Beratung anfordern
0800 189 0000
Mo. - Fr. 08:00-18:00 Uhr
Terminanfrage
Kostenlos & unverbindlich

Von Datenleck betroffen? Jetzt Schadensersatz fordern!

Immer wieder werden neue Datenlecks bekannt. Betroffene Kunden müssen befürchten, Opfer gezielter Attacken über Phishing und andere Angriffe zu werden.

Erfahren Sie in diesem Artikel mehr über die Folgen und Ihre Chance auf Schadensersatz, wenn Sie von einem Datenleck betroffen sind.

Jetzt Betroffenheitscheck beauftragen

Schadensersatz bei Datenleck

Allein vom Facebook Datenleck sind in Deutschland ca. 6 Mio. Menschen betroffen. Weitere bekannte Datenlecks trafen Twitter und Deezer. Hier erhalten Sie Antworten auf wichtige Fragen, wenn Sie von einem Datenskandal betroffen sind, und juristische Unterstützung, um Schadensersatz-Forderungen gegenüber Unternehmen durchzusetzen, die die Verantwortung für die Datenlecks tragen.

Inhaltsverzeichnis

Was ist ein Datenleck?

Datenleck

Ein Datenleck ist der Moment, in dem Daten, die ein Kunde einem Unternehmen anvertraut hat, zum Beispiel indem er sich einen Account in einem sozialen Netzwerk erstellt und seine E-Mail-Adresse oder Telefonnummer zur Registrierung hinterlegt hat, Dritten unfreiwillig zugänglich gemacht werden.

Ein Datenleck kann zum einen durch eine Panne, die auf Seiten des Anbieters passiert ist, oder durch einen gezielten Hacker-Angriff, der oft auf Sicherheitslücken zurückzuführen ist, auf das Unternehmen geschehen.

Hacker haben es in der Vergangenheit immer wieder geschafft, über Sicherheitslücken aus den IT-Systemen von Unternehmen Daten zu exportieren. Die erbeuteten Daten werden danach im Internet, meistens im sogenannten Darknet, zu welchem man über das Tor-Netzwerk Zugriff erhält, zum Verkauf angeboten.

Besonders interessant sind für Cyberkriminelle die Daten von Banken oder Kreditkarten-Unternehmen, wie der Sparkasse oder Mastercard, denn mit diesen Daten lässt sich auf illegale Art und Weise besonders schnell Geld verdienen.

Jetzt Betroffenheit prüfen lassen!

Bin ich von einem Datenleck betroffen?

Weltweit wurden bereits Millionen von Datensätzen mit personenbezogenen Daten von Nutzern von sozialen Netzwerken, Online-Marktplätzen und anderen Anbietern veröffentlicht. Im sogenannten Darknet innerhalb des Tor-Netzwerks stehen die Datensätze für Jedermann zum Download bereit. In den Datensätzen befinden sich oft neben den Klarnamen auch das Geburtsdatum, Telefonnummern, der Beziehungsstatus und vielfach auch Passwörter im Klartext.

Wie kann ich prüfen, ob ich von einem Datenleck betroffen bin?

Der Datenschützer Troy Hunt hat auf der Webseite https://haveibeenpwned.com/ die meisten veröffentlichten Datensätze zusammengeführt. Über die Eingabe Ihrer Telefonnummer oder Ihrer E-Mail-Adresse können Sie prüfen, ob Ihre Daten im Internet veröffentlicht wurden und Sie von einem Datenleck betroffen sind.

Handeln Sie jetzt schnell um Ihre Rechte zu sichern.

Wenn Sie von einem Datenleck betroffen sind, dürfen Sie keine Zeit verlieren um Ihre Rechte zu sichern.

  • Unverbindlich & kostenlos
  • Persönliche und realistische Beratung
  • Mehr als 30 Jahre für Verbraucher
  • Keine Angst vor Phishing-Attacken
  • Schutz vor künftigen Schäden


Jetzt Kontakt aufnehmen
Chance auf Schadensersatz bei Datenleck

Wie erhalte ich als Betroffener von einem Datenleck Schadensersatz?

Zunächst geht es um die Frage, ob und in welchem Umfang der Anbieter, bei dem das Datenleck entstanden ist, gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat.

