Verbraucher, die Opfer eines Datenlecks wurden, haben gegenüber dem Anbieter rechtliche Ansprüche. Die DSGVO schützt die Rechte der Verbraucher und bietet Möglichkeiten, Schadenersatz zu fordern, wenn personenbezogene Daten unrechtmäßig verwendet oder verloren gegangen sind.
Von Datenleck betroffen? Maßnahmen und Ansprüche nach der DSGVO.
Die Internetnutzung ist heutzutage für die Bewältigung der tagtäglichen Herausforderungen essenziell geworden und in der gängigen Praxis werden hierbei auch zahlreiche persönliche Daten an die jeweiligen Anbieter herausgegeben. Dies geschieht in dem Vertrauen darauf, dass der Anbieter auch sorgsam mit den Daten umgeht. Sollte dies nicht der Fall sein, stellt sich die Frage, wie der Verbraucher mit sogenannten Datenlecks umzugehen hat respektive welche Rechte sich aus der DSGVO heraus ergeben. Lesen Sie weiter, um alle wichtigen Informationen zu dieser Thematik in Erfahrung zu bringen.
Übersicht:
✔ Kurz und knapp
- Persönliche Daten werden bei der Internetnutzung häufig an Anbieter weitergegeben. Ein Vertrauen in den sorgsamen Umgang mit diesen Daten ist notwendig, doch bei Datenlecks stellt sich die Frage, wie Verbraucher reagieren können und welche Rechte ihnen zustehen.
- Datenlecks sind Sicherheitslücken, bei denen sensible Nutzerdaten in unbefugte Hände geraten. Diese Lecks können erhebliche Auswirkungen auf die betroffenen Personen haben, einschließlich Identitätsdiebstahl und Erpressung.
- Bekannte Fälle von Datenlecks umfassen Facebook und LinkedIn, bei denen Millionen von Nutzerdaten offengelegt wurden. Diese Vorfälle zeigen, dass auch große Unternehmen nicht vor solchen Sicherheitsproblemen gefeit sind.
- Die Datenschutz-Grundverordnung (DSGVO) bietet Verbrauchern umfassende Rechte, wenn ihre Daten kompromittiert wurden. Zu diesen Rechten gehören Auskunft, Berichtigung, Löschung und Schadensersatz.
- Verbraucher haben das Recht auf Auskunft über die Art und den Umfang der Datenverarbeitung. Unternehmen müssen detaillierte Informationen über die erhobenen Daten und deren Nutzung bereitstellen.
- Eine unverzügliche Benachrichtigung der betroffenen Personen ist vorgeschrieben. Unternehmen müssen betroffene Nutzer sofort informieren, wenn ihre Daten von einem Leck betroffen sind, um weitere Schäden zu verhindern.
- Betroffene sollten sofortige Maßnahmen ergreifen, wie die Änderung von Passwörtern und die Aktivierung der Zwei-Faktor-Authentifizierung, um die Datensicherheit wiederherzustellen.
- Schadensersatzansprüche können geltend gemacht werden, wenn ein Verstoß gegen die DSGVO vorliegt und ein nachweisbarer Schaden entstanden ist. Auch immaterielle Schäden, wie die berechtigte Befürchtung eines Missbrauchs der Daten, können anerkannt werden.
- Die rechtliche Absicherung durch Dokumentation und Kontakt mit Behörden ist essenziell. Dies schützt die Betroffenen im Fall eines späteren Identitätsdiebstahls oder anderer Schäden.
- Verbraucher müssen über ihre Rechte und die notwendigen Schritte informiert sein, um im Fall eines Datenlecks angemessen reagieren zu können und ihre Ansprüche durchzusetzen.
Was sind Datenlecks?
Unter einem Datenleck wird allgemein eine Datenpanne eines Anbieters respektive Unternehmens verstanden. In der gängigen Praxis ist diese Datenpanne auch als Leak bekannt. Durch diese Panne können sensible Nutzerdaten in unbefugte Hände geraten. Die personenbezogenen Datensätze sind nunmehr nicht länger in der geschlossenen Datenbank des Unternehmens, das die Daten erhoben hat.
