehr öffentlich zugänglich ist.
- Laut den Forschern von RedHunt enthielt die GitHub-Seite von Mercedes zahlreiche sensible Daten, darunter API- und Cloud-Schlüssel, Blaupausen, Passwörter und Sourcecode. Insbesondere über einen auf GitHub hinterlegten Schlüssel für Amazon Web Services hätten Unbefugte potenziell Zugriff auf weitere Daten in der Cloud erhalten können. Ein unbefugter Zugang zu solchen Informationen könnte erhebliche Konsequenzen für den Automobilhersteller nach sich ziehen.
- Es bleibt nach Aussage des Online-Magazins Heise ungewiss, ob Kundendaten in dem betroffenen Repository gespeichert waren. Mercedes hat angekündigt, den Vorfall weiterhin zu untersuchen und gegebenenfalls weitere Schritte zu unternehmen.
Verbraucher, die von einem Cyberangriff betroffen sind, sollten sich über die möglichen Folgen von Datenlecks und Datendiebstahl im Klaren sein. Durch die Kombination von Informationen aus verschiedenen Datenpannen könnten Cyberkriminelle in der Lage sein, gezielte Phishing-Angriffe auf einzelne Verbraucher zu starten, was im schlimmsten Fall zum Identitätsdiebstahl führen kann. Dieser ermöglicht es den Angreifern unter Umständen, auf Kosten der betroffenen Verbraucher Geschäfte abzuschließen. Was die rechtliche Situation betrifft, so fragen sich viele, ob ihnen im Falle eines Datendiebstahls Schadensersatzansprüche zustehen. In diesem Zusammenhang weist die Verbraucherkanzlei Dr. Stoll & Sauer auf wichtige Entscheidungen des Europäischen Gerichtshofs (EuGH) hin, die im Jahr 2023 gefällt wurden und die Rechte der Verbraucher bei Datenschutzverletzungen deutlich verstärken.
- Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind.
- Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.
- 82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
- Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.