Im Hinblick auf Schadensersatz in der Sache eines betroffenen Facebook-Users im Facebook-Datenleck hat sich das Landgericht Zwickau unter anderem mit den folgenden Fragen beschäftigt:

1. Transparenzgebot

Hat der Anbieter die betroffenen Personen ausreichend über das Maß der Verarbeitung der sie betreffenden personenbezogenen Daten, insbesondere der Verwendung und Geheimhaltung der Telefonnummer informiert?

2. Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f DSGVO

Hat der Anbieter die personenbezogenen Daten der betroffenen Nutzer in ausreichendem Maße im Hinblick auf Art. 5 Abs. 1 lit. f DSGVO mit angemessener Sicherheit geschützt?

3. Grundsätze zu „Privacy by Design“ und „Privacy by Default“

Hat der Anbieter datenschutzfreundliche Voreinstellungen bereitgestellt, welche die nötigen Daten zur Verwendung reduzieren und die generelle Verwendung der Daten der betroffenen Nutzer minimieren?

4. Informationspflicht nach Art. 34 und Art. 33 DSGVO

Hat der Anbieter die von dem Datenleck betroffenen Personen unverzüglich ab Kenntniserlangung von der Verletzung des Schutzes ihrer personenbezogenen Daten informiert?

Art. 82 DSGVO: Haftung und Recht auf Schadensersatz

Grundlage für die Haftung und einen möglichen Schadensersatzanspruch bei einem Datenleck ist Artikel 82 der DSGVO. Dort heißt es im ersten Absatz:

(1) „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Ein materieller Schaden ergibt sich zum Beispiel durch den Diebstahl von Bank- oder Kreditkartendaten, die genutzt werden, um im Internet Produkte zu bestellen.

Ein immaterieller Schaden kann zum Beispiel durch den Kontrollverlust über die persönlichen Daten gegeben sein. Aktuell legen deutsche Gerichte den Begriff des immateriellen Schadens tendenziell immer weiter aus. Einige Gerichte begründen hohe Schadensersatzansprüche unter anderem damit, dass diese eine abschreckende Wirkung für Unternehmen haben müssen.

EuGH Urteile zum Anspruch auf Schadensersatz bei Datenlecks

Der Europäische Gerichtshof hat am 04.05.2023 zum Thema Schadensersatz bei Datenlecks geurteilt (Az.: C-300/21). Ergebnis: Bei einem Datenleck, das aus einem Verstoß gegen die DSGVO resultiert, ist Schadensersatz möglich. Hierzu müssen drei Bedingungen erfüllt sein:

  1. Dem Datenleck muss ein Verstoß gegen die DSGVO zugrunde liegen
  2. Es muss ein materieller oder immaterieller Schaden entstanden sein
  3. Es muss ein kausaler Zusammenhang zwischen Verstoß und Schaden nachgewiesen werden

Zusätzlich entschied der EuGH, dass es in diesem Zusammenhang keine Bagatellfälle gibt. Betroffen Bürger müssen also nicht denken, „Lohnt sich das? Es ist ja nicht so viel passiert, was steht mir da schon zu?“. Jeder einzelne Fall, bei dem durch ein Datenleck ein Schaden entstanden ist, lohnt sich, verfolgt zu werden!

Zur Höhe des Schadensersatzes macht die DSGVO keine Angaben. Laut EuGH ist die Ermittlung der Schadensersatzhöhe daher Sache der Mitgliedstaaten. Von einigen hundert bis hin zu mehreren tausend Euro werden jedoch regelmäßig zugesprochen.

Mit einem weiteren Urteil vom 14.12.2023 äußerte sich der EuGH konkret zum immateriellen Schaden (C-340/21). Dabei stellte er sich gegen die Meinung einiger deutscher Gerichte, die in einem bloßen unguten Gefühl aufgrund eines Datenlecks keinen immateriellen Schaden und damit auch keinen Anspruch auf Schadensersatz sehen. Der EuGH dagegen urteilte:

Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen immateriellen Schaden darstellen.

Der EuGH macht es mit diesem Urteil Betroffenen eines Datenlecks einfacher, eine Entschädigung aufgrund eines immateriellen Schadens zu erhalten.

