14,1 Millionen Deezer-Kunden in Deutschland von Datenleck betroffen
Mit Deezer hat es jetzt einen ganz großen der Online-Dienste erwischt. Unglaubliche 229 Millionen Datensätze haben Cyber-Kriminelle beim Musik-Streaming-Dienst aus Frankreich abgegriffen. Was besonders auffällig ist: Deezer hat sich lange davor gedrückt, die Kunden zu informieren. Das ist eine typische Strategie, um die Folgen für das Unternehmen klein zu halten. Die Kanzlei Dr. Stoll & Sauer, die ihren Fokus auf IT-Recht hat, berichtet über die bisher bekannten Details des Datenlecks.
- Bereits am 7. Dezember 2022 berichtete erstmals das englischsprachige Online-Magazin „Restore Privacy“ über das Datenleck bei Deezer. Im Sommer 2019 war es Hackern gelungen, 229 Millionen Datensätze von Deezer-Kunden zu stehlen.
- Die Diebe erbeuteten folgende Informationen: komplette Namen, Geburtsdaten, E-Mail-Adressen, Geschlecht, Herkunftsland, Aufnahmedatum und die IP-Adresse der Kunden.
- 14,1 Millionen Kunden sollen in Deutschland betroffen sein.
- Deezer hat nach eigenen Angaben erst am 8. November 2022 vom Datenleck Kenntnis erhalten. In einem kaum auffindbaren Support-Artikel auf der eigenen Website äußerte sich Deezer näher, aber trotzdem sehr vage, zum Datenleck.
- Anfang 2023 nahm das Portal „Have I been Pwned“ die Daten in seinen Bestand auf. In dem Portal können Verbraucher überprüfen, ob sie von einem Datenleck betroffen sind.
- Erst Anfang Februar 2023 informierte das Unternehmen seine Kunden über das Datenleck und beteuert per Mail, dass „keine Informationen über Passwörter oder Zahlungsdaten betroffen“ seien, und „die Folgen scheinen sich in Grenzen zu halten", heißt es auf Englisch. Nähere Informationen zu dem Datenleck selbst fehlen.
Fazit: Das Datenleck bei Deezer stellt für die betroffenen Verbrauchern eine Datenkatastrophe dar und kann als klaren Verstoß gegen den Datenschutz gewertet werden. Deezer hätte die Daten besser schützen müssen. Die zögerliche Informationspolitik und die unglaublich lange Zeit, ehe das Unternehmen den Datenklau entdeckt hat, werfen kein gutes Licht auf Deezer. Bei der Datensicherheit ist wohl geschlampt worden, sonst wäre es zu keinem Datenleck gekommen. Und wie glaubwürdig ist es, dass Deezer über drei Jahre benötigt hat, um das Leck zu entdecken? Erst nach der ersten Veröffentlichung im Online-Magazin gab Deezer dem Druck nach, stellte auf der Website einen schlecht auffindbaren Support-Artikel online. Das Einstellen der Kundendaten auf der Plattform „Have I been pwned“ führte dann dazu, die Kunden zu informieren. Das Unternehmen zeigt wenig Interesse daran, die Hintergründe des Datenlecks aufzuarbeiten.
Welche Folgen hat das Datenleck bei Deezer?
Auf den ersten Blick ist für Kunden von Deezer noch nicht viel passiert. Spam- und Phishing-Wellen sind zuallererst nur nervig. Doch die Gefahr ist groß, dass es mit Hilfe von SMS, E-Mail oder Malware zu Betrugsversuchen kommt. Da es auch zum großen Datenklau bei anderen Social-Media-Accounts wie Facebook gekommen ist, wächst das Risiko, dass Kriminelle weitere personenbezogene Daten miteinander verknüpfen und zum Schluss die Identität von Verbrauchern übernehmen und im Namen der Geschädigten Geschäfte abschließen. Bereits jetzt werden die Mails von Banken täuschend echt kopiert. Wer da im Eifer des Tagesgeschäft die falsche Taste drückt, kann große Probleme bekommen. Die Gefahr eines Datenlecks liegt in dem Kontrollverlust über die eigenen Daten. Sind diese Daten einmal weg, sind sie für Kriminelle jederzeit benutzbar. Die Gefahr liegt also in der Zukunft. Geraten die Daten in die falschen Hände, ist dem Missbrauch Tor und Tür geöffnet.
Deezer-Kunden ist ein Schaden durch das Datenleck entstanden
Deezer-Kunden haben ein Recht darauf zu erfahren, ob sie vom Datenleck betroffen sind. Das Unternehmen muss ihnen nach Artikel 15 der europäischen Datenschutzgrundverordnung (DSGVO) darüber Auskunft erteilen. Innerhalb eines Monats muss das Unternehmen Auskunft erteilen. So sieht es Artikel 12 DSGVO vor. Letztlich ist aus Sicht der Kanzlei Dr. Stoll & Sauer den Betroffenen ein sogenannter immaterieller Schaden entstanden. Die Gefahr, Opfer von Kriminellen zu werden, ist enorm gestiegen. Auch ein Identitätsdiebstahl ist im Bereich des Möglichen. Erste Gerichte haben beispielsweise Facebook zur Zahlung von Schmerzensgeld in erster Instanz verurteilt, weil der Social-Media-Riese die Daten seiner Kunden besser hätte schützen müssen. Grundlage dafür ist Artikel 82 DSGVO. Die Verordnung sieht bei schuldhaften Verstößen bei den Geschädigten einen Anspruch auf ein „angemessene Schmerzensgeld“. Dr. Stoll & Sauer bietet für Deezer-Kunden eine kostenlose anwaltliche Erstberatung im Online-Check an. Wir prüfen für Sie die Betroffenheit des Datenlecks. Wir können auf feststellen, ob die Daten auch bei anderen Lecks aufgetaucht sind.