Beratung anfordern
Mo. - Fr. 08:00-18:00 Uhr
Kostenlos & unverbindlich

Datenleck: Datenschutz-Skandale um Datenlecks - Schadensersatz möglich

2022 – immer wieder werden neue Datenlecks bekannt. Betroffene Kunden müssen befürchten, Opfer gezielter Attacken über Phishing und andere Angriffe zu werden. Erfahren Sie in diesem Artikel mehr über die Folgen und Ihre Möglichkeiten, wenn Sie von einem Datenleck betroffen sind.


Datenschutz Hilfe

Allein im Facebook-Datenleck sind in Deutschland durch die Datenpanne ca. 6 Mio. Menschen betroffen. Hier erhalten Sie Antworten auf wichtige Fragen, wenn Sie von einem Datenskandal betroffen sind, und juristische Unterstützung, um Schadensersatz-Forderungen gegenüber Unternehmen durchzusetzen, die die Verantwortung für die Datenlecks tragen.

Was genau ist ein Datenleck?

test

Ein Datenleck ist der Moment, in dem Daten, die ein Kunde einem Unternehmen anvertraut hat, zum Beispiel indem er sich einen Account in einem sozialen Netzwerk erstellt und seine E-Mail-Adresse oder Telefonnummer zur Registrierung hinterlegt hat, Dritten unfreiwillig zugänglich gemacht werden.

Ein Datenleck kann zum einen durch eine Panne, die auf Seiten des Anbieters passiert ist, oder durch einen gezielten Hacker-Angriff auf das Unternehmen geschehen.

Hacker haben es in der Vergangenheit immer wieder geschafft, über Sicherheitslücken in den IT-Systemen von Unternehmen Daten zu exportieren. Die erbeuteten Daten werden danach im Internet, meistens im sogenannten Darknet, zu welchem man über das Tor-Netzwerk Zugriff erhält, zum Verkauf angeboten.

Besonders interessant sind für Cyberkriminelle die Daten von Banken oder Kreditkarten-Unternehmen, wie der Sparkasse oder Mastercard, denn mit diesen Daten lässt sich auf illegale Art und Weise besonders schnell Geld verdienen.

Bin ich von einem Datenleck betroffen?

Weltweit wurden bereits Millionen von Datensätzen mit personenbezogenen Daten von Nutzern von sozialen Netzwerken, Online-Marktplätzen und anderen Angeboten veröffentlicht. Im sogenannten Darknet innerhalb des Tor-Netzwerks stehen die Datensätze für Jedermann zum Download bereit. In den Datensätzen befinden sich oft neben den Klarnamen auch das Geburtsdatum, Telefonnummern, der Beziehungsstatus und vielfach auch Passwörter im Klartext.

Wie kann ich prüfen, ob ich von einem Datenleck oder einer Datenpanne betroffen bin?

Der Datenschützer Troy Hunt hat unter der Webseite https://haveibeenpwned.com/ die meisten veröffentlichten Datensätze zusammengeführt. Über die Eingabe Ihrer Telefonnummer oder Ihrer E-Mail-Adresse können Sie prüfen, ob Ihre Daten im Internet veröffentlicht wurden.

Handeln Sie jetzt schnell um Ihre Rechte zu sichern.

Wenn Sie von einem Datenleck betroffen sind, dürfen Sie keine Zeit verlieren um Ihre Rechte zu sichern.

  • Unverbindlich & kostenlos
  • Persönliche und realistische Beratung
  • Mehr als 30 Jahre für Verbraucher
  • Keine Angst vor Phishing-Attacken
  • Schutz vor künftigen Schäden


Wenn Sie vom Datenskandal betroffen sind

Wie erhalte ich als Betroffener Schadensersatz?

Zunächst geht es um die Frage, ob und in welchem Umfang der Anbieter, bei dem das Datenleck entstanden ist, gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat.