Weitere Infos zum EuGH-Urteil C-340/21

Bei welchen Datenlecks kann ich Schadensersatz verlangen?

Die DSGVO trat am 25. Mai 2016 in Kraft. Nach einer zweijährigen Übergangsfrist gilt die Datenschutzgrundverordnung seit dem 25. Mai 2018 verbindlich für alle EU-Mitglieder.

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Verantwortlichen, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Quelle: Datenschutz-Grundverordnung

Im Folgenden finden Sie einen Auszug von Unternehmen, die von einem Datenleck betroffen waren und bei denen Schadensersatzansprüche für deutsche Kunden in Betracht kommen:

Facebook Datenleck

Im April 2021 wurde ein großer Datensatz von über 500 Mio. Nutzern des sozialen Netzwerks Facebook im Darknet veröffentlicht. Daten von etwa 20% aller Facebook-Nutzer wurden durch einen sogenannten Exploit aus April 2019 von der Plattform exportiert. Ein großer Anteil des Datensatzes beinhaltet neben dem Namen auch die Telefonnummer, Geburtsdatum, Wohnort, Beziehungsstatus und Arbeitgeber. Die aus diesem Datenleck resultierenden Risiken für die Benutzer sind erheblich. Betroffene Nutzer sehen sich seitdem konstanten Angriffen ausgesetzt, vor allem aufgrund der entwendeten Mobilfunknummer in Form von Belästigungen durch Anrufe und SMS.

Alle Informationen zum Facebook Datenleck

LinkedIn Datenleck

Das Karrierenetzwerk LinkedIn steht bereits seit 2016 in der Kritik. Im Mai 2016 wurden 164 Mio. E-Mail-Adressen und Passwörter aus dem Jahr 2012 veröffentlicht. Die Passwörter wurden damals als SHA1 verschlüsselte Hash-Codes veröffentlicht, welche bereits entschlüsselt sein dürften.

In der ersten Hälfte des Jahres 2021 war LinkedIn erneut Ziel einer Attacke. Hunderte Millionen Profile wurden durchsucht und den Angreifern gelang es offenbar über das sognannte Scraping-Verfahren 400 Mio. Datensätze zu exportieren, 125 Mio. davon mit E-Mail-Adressen, Namen, Orten, Geschlecht und wie in einem Karrierenetzwerk üblich, mit Job-Beschreibungen.

LinkedIn selbst hat zu diesem Datenleck eine Pressemitteilung veröffentlicht. Innerhalb dieser Pressemitteilung verneint LinkedIn ausdrücklich, dass diese erlangten Profil-Daten auf einen Datenschutzverstoß von LinkedIn zurückzuführen sind. Außerdem behauptet LinkedIn, dass keine privaten LinkedIn-Mitgliedschaften offengelegt, bzw. innerhalb der zum Kauf angebotenen Daten keine Daten aus privaten Profilen zu finden sind.

Twitter Datenleck

Im Januar 2022 konnten Angreifer aus dem sozialen Netzwerk Twitter fast 7 Mio. Datensätze, sowohl von aktiven als auch von gesperrten Accounts exportieren. Ein einzelner Datensatz besteht Informationen von haveibeenpwned.com nach oft aus E-Mail-Adressen, Telefonnummern, Benutzername, Displayname, Biografie, Wohnort und Profilfoto. Seit August 2022 werden die Datensätze im Darknet zum Kauf angeboten.
Im Gegensatz zu Facebook informierte Twitter die kompromittierten Accounts umgehend nach der Veröffentlichung über das Darknet über das Datenleck. Twitter gab an, dass die Angreifer einen Bug im System ausgenutzt haben, um die Daten zu exportieren.

Alle Informationen zum Datenleck bei Twitter

Mastercard Datenleck

Im August 2019 startete Mastercard in Deutschland das sogenannte „Priceless Specials“ Programm. Auf ungeklärte Weise schafften es die Angreifer, 90.000 vollständige Datensätze zu exportieren. Ein vollständiger Datensatz beinhaltet Namen, E-Mail-Adressen, Telefonnummern und umfangreiche Kreditkartendaten. In Folge des Datenlecks wurde das Programm vom Markt genommen.