Beispiele für bekannte Datenlecks
Datenlecks kommen immer wieder aufs Neue nahezu jährlich vor und betreffen auch die größten Unternehmen. Zu den bekanntesten Leaks gehört zweifelsohne der „Facebook-Fall“, der im Jahr 2021 aufgedeckt wurde. Der Sicherheitsforscher entdeckte eine vollständige Datenbank von Facebook, die vor dem Jahr 2019 durch Scraping erfasst worden sein muss. Betroffen von diesem Datenleck waren insgesamt 533 Millionen Facebook-Nutzer
Die Art und Weise, mit der sich Unbefugte Zugriff zu dieser Datenbank verschafft haben, ist bis zum heutigen Tag nicht vollständig geklärt. Es wird jedoch allgemein vermutet, dass Hacker mit dem Scraping-Verfahren eine Sicherheitslücke von Facebook genutzt haben. Diese Lücke wurde jedoch von dem Unternehmen, das heutzutage unter dem Namen „Meta“ operiert, im August 2019 geschlossen.
Auch LinkedIN musste sich 2021 bereits mit dem Thema Leaks auseinandersetzen. Rund 700 Millionen Nutzer, immerhin ein Anteil von rund 93 Prozent sämtlicher Nutzer der Plattform, waren von dem Datenleck betroffen. Zwar bestritt das Unternehmen, dass es sich bei den Datensätzen um aktuelle Daten handelte, allerdings gelangten sensible Nutzerdaten in die Hände unbefugter Dritter. LinkedIN beteuerte, dass die Daten wie Anschriften und Gehälter nicht aus der Unternehmensdatenbank entstammten. Trotz dieses Umstandes waren sehr personenbezogene Daten nunmehr im Umlauf. Ähnlich wie bei dem Facebook-Fall wird davon ausgegangen, dass die Unbefugten mittels des Scraping-Verfahrens an die Daten gelangt sind.
Bedeutung von Datenlecks für Verbraucher
Datenlecks haben für Verbraucher eine enorm hohe Bedeutung, da die Tragweite enorm weitreichend sein können. Gelangen unbefugte Dritte in den Besitz von Datensätzen der Verbraucher, so können diese Daten für Identitätsdiebstähle im Internet verwendet werden. Überdies können Kriminelle die persönlichen Daten auch dazu nutzen, die betroffene Person zu erpressen um auf diese Weise an weitergehende Informationen oder Geld zu gelangen.
Schützen Sie Ihre Datenrechte
In der heutigen digitalen Welt sind Ihre persönlichen Daten wertvoll und verdienen Schutz. Ein Datenleck kann eine ernste Bedrohung Ihrer Privatsphäre darstellen und zu schwerwiegenden Konsequenzen wie Identitätsdiebstahl führen. Ich verstehe die Komplexität dieser Angelegenheiten und stehe Ihnen mit meiner Expertise zur Seite. Bei Unsicherheiten oder wenn Sie Opfer eines Datenlecks geworden sind, fordern Sie eine unverbindliche Ersteinschätzung an. Dieser Schritt könnte entscheidend sein, um Ihre Rechte effektiv durchzusetzen und Ihre Daten zu schützen.
Rechte der Verbraucher bei Datenlecks gemäß DSGVO
Auf der Grundlage der Datenschutz-Grundverordnung (DSGVO) haben Verbraucher, die zum Opfer eines Datenlecks wurden, gegenüber dem Anbieter Rechte. Mit dem Jahr 2018 wurde die DSGVO europaweit als rechtliche Grundlage für den Umgang mit Daten festgelegt. Die DSGVO gilt verbindlich für sämtliche Unternehmen, die von Verbrauchern für die Nutzung des Angebots Daten erheben.
Überblick über die DSGVO
Die DSGVO darf nicht nur als Vorschrift für die Verarbeitung von personenbezogenen Nutzerdaten verstanden werden. Vielmehr stellt sie auch eine Rechtsgrundlage für die Ansprüche der Verbraucher gegenüber den Unternehmen respektive Anbietern dar. Zu nennen sind hierbei insbesondere die Artikel 13 – 23 sowie 34 und 82, die für Verbraucher im direkten Zusammenhang mit den eigenen Daten eine besondere Priorität haben. In diesen Artikeln werden nicht nur die Informationspflichten des Anbieters, sondern vielmehr auch das Recht auf Auskunft des Verbrauchers sowie das Recht auf Schadensersatz behandelt.
Informationspflicht des Verantwortlichen
Die Informationspflicht des Verantwortlichen begründet sich aus den Artikeln 13 und 14 DSGVO. Es muss allerdings eine Differenzierung bei der Zuständigkeit des jeweiligen Artikels für den aktuellen Sachverhalt vorgenommen werden, da Artikel 13 bei der sogenannten Direkterhebung von personenbezogenen Daten der betroffenen Person zur Anwendung kommt, während hingegen Artikel 14 bei der nichtdirekten Erhebung von personenbezogenen Daten der betroffenen Personen angewendet wird.