Im Hinblick auf Schadensersatz in der Sache eines betroffenen Facebook-Users im Facebook-Datenleck hat sich das Landgericht Zwickau unter anderem mit den folgenden Fragen beschäftigt:

1. Transparenzgebot:

Hat der Anbieter die betroffenen Personen ausreichend über das Maß der Verarbeitung der sie betreffenden personenbezogenen Daten, insbesondere der Verwendung und Geheimhaltung der Telefonnummer informiert?

2. Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f DSGVO:

Hat der Anbieter die personenbezogenen Daten der betroffenen Nutzer in ausreichendem Maße im Hinblick auf Art. 5 Abs. 1 lit. f DSGVO mit angemessener Sicherheit geschützt?

3. Grundsätze zu „Privacy by Design“ und „Privacy by default“

Hat der Anbieter datenschutzfreundliche Voreinstellungen bereitgestellt, welche die nötigen Daten zur Verwendung reduziert und die generelle Verwendung der Daten der betroffenen Nutzer minimiert?

4. Informationspflicht nach Art. 34 und Art. 33 DSGVO

Hat der Anbieter die von dem Datenleck betroffene Personen unverzüglich ab Kenntniserlangung von der Verletzung des Schutzes ihrer personenbezogenen Daten informiert?

Bei welchen Datenlecks kann ich Schadensersatz verlangen?

Die DSGVO trat am 25. Mai 2016 in Kraft. Nach einer zweijährigen Übergangsfrist gilt die Datenschutzgrundverordnung seit dem 25. Mai 2018 verbindlich für alle EU-Mitglieder.

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Verantwortlichen, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Quelle: Datenschutz-Grundverordnung

Anbei finden Sie eine Liste von Fällen, bei denen Schadensersatzansprüche für deutsche Kunden in Betracht kommen:

Facebook Datenleck

Im April 2021 wurde ein großer Datensatz von über 500 Mio. Nutzern des sozialen Netzwerks Facebook im Darknet veröffentlicht. Daten von etwa 20% aller Facebook-Nutzer wurden durch einen sogenannten Exploid aus April 2019 von der Plattform exportiert. Ein großer Anteil des Datensatzes beinhaltet neben dem Namen auch die Telefonnummer, Geburtsdatum, Wohnort, Beziehungsstatus und Arbeitgeber. Die daraus resultierenden Risiken für die Benutzer sind erheblich. Betroffene Nutzer sehen sich seitdem konstanten Angriffen ausgesetzet, wie z. B. Phishing, Vireninfektionen, Fake-Anrufen und vielen anderen Attacken.

LinkedIn Datenleck

Das Soziale- und Karrierenetzwerk LinkedIn steht bereits seit 2016 in der Kritik. Im Mai 2016 wurden 164 Mio. E-Mail-Adressen und Passwörter aus dem Jahr 2012 veröffentlicht. Die Passwörter wurden damals als SHA1 Verschlüsselte Hash-Codes veröffentlicht, welche bereits entschlüsselt sein dürften.

In der ersten Hälfte des Jahres 2021 war LinkedIn erneut Ziel einer Attacke. Hunderte Millionen Profile wurden durchsucht und den Angreifern gelang es offenbar über das sognannte Scraping-Verfahren 400 Mio. Datensätze zu exportieren, 125 Mio. davon mit E-Mail-Adressen, Namen, Orten, Geschlecht und wie in einem Karrierenetzwerk üblich, mit Job-Beschreibungen.

LinkedIn selbst hat dazu am 29. Juni eine Pressemitteilung veröffentlicht. Innerhalb dieser Pressemitteilung verneint LinkedIn ausdrücklich, dass diese erlangten Profil-Daten auf einen Datenschutzverstoß von LinkedIn zurückzuführen sind. Außerdem, dass keine privaten LinkedIn-Mitgliedschaften offengelegt, bzw. innerhalb der zum Kauf angeboten Daten keine Daten aus privaten Profilen zu finden sind.

