Beratung anfordern
Mo. - Fr. 08:00-18:00 Uhr
Kostenlos & unverbindlich

Datenleck bei Twitter: Schadensersatz möglich!

235 Millionen Datensätze von Twitter sind nach einem Datenleck öffentlich verfügbar. Betroffene Nutzer müssen unter anderem mit Angriffen durch Phishing-Mails rechnen. Fordern Sie jetzt Schadensersatz, wenn auch Sie vom Twitter-Datenleck betroffen sind!


Datenschutz Hilfe

Bin ich vom Datenleck bei Twitter betroffen?

Die Plattform haveibeenpwned.com hat das Datenleck bereits in seine Datenbank mit aufgenommen, so dass Sie prüfen können, ob auch Sie vom Twitter Datenleck betroffen sind. Dies geht dank unserer Kooperation mit dem Portal ganz einfach über das folgende Formular:

HAHN Rechtsanwälte
Die Kanzlei, wenn es um Verbraucherschutz geht!

Unverbindlich! Kostenfrei! Schnell!

Kostenlose Erstberatung und Betroffenheitscheck.

Persönliches Feedback in drei Stunden an Werktagen

Erfahren Sie schnell und einfach, welche Rechte Sie haben.

Erste-Klasse-Beratung für Verbraucher

Führende Kanzlei beim Widerruf und im Abgasskandal.

Realistische Chanceneinschätzung

Prüfung Ihres individuellen Falles durch einen erfahrenen Fachanwalt.

Über 30 Jahre für Verbraucher aktiv

Seit über 30 Jahren kämpft HAHN Rechtsanwälte an der Seite von Verbrauchern gegen Unternehmen.

Welche Folgen hat der Datenskandal bei Twitter für mich?

Werden persönliche Daten geklaut und im Internet angeboten, müssen Betroffene mit gezielten Angriffen rechnen. Das trifft auch auf Twitter-Nutzer zu, deren Daten abgegriffen wurden.



Ich erhalte ständig Werbeanrufe oder merkwürdige SMS – was kann ich tun?

Ich erhalte ständig Werbeanrufe oder merkwürdige SMS – was kann ich tun?
Unerwünschte Werbeanrufe lassen sich bei der Bundesnetzagentur melden. Am einfachsten geht das, indem Sie eine E-Mail an die E-Mail-Adresse rufnummernmissbrauch@bnetza.de schreiben. Schildern Sie kurz Ihren Fall.

Wenn Sie über ein Smartphone verfügen, dann hilft es bereits, wenn Sie die Einstellungen aus Ihrem Telefon aktivieren, indem Sie SPAM-Anrufe blockieren.

Apple stellt dazu die folgenden Funktionen zu Verfügung:
https://support.apple.com/de-de/guide/iphone/iphe4b3f7823/ios

Sofern Sie über ein Android-Telefon verfügen, hilft Ihnen die folgende Seite weiter:
https://support.google.com/phoneapp/answer/3459196?hl=de

In letzter Konsequenz können Sie bei Ihrem Telefondienstanbieter einen Wechsel Ihrer Rufnummer beantragen.

Installation von Schutz-Software wie Antivirus und anderen Schutzprogrammen

Sofern Sie von einem Datenleck betroffen sind, sollten Sie sich unbedingt entsprechende Schutz-Software auf den von Ihnen benutzten Systemen wie Ihrem PC oder Ihrem Smartphone installieren.

Viele Online-Portale führen regelmäßig aktuelle Tests durch, um die Viren bzw. Schadsoftware- Erkennungsraten zu ermitteln.

Wie verhalte ich mich richtig, wenn ich eine Phishing-E-Mail erhalten habe?

Nahezu jeder E-Mail-Account erhält tagtäglich Spam-Nachrichten mit Inhalten, welche sich als vordergründig seriös darstellen. Bei Aufruf der entsprechenden Internet-Seiten kann es sein, dass Sie auf eine zum Verwechseln ähnlich aussehende Webseite wie die Ihrer Bank geleitet werden. Dort sollten Sie auf keinen Fall Ihre Daten eintragen. Wenn Sie einem gezielten Phishing-Angriff ausgesetzt sind, sollten Sie diese Attacke auch Ihrer Bank melden.

Wie wähle ich starke Passwörter aus, wenn ich von einer Datenpanne betroffen bin?