Datensätze von Onlineshops im Netz wegen ungesicherter Schnittstelle von Modern Solution

Auch im Zusammenhang mit den online Marktplätzen von Otto, Media Markt, Idealo oder Kaufland wurde jüngst ein Datenleck öffentlich. Dabei hatte der Softwareanbieter Modern Solutions, der für die Händler die Schnittstelle bereitstellt, offenbar mit einem ungesicherten Zugang gearbeitet. Durch den ungesicherten Zugang sind nach Schätzungen über 1 Millionen sehr sensible Daten weitgehend ungesichert im Internet verfügbar gewesen. Das Datenleck wurde mittlerweile behoben.

Datenleck bei Deezer

Ende 2022 gab der Musikstreaming-Dienst Deezer auf seiner Internetseite bekannt, dass es im Jahr 2019 zu einem Datenleck bei einem Geschäftspartner des Unternehmens gekommen war. Presseberichten zufolge sind dabei rund 230 Millionen Nutzerinformationen abhanden gekommen. Soweit dies bekannt ist, wurden die Daten auf einem Hackerforum zum Verkauf angeboten. Deezer arbeitet seitdem mit den französischen Behörden zusammen.

Alle Informationen zum Datenleck bei Deezer

Wie verhalte ich mich richtig, wenn ich von einem Datenleck betroffen bin?

Zugangsdaten ändern

Wenn Sie von einem Datenleck betroffen sind, sollten Sie zunächst alle Ihre Zugangsdaten ändern. Fangen Sie idealerweise bei den Zugangsdaten zu Ihrem Online-Banking Account an. Sofern Ihre Bank eine Zwei-Faktor-Authentisierung anbietet, sollten Sie, sofern noch nicht geschehen, unbedingt auf die Zwei-Faktor-Authentisierung wechseln. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt die Verwendung ausdrücklich.


E-Mail Account möglicherweise wechseln

Als nächstes sollten Sie, sofern es Ihnen möglich ist, Ihre E-Mail-Adresse prüfen. Ein Wechsel Ihrer primär verwendeten E-Mail-Adresse schützt Sie in ganz erheblichem Umfang vor Phishing Versuchen. Allerdings nur, wenn Sie die neue E-Mail-Adresse nicht in Ihrem alten, kompromittierten Postfach auftauchen lassen. Denn dann hat ein möglicher Angreifer nur geringe Chancen von dem Wechsel Ihrer E-Mail-Adresse Kenntnis zu erhalten.

Wie wähle ich starke Passwörter aus, wenn ich von einem Datenleck betroffen bin?

  1. Passwortlänge
    Je länger ein Passwort, desto schwieriger ist es zu knacken. Die Verbraucherzentrale empfiehlt eine Länge von mindestens 8 Zeichen.
  2. Zahlen, Buchstaben & Sonderzeichen
    Idealerweise bilden Sie Ihr Passwort aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen. Grundsätzlich empfiehlt es sich, keine Wörter oder Daten zu verwenden, welche in Bezug zu Ihrer Familie stehen. Diese Kombinationen wird ein Angreifer als erstes verwenden, um sich Zugang zu verschaffen.
  3. Keine Reihenfolgen
    Ein weiterer wichtiger Punkt ist, dass Sie für die Auswahl eines starken Passwortes keine alphabetischen oder numerischen Reihenfolgen verwenden. Sprich „12345“ und „abcde“ sind bei der Findung von starken Passwörtern absolute „No Gos“.
  4. Ein Passwort für ein Portal/Service
    Um bei einer Datenpanne oder einem Datenleck Schaden in größerem Umfang von sich abzuwenden ist es wichtig, dass Sie für jedes Online-Angebot, bei dem Sie angemeldet sind, ein eigenes Passwort verwenden. Sofern es einem Angreifer gelingt Daten zu extrahieren, ist der Datendiebstahl für Sie dann auf das betroffene Online-Angebot beschränkt.

Welche Folgen haben Datenlecks für Betroffene?