Twitter Datenleck

Im Januar 2022 konnten Angreifer aus dem sozialen Netzwerk Twitter fast 7 Mio. Datensätze, sowohl von aktiven als auch von gesperrten Accounts exportieren. Ein einzelner Datensatz besteht Informationen von haveibeenpwned.com nach oft aus E-Mail-Adressen, Telefonnummern, Benutzername, Displayname, Biografie, Wohnort und Profilfoto. Seit August 2022 werden die Datensätze im Darknet zum Kauf angeboten.
Im Gegensatz zu Facebook informierte Twitter die kompromittierten Accounts umgehend nach der Veröffentlichung über das Darknet über das Datenleck. Twitter gab an, dass die Angreifer einen Bug im System ausgenutzt haben, um die Daten zu exportieren.

Mastercard Datenleck

Im August 2019 startete Mastercard in Deutschland das sogenannte „Priceless Specials“ Programm. Auf ungeklärte Weise schafften es die Angreifer, 90.000 vollständige Datensätze zu exportieren. Ein vollständiger Datensatz beinhaltet Namen, E-Mail-Adressen, Telefonnummern und umfangreiche Kreditkartendaten. In Folge des Angriffes wurde das Programm vom Markt genommen.

Datensätze von Onlineshops im Netz wegen ungesicherter Schnittstelle von Modern Solution

Auch im Zusammenhang mit den online Marktplätzen von Otto, Media Markt, Idealo oder Kaufland wurde jüngst ein Datenleck öffentlich. Dabei hatte der Softwareanbieter Modern Solutions, der für die Händler die Schnittstelle bereitstellt, offenbar mit einem ungesicherten Zugang gearbeitet. Durch den ungesicherten Zugang sind nach Schätzungen über 1 Millionen sehr sensible Daten weitgehend ungesichert im Internet verfügbar gewesen. Das Datenleck wurde mittlerweile behoben.

Wie verhalte ich mich richtig, wenn ich von einem Datenleck betroffen bin?

Zugangsdaten ändern

Zunächst sollten Sie alle Ihre Zugangsdaten ändern. Fangen Sie idealerweise bei den Zugangsdaten zu Ihrem Online-Banking Account an. Sofern Ihre Bank eine Zwei-Faktor-Authentisierung anbietet, sollten Sie, sofern noch nicht geschehen, unbedingt auf die Zwei-Faktor-Authentisierung wechseln. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt die Verwendung ausdrücklich.


E-Mail Account möglicherweise wechseln

Als nächstes sollten Sie, sofern es Ihnen möglich ist, Ihre E-Mail-Adresse prüfen. Ein Wechsel Ihrer primär verwendeten E-Mail-Adresse schützt Sie in ganz erheblichem Umfang vor Phishing Versuchen. Allerdings nur, wenn Sie die neue E-Mail-Adresse nicht in Ihrem alten, kompromittierten Postfach auftauchen lassen. Denn dann hat ein möglicher Angreifer nur geringe Chancen von dem Wechsel Ihrer E-Mail-Adresse Kenntnis zu erhalten.

Wie wähle ich starke Passwörter aus, wenn ich von einer Datenpanne betroffen bin?

  1. Passwortlänge
    Je länger ein Passwort, desto schwieriger ist es zu knacken. Die Verbraucherzentrale empfiehlt eine Länge von mindestens 8 Zeichen.
  2. Zahlen, Buchstaben & Sonderzeichen
    Idealerweise bilden Sie Ihr Passwort aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen. Grundsätzlich empfiehlt es sich, keine Wörter oder Daten zu verwenden, welche in Bezug zu Ihrer Familie stehen. Diese Kombinationen wird ein Angreifer als erstes verwenden, um sich Zugang zu verschaffen.
  3. Keine Reihenfolgen
    Ein weiterer wichtiger Punkt ist, dass Sie für die Auswahl eines starken Passwortes keine alphabetischen oder numerischen Reihenfolgen verwenden. Sprich „1,2,3,4,5“ und „abcde“ sind bei der Findung von starken Passwörtern absolute „No Gos“.
  4. Ein Passwort für ein Portal/Service
    Um bei einer Datenpanne oder einem Datenleck Schaden in größerem Umfang von sich abzuwenden ist es wichtig, dass Sie für jedes Online-Angebot, bei dem Sie angemeldet sind, ein eigenes Passwort verwenden. Sofern es einem Angreifer gelingt Daten zu extrahieren, ist der Datendiebstahl für Sie dann auf das betroffene Online-Angebot beschränkt.

