Daten werden frei verfügbar

Von einem Datenleck ist laut Rechtsanwaltsgesellschafft Decker & Böse die Rede, wenn personenbezogene Daten, welche von einem Unternehmen gespeichert wurden, ohne Beabsichtigung offengelegt werden. Dabei kann die Verletzung des Schutzes personenbezogener Daten indirekt durch technische Fehler entstehen oder gezielt und direkt im Rahmen eines Hackerangriffs forciert werden. Ob und in welchem Umfang personenbezogene Daten erhoben werden, muss durch die Verantwortlichen an die betroffene Person übermittelt werden, so ist es in Artikel 15 Datenschutzgrundverordnung (DSGVO) festgelegt. Die DSGVO trat am 25. Mai 2018 in Kraft und umfasst EU-weite Richtlinien für den Umgang mit schützenswerten personenbezogenen Daten.

Schnelles Handeln ist wichtig

Sind solche persönlichen Daten erstmal offengelegt und frei im Netz verfügbar, besteht für Cyberkriminelle die Chance, diese gegen die betroffene Person oder Personen im Umfeld zu nutzen. Besonders folgenreiche Informationen sind Passwörter oder Zugangsdaten zu Accounts respektive Konten. Diese werden auch im Darknet verkauft. Dabei reicht der Datenmissbrauch von Spam- oder Phishing-Mails bis hin zu schwerwiegenden Taten wie Betrug oder sogar Identitätsdiebstahl. Beispielsweise können anhand der Daten Online-Waren auf Kosten der betroffenen Person bestellt werden, wie Decker & Böse berichten. Auch können Personen im nahen Umfeld der betroffenen Person ins Visier genommen werden, indem falsche Hilferufe mit der Bitte um Geld an Freunde und Familie versandt werden, so die Rechtsanwaltsgesellschaft weiter.

Sollte man festgestellt haben, dass man von einem solchen Datenleck betroffen ist - entweder weil große Unternehmen verantwortlich sind oder man gemäß Artikel 34 DSGVO rechtmäßig darauf hingewiesen wurde - sollte man schnellstmöglich aktiv werden. Die Verbraucherzentrale rät, Passwörter umgehend zu ändern, und zwar überall da, wo ähnliche Passwörter verwendet werden. Auch Anhänge von Mails und Nachrichten sollten mit besonderer Vorsicht behandelt werden, da diese sehr überzeugend gestaltet sein können. Darüber hinaus sollten die Kontobewegungen im Blick behalten werden. Bei ungerechtfertigten Buchungen oder Belastungen der Kreditkarte sollte umgehend die Bank benachrichtigt werden, wie es weiter heißt.

Ansprüche prüfen lassen

Wie bereits geschildert, besitzen betroffene Personen einige wichtige Rechte in Hinblick auf die eigenen Daten. Aus diesen Rechten ergeben sich Pflichten für die Verantwortlichen, welche diese sensiblen Daten erheben und verarbeiten. Neben dem in Artikel 15 festgelegten "Auskunftsrecht der betroffenen Personen" und der in Artikel 34 beschrieben Pflicht zur "Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person", besteht gemäß Artikel 82 DSGVO ebenfalls ein Recht auf Schadensersatz: "Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter". Bei einem solchen Schadensersatz ist es nicht notwendig, dass bereits ein finanzieller Schaden entstanden ist. Vielmehr geht es um das Missbrauchsrisiko, welchem die Daten bei ungewollter Veröffentlichung ausgesetzt sind. In einem Urteil des Europäischen Gerichtshofs (EuGH) vom 14.12.2023 legte dieser fest, dass die bloße Befürchtung eines möglichen Missbrauchs personenbezogener Daten einen immateriellen Schaden wie psychologischen Stress darstellt.

Der Anspruch auf Schadensersatz zeigt deutlich die große Verantwortung großer Konzerne wie beispielsweise Meta (ex Facebook) oder Deezer. Dieser Verantwortung kommen die Unternehmen jedoch nicht immer nach, wie Rechtsanwalt Christian Solmecke von der Kanzlei WBS Legal im Rahmen einer Entscheidung des EuGH berichtet: "Wir vertreten bereits zehntausende Betroffene im Fall des Facebook-Datenlecks und des Deezer-Datenlecks. Ihre Chancen auf bis zu 1.000 Euro Schadensersatz wurden mit diesem EuGH-Urteil enorm gestärkt". Dabei ist die Rede vom Urteil, welches am 14.12.2023 getroffen wurde. Die Richter des EuGH entschieden, dass die Nachweispflicht bei den Verantwortlichen liegt, weshalb Schadensersatzforderungen nun eher erfolgreich ausgehen können: "Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch "Dritte" (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist".

Neben anwaltlicher Unterstützung kann auch auf der Website der Verbraucherzentrale überprüft werden, inwiefern Schadensersatzansprüche bestehen.

J. Vogel / Redaktion finanzen.net