Immer dann, wenn Daten nach einem Datenleck im Internet veröffentlicht werden, kann es zu gezielten Angriffen kommen wie zum Beispiel:

Unaufgeforderte Kontaktversuche:

Per Telefon:
Die Telefonnummer eines Nutzers kann von der organisierten Kriminalität beispielsweise zum berühmten „Enkeltrick“ genutzt werden. Beim „Enkeltrick“ gibt sich der Betrüger gegenüber einer älteren Person als Familienmitglied aus, um unter Vorspiegelung falscher Tatsachen an Bargeld, Schmuck oder sonstige Wertgegenstände zu gelangen. In einer neueren Generation des „Enkeltricks“ geben sich die Betrüger hingegen direkt als Polizeibeamte aus, um angeblich Wertgegenstände vor Betrügern zu sichern. Justizminister Georg Eisenreich gab in einem Interview an, dass allein im Jahr 2021 Kriminelle 6,1 Mio. Euro in Bayern erbeutet haben.

Seit 2022 kommt es vermehrt zu Anrufen von angeblichen Mitarbeitern von BKA, Europol oder Interpol - bekannt wurde dieses Vorgehen deshalb als "Europol-Masche". Die Anrufe erfolgen von echten, vermutlich durch Hacks geklauten, deutschen Nummern, wodurch sie zunächst nicht als Fake zu erkennen sind. Die Angerufenen werden dann jedoch aufgefordert, persönliche Daten preiszugeben oder Geld zu überweisen. Die Behörden raten, in diesen Fällen einfach aufzulegen und sich an die örtliche Polizeidienststelle zu wenden.

Per E-Mail:
Ein unaufgeforderter Kontaktversuch per E-Mail, oft auch als Spam bezeichnet, bewirbt Produkte weit unter Marktpreis. Wer die Produkte aus den E-Mails kauft, gibt nicht nur seine eingegebenen Daten an Betrüger weiter, sondern erhält als Gegenleistung für das gezahlte Geld keine Waren.

Oft werden Spam-E-Mails auch zum Phishing oder zur Infektion von Computern mit Viren und Malware genutzt.

Über SMS & Kurznachrichten:
Nutzer können auch per direkter Nachricht über eine SMS oder einen Kurznachrichten-Dienst wie zum Beispiel WhatsApp oder dem beliebten Messenger-Dienst Telegram kontaktiert werden. Über Kurznachrichten werden ähnlich wie in Spam-E-Mails fragwürdige Produkte beworben oder über Phishing versucht, mit gefälschten Webseiten an die Bankdaten zu gelangen (Phishing per SMS = Smishing).

Was ist Phishing?
Nach der unaufgeforderten Kontaktaufnahme durch Kriminelle, sei es per Telefon, per E-Mail oder Kurznachricht, wird dem Betroffenen zunächst vermittelt, dass es sich um ein vertrauenswürdiges Angebot handelt. Ziel des Angriffes ist es, an weitere Daten des Betroffenen zu gelangen, indem durch den Angreifer zum Beispiel eine gefälschte Version des Online Banking Portals einer Bank übermittelt wird. Wenn der Betroffene auf der gefälschten Webseite dann seine Daten eingibt, wird der Angreifer im nächsten Schritt versuchen, entsprechende Überweisungen zu tätigen oder im Namen der betroffenen Person im Internet Waren oder Dienstleistungen zu erwerben.

Besonders gefährlich ist Phishing, wenn der Angreifer im Vorfeld bereits über personenbezogene Daten verfügt, die er zum Beispiel durch ein Datenleck erhalten hat. Die Erfolgsquote eines Angriffs mit einer gefälschten Webseite einer regional verfügbaren Bank ist viel höher einzuschätzen als ein ungezielter Phishingversuch.

Infektion mit Malware und Viren
Ein anderes Ziel einer Attacke auf von einem Datenleck betroffene Personen ist die Infektion mit Malware, Viren oder Trojanern. Nach der Infektion eines Computers mit Schadcode kommt es unter Umständen zur Verschlüsselung wichtiger Daten und im darauffolgenden Schritt zur Erpressung von Geld gegen die Freigabe bzw. Entschlüsselung der Daten. Die Schadprogramme infizieren oftmals auch den E-Mail-Clienten des infizierten IT-Systems, um sich automatisch an die innerhalb des Systems gespeicherten weiteren Adressen zu verbreiten.