Welche folgen haben Datenlecks für Betroffene?

Immer dann, wenn Daten im Internet veröffentlicht werden, kann es zu gezielten Angriffen kommen wie zum Beispiel:

Unaufgeforderte Kontaktversuche: 

Per Telefon:
Die Telefonnummer eines Nutzers kann von der organisierten Kriminalität beispielsweise zum berühmten „Enkeltrick“ genutzt werden. Beim „Enkeltrick“ gibt sich der Betrüger gegenüber einer älteren Person als Familienmitglied aus, um unter Vorspiegelung falscher Tatsachen an Bargeld, Schmuck oder sonstige Wertgegenstände zu gelangen. In einer neueren Generation des „Enkeltricks“ geben sich die Betrüger hingegen direkt als Polizeibeamte aus, um angeblich Wertgegenstände vor Betrügern zu sichern. Justizminister Georg Eisenreich gab in einem Interview an, dass allein im Jahr 2021 Kriminelle 6,1 Mio. Euro in Bayern erbeutet haben.

Per E-Mail: 
Ein unaufgeforderter Kontaktversuch per E-Mail, oft auch als Spam bezeichnet, bewirbt Produkte weit unter Marktpreis. Wer die Produkte aus den E-Mails kauft, gibt nicht nur seine eingegebenen Daten an Betrüger weiter, sondern erhält als Gegenleistung für das gezahlte Geld keine Waren.

Oft werden Spam-E-Mails auch zum Phishing oder zur Infektion von Computern mit Viren und Malware genutzt.

Über SMS & Kurznachrichten:
Nutzer können auch per direkter Nachricht über eine SMS oder einen Kurznachrichten-Dienst wie zum Beispiel WhatsApp oder dem beliebten Messenger-Dienst Telegram kontaktiert werden. Über Kurznachrichten werden ähnlich wie in Spam-E-Mails fragwürdige Produkte beworben oder über Phishing versucht, mit gefälschten Webseiten an die Bankdaten zu gelangen.

Was ist Phishing? 
Nach der unaufgeforderten Kontaktaufnahme durch Kriminelle, sei es per Telefon, per E-Mail oder einer Kurznachricht, wird dem Betroffenen zunächst vermittelt, dass es sich um ein vertrauenswürdiges Angebot handelt. Ziel des Angriffes ist es, an weitere Daten des Betroffenen zu gelangen, indem durch den Angreifer zum Beispiel eine gefälschte Version des Online Banking Portals einer Bank übermittelt wird. Wenn der Betroffene auf der gefälschten Webseite dann seine Daten eingibt, wird der Angreifer im nächsten Schritt versuchen, entsprechende Überweisungen zu tätigen oder im Namen der betroffenen Person im Internet Waren oder Dienstleistungen zu erwerben.

Besonders gefährlich ist Phishing, wenn der Angreifer im Vorfeld bereits über personenbezogene Daten verfügt. Die Erfolgsquote eines Angriffs mit einer gefälschten Webseite einer regional verfügbaren Bank ist viel höher einzuschätzen als ein ungezielter Phishingversuch.

Infektion mit Malware und Viren
Ein anderes Ziel einer Attacke auf die Inhaber von geleakten Daten ist die Infektion mit Malware, Viren oder Trojanern. Nach der Infektion eines Computers mit Schadcode kommt es unter Umständen zur Verschlüsselung wichtiger Daten und im darauffolgenden Schritt zur Erpressung von Geld gegen die Freigabe bzw. Entschlüsselung der Daten. Die Schadprogramme infizieren oftmals auch den E-Mail-Clienten des infizierten IT-Systems, um sich automatisch an die innerhalb des Systems gespeicherten weiteren Adressen zu verbreiten.