In beiden Fällen hat der Verantwortliche jedoch die Verpflichtung, die betroffene Person von der Erhebung der personenbezogenen Daten zu informieren.
Recht auf Auskunft
Das Recht auf Auskunft der betroffenen Person über die Verarbeitung der eigenen personenbezogenen Daten ergibt sich aus dem Artikel 15 DSGVO. Dieses Auskunftsrecht erstreckt sich sowohl auf die Art als auch auf den Umfang der Verarbeitung. Überdies hat der Verbraucher auch einen Anspruch darauf, Auskunft über die Kategorisierung der personenbezogenen erhobenen Daten sowie den Ursprung, sofern diese im Zuge einer nichtdirekten Erhebung gesammelt wurden, zu erhalten. Der Verantwortliche muss gegenüber der betroffenen Person auch Auskunft über das etwaige Beschwerderechte nebst der hierfür zuständigen Behörde erteilen.
Recht auf Berichtigung und Löschung
Ein Verbraucher hat gem. Artikel 16 DSGVO gegenüber einem datenerhebenden Unternehmen das Recht auf die unverzügliche Korrektur von unrichtig erhobenen Daten. Dies gilt auch, wenn die erhobenen personenbezogenen Daten unvollständig sind.
Recht auf Einschränkung der Verarbeitung
Gem. Artikel 18 DSGVO hat ein Verbraucher das Recht auf die Einschränkung der Datenverarbeitung, sofern eine von insgesamt vier Voraussetzungen als gegeben anzusehen sind. Sollte die betroffene Person die Richtigkeit der Daten bestreiten oder die Datenverarbeitung auf unrechtmäßige Art erfolgt sein, so kann die Verarbeitung durch den Verbraucher eingeschränkt werden. Gleichermaßen verhält es sich auch, wenn der Anbieter die personenbezogenen Daten nicht mehr benötigt oder der Verbraucher sein Recht auf Widerspruch gegen die Datenverarbeitung wahrgenommen hat.
Recht auf Datenübertragbarkeit
Auf der Grundlage des Artikel 20 DSGVO hat ein Verbraucher das Recht darauf, dass die eigenen erhobenen personenbezogenen Daten von dem Unternehmen in einem Format übermittelt zurückübermittelt werden, das die problemlose Weiterleitung der Daten an einen anderen Anbieter respektive ein anderes Unternehmen ermöglicht. Der Verantwortliche darf das Recht auf Datenübertragbarkeit des Verbrauchers nicht behindern.
Recht auf Widerspruch
Gem. Artikel 21 DSGVO hat ein Verbraucher das Recht darauf, jederzeit Widerspruch gegen die Datenerhebung respektive Datenverarbeitung einzulegen. Auf dieses Recht muss der Verbraucher durch das datenerhebende Unternehmen hingewiesen werden. Widerspricht der Verbraucher der Datenverarbeitung, so darf diese nicht erfolgen. Eine Datenverarbeitung darf allerdings trotz des Widerspruchs der betroffenen Person auch dann erfolgen, wenn das datenerhebende Unternehmen dringende schutzwürdige Gründe hierfür nachweisen kann.
Schritte zur Schadensbegrenzung und Wiederherstellung der Datensicherheit
Die Hauptproblematik bei einem Datenleck ist der Umstand, dass der betroffene Nutzer hiervon oft keine Kenntnis erhält. Ist dies doch der Fall, so können die richtigen Sofortmaßnahmen einen wichtigen Beitrag zur Schadensbegrenzung sowie der Wiederherstellung der Datensicherheit leisten. Zu den Sofortmaßnahmen gehören die Benachrichtigung der Betroffenen, die Änderung von Passwörtern und die Überwachung von Konten.
Meldung des Datenlecks an die zuständigen Behörden
Sofern der eigene Name sowie die Adresse als Teil eines Leaks werden, so sollte die betroffene Person umgehend Kontakt mit den zuständigen Behörden, wie der Datenschutzbehörde oder der Polizei, aufnehmen. Diese Maßnahme dient der rechtlichen Absicherung, falls es zu einem späteren Fall von Identitätsdiebstahl kommt. Es ist wichtig, den Vorfall zu dokumentieren und