  1. Passwortlänge
    Je länger ein Passwort, desto schwieriger ist es zu knacken. Die Verbraucherzentrale empfiehlt eine Länge von mindestens 8 Zeichen.
  2. Zahlen, Buchstaben & Sonderzeichen
    Idealerweise bilden Sie Ihr Passwort aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen. Grundsätzlich empfiehlt es sich, keine Wörter oder Daten zu verwenden, welche in Bezug zu Ihrer Familie stehen. Diese Kombinationen wird ein Angreifer als erstes verwenden, um sich Zugang zu verschaffen.
  3. Keine Reihenfolgen
    Ein weiterer wichtiger Punkt ist, dass Sie für die Auswahl eines starken Passwortes keine alphabetischen oder numerischen Reihenfolgen verwenden. Sprich „1,2,3,4,5“ und „abcde“ sind bei der Findung von starken Passwörtern absolute „No Gos“.
  4. Ein Passwort für ein Portal/Service
    Um bei einer Datenpanne oder einem Datenleck Schaden in größerem Umfang von sich abzuwenden ist es wichtig, dass Sie für jedes Online-Angebot, bei dem Sie angemeldet sind, ein eigenes Passwort verwenden. Sofern es einem Angreifer gelingt Daten zu extrahieren, ist der Datendiebstahl für Sie dann auf das betroffene Online-Angebot beschränkt.

Der Datenskandal bei Twitter aus dem Dezember 2022

Am 26.12.2022 wurde durch das Online-Portal Bleeping Computer berichtet, dass der Kurznachrichtendienst Twitter gehackt wurde: Daten von rund 400 Millionen Twitter-Nutzern stünden online zum Verkauf. Die Webseite Bleeping Computer ist auf die Berichterstattung über Informationssicherheit und Online-Bedrohungen spezialisiert.

Im Hacking-Forum Breached bot demzufolge ein Nutzer namens Ryushi Twitter-Chef Elon Musk an, die Daten quasi zurückzukaufen. Laut Bleeping Computer verlangte er dafür 200.000,00 US-Dollar. Sollte dieser nicht darauf eingehen, wollte Ryushi die kompletten Daten mehrfach für je 60.000,00 US-Dollar verkaufen.

An die Daten war der Hacker nach eigenen Angaben mit Hilfe von Scraping gekommen. Das ist eine Bezeichnung für ein Vorgehen, bei dem auch personenbezogene Daten von Webseiten extrahiert werden können, teils mit Hilfe von Software.

Laut eines Berichts des österreichischen Standard stammten die Daten aus dem Frühjahr 2022. Die Zeitung führte hierzu das israelische Unternehmen Hudson Rock als Quelle an, welches auf Cyberverbrechen spezialisiert ist. Auch die BBC zitierte einen Experten des Unternehmens und berichtete, dass dieses eigenen Angaben nach als erstes auf den Datenverkauf hingewiesen hatte. Dem BBC-Bericht zufolge stammten die Daten womöglich aus einer in 2022 geschlossenen Sicherheitslücke bei Twitter. Der britische Sender bezog sich dabei auf Angaben des Hackers Ryushi, welcher die Daten zum Verkauf angeboten hatte.

Frühere Sicherheitslücke und weiteres Datenleck

Im August 2022 gab Twitter einem Bericht der Brüsseler Times nach bekannt, dass wahrscheinlich eine Sicherheitslücke ausgenutzt worden war, um personenbezogene Daten zu stehlen. Dabei handelte es sich um 5,4 Millionen Datensätze, die im Sommer 2022 in einem Hacker-Forum zum Verkauf angeboten worden waren. Dem Pressebericht des Standard nach handelte es sich dabei um dasselbe Forum, in dem später auch das weitaus größere Datenpaket angeboten wurde. In den Datensätzen waren demnach unter anderem Telefonnummern und Email-Adressen enthalten. Auf die Sicherheitslücke war Twitter dem Bericht der Brüsseler Times und eigenen Angaben nach im Januar 2022 aufmerksam geworden und hatte diese geschlossen. Sie hatte demnach seit Sommer 2021 bestanden.

Aufgrund dieses früheren Lecks hatte die irische Datenschutzkommission Berichten zufolge bereits angekündigt, gegen Twitter vorzugehen. Und erst im November 2022 war Facebook demnach aufgrund eines großen Datenlecks zu einer Strafe von 265 Millionen Euro verurteilt worden.

Eine ähnlich hohe Summe könnte auch auf Twitter zukommen: Dem BBC-Bericht zufolge kündigte die irische Datenschutzbehörde an, auch das spätere, weitaus größere Leck zu untersuchen. Die Behörde ist für Twitter, aber auch für Facebook, Whatsapp und Google zuständig, weil diese ihren europäischen Firmensitz in Irland haben.

