Handelsblatt: Hat Lloyd Behörden nicht nach 72 Stunden informiert?
Die Zahl der Datenlecks und Cyberattacken nimmt täglich zu. Verbraucher erhalten verdächtige SMS oder E-Mails, während Kriminelle versuchen, mit verschiedenen Tricks und Softwareattacken an hochsensible Daten zu gelangen. Datenlecks können auch für Unternehmen gravierende Auswirkungen haben – von Umsatzeinbußen bis hin zu Rufschädigungen. Die fortschreitende Digitalisierung erhöht das Risiko von Cyberangriffen, was die Bedeutung des Verständnisses der gängigsten Datenlecks und ihrer Folgen sowie die Notwendigkeit geeigneter Präventionsmaßnahmen unterstreicht. Jetzt hat es den Öko-Investor Thomas Lloyd erwischt. Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was nach Medienberichten bisher bekannt geworden ist:
- Zu den veröffentlichten Daten gehören private Fotos von Mitarbeitern, die offenbar auf ihren Dienstrechnern gespeichert waren, aber auch weitaus kritischere Dokumente wie Personalausweise, Arbeitsverträge, ärztliche Atteste und Krankmeldungen.
- Besonders brisant: Einige Dateien sind mit „Passwords“ überschrieben, was die Gefahr von Identitätsdiebstahl und finanziellen Schäden erheblich erhöht.
- Zusätzlich wurden auch Daten über die Biomassekraftwerke auf den Philippinen und Geschäftsbeziehungen von Thomas Lloyd veröffentlicht, die das Unternehmen zusätzlich in die Krise stürzen könnten.
- Thomas Lloyd, der in Deutschland rund 27.000 Anleger betreut, gerät laut Handelsblatt-Bericht nicht nur wegen des Datenleaks unter Druck. Der Öko-Investor verwaltet insgesamt rund eine Milliarde Euro in Fonds, die in asiatische Biomassewerke und Solaranlagen investieren. Doch Belege für den Erfolg dieser Geschäfte fehlen weitgehend, wie das Handelsblatt Die betroffenen Fonds der CTI-Reihe verzeichneten zuletzt hohe Verluste. Laut dem Bericht haben die Hacker nun detaillierte Informationen über diese Fonds sowie über Kontodaten, Steuerunterlagen und Anlagevolumina der Investoren ins Darknet gestellt.
- Der Vorfall ist nicht das erste Mal, dass Thomas Lloyd zum Ziel von Cyberkriminellen wurde. Bereits im April 2023 wurde das Unternehmen Opfer eines Cyberangriffs, bei dem die Hackergruppe „Black Basta“ Teile der Server verschlüsselte. Damals wurde eine Lösegeldforderung gestellt, doch es konnte nicht zweifelsfrei geklärt werden, ob Daten entwendet wurden. Dieser Vorfall wurde den Datenschutzbehörden jedoch nicht gemeldet, was nun rückblickend Fragen aufwirft.
- Aktuell prüfen Datenschutzbehörden in Deutschland die Geschehnisse. Wie das Handelsblatt berichtet, hat Thomas Lloyd die zuständige Behörde in Niedersachsen nach dem aktuellen Datenleak nicht innerhalb der vorgeschriebenen 72-Stunden-Frist informiert, was nach der Datenschutz-Grundverordnung (DSGVO) erhebliche Bußgelder zur Folge haben könnte.
- Der aktuelle Vorfall zeigt, wie weitreichend die Auswirkungen eines Cyberangriffs sein können, wenn unzureichende Sicherheitsvorkehrungen getroffen wurden. Investoren, deren Daten in die falschen Hände gelangt sind, müssen sich nun nicht nur um ihre Anlagen, sondern auch um die Sicherheit ihrer persönlichen Informationen sorgen. Betroffene haben unter Umständen Anspruch auf Schadensersatz, und Dr. Stoll & Sauer empfiehlt dringend, rechtliche Schritte zu prüfen.
- Für betroffene Investoren und Mitarbeiter ist die Lage ernst. Die veröffentlichten Daten könnten leicht missbraucht werden, insbesondere für Identitätsdiebstahl und andere kriminelle Aktivitäten. Kriminelle könnten sich Zugang zu Bankkonten verschaffen oder vertrauliche Informationen aus den veröffentlichten Dokumenten für illegale Zwecke nutzen.
- Stoll & Sauer rät allen Betroffenen dringend, ihre rechtlichen Möglichkeiten zu prüfen. Bei einem derartigen Datenleck besteht die Möglichkeit, Schadensersatzansprüche gegen das Unternehmen geltend zu machen. Die Kanzlei empfiehlt Betroffenen des Datenlecks die Erstberatung im kostenlosen Online-Check. Mehr Infos zum Thema Datenleck gibt es auf unserer Website.
Von einem Cyberangriff betroffene Verbraucher sollten sich die Konsequenzen eines Datenlecks und Datendiebstahls bewusst vor Augen führen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Das kann sogar zum Diebstahl der Identität führen. Damit können beispielsweise Geschäfte zulasten der Verbraucher getätigt werden. Stehen den Nutzern Schadenersatzansprüche zu? Eine einheitliche Rechtsprechung zum Thema Datenleck gibt es in Deutschland bisher nicht. Der Bundesgerichtshof (BGH) beschäftigt sich erstmals am 11. November 2024 in zwei Verfahren mit dem Thema.
Der BGH muss Leitlinien für die unteren Instanzen vorlegen. Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken. Auch diese werden in die Entscheidungen zu den vorliegenden Verfahren einfließen.
- Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind.
- Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.
- 82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
- Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.
Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien
Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien im Verbraucher- und Anlegerschutzrecht. Mit der Expertise von 23 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank- und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits-, Verkehrs-, IT-, Versicherungs- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830-Millionen-Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterfeststellungsklage gegen die Mercedes-Benz Group AG. Im JUVE-Handbuch 2019/2020 wird die Kanzlei für ihre Kompetenz beim Management von Massenverfahren als marktprägend erwähnt.