Hacker forderte Geld von Elon Musk

In dem Forumseintrag aus dem Dezember 2022, in dem der User Ryushi Elon Musk die gestohlenen Daten anbot, bezog er sich der Website Bleeping Computer zufolge sowohl auf den vorigen Twitter-Datenklau, als auch auf die Verurteilung von Facebook. Dies offenbar, um Druck auf Twitter auszuüben:

Twitter or Elon Musk if you are reading this you are already risking a GDPR fine over 5.4m breach imaging (sic!) the fine of 400m users breach. Your best option to avoid paying $276 million USD in GDPR breach fines like facebook did (due to 533m users being scraped) is to buy this data exclusively.“

Übersetzung aus dem Englischen:

Twitter oder Elon Musk, wenn du das hier liest, du riskierst bereits eine DSGVO Strafe wegen 5,4 Millionen Daten, stell dir vor, wie hoch die Strafe bei 400 Millionen Daten aussehen wird. Deine beste Option, um eine Strafe in Höhe von 276 Millionen US Dollar zu vermeiden, wie Facebook sie wegen 533 Millionen gescrapter Daten zahlen musste, ist, diese Daten exklusiv zu kaufen.“

Januar 2023: Twitter dementiert weitere Sicherheitslücken

In einem offiziellen Statement gab der Kurznachrichtendienst Twitter im Januar 2023 an, verschiedene Vorfälle untersucht zu haben. Und den Angaben des Unternehmens nach gab es keine Beweise dafür, dass die zum Verkauf stehenden Daten aus Sicherheitslücken bei Twitter stammen. Vielmehr war es der Verlautbarung nach wahrscheinlich, dass die Daten aus verschiedenen, öffentlich bereits verfügbaren Quellen herrühren. Das Unternehmen gab auch an, weiterhin mit Datenschutz- und Regulierungsbehörden zusammenzuarbeiten, um die Vorfälle aufzuklären.

Laut übereinstimmenden Medienberichten über den Kurznachrichtendienst Twitter aus dem Januar 2023 sind rund 235 Millionen Twitter-Accounts von einem Datenleck betroffen.

Verletzung der DSGVO: Schadensersatz von Twitter fordern

Facebook wurde bereits mehrfach aufgrund eines Datenlecks zu Schadensersatz verurteilt. Ganz ähnlich liegt der Fall auch bei Twitter. Speziell zwei Artikel der Datenschutz-Grundverordnung (DSGVO) sind hierfür wichtig.

Artikel 25 Absatz 1:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

Artikel 82 Absatz 1:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Betroffene des Twitter Datenlecks können auf dieser Grundlage Schadensersatz beziehungsweise Schmerzensgeld in Höhe von mehreren tausend Euro bekommen.

Wir helfen Ihnen!

EuGH urteilt verbraucherfreundlich zu Schadensersatz bei Datenlecks

Der EuGH hat sich mit zwei Urteilen verbraucherfreundlich zur Thematik des Schadensersatzes bei Datenlecks, wie dem von Twitter, geäußert. Zunächst urteilte der EuGH am 04.05.2023 (C-300/21), dass grundsätzlich Schadensersatz zugesprochen werden kann, wenn es aufgrund eines DSGVO-Verstoßes zu einem Datenleck kommt. Hierzu urteilte der EuGH:

  • Das Datenleck muss aus einem Verstoß gegen die DSGVO resultieren
  • Dem Kläger muss ein materieller oder immaterieller Schaden entstanden sein
  • Zwischen dem Verstoß und dem Schaden muss ein kausaler Zusammenhang bestehen
  • Es gibt bei diesen Fällen keine Bagatellgrenze

Am 14.12.2023 schließlich machte der EuGH deutlicher, was unter einem immateriellen Schaden zu verstehen ist (C-340/21). Deutsche Gerichte machen es Betroffenen schwer, genau darzulegen, in welcher Form ihnen ein immaterieller Schaden entstanden ist, der über ein bloßes Unwohlsein anhand der gestohlenen Daten hinausgeht. Doch der EuGH stellte sich nun auf die Seite der Verbraucher und sagte:

Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen immateriellen Schaden darstellen.

Ein klarer Erfolg für Verbraucher, die von einem Datenleck wie dem bei Twitter betroffen sind und dafür entschädigt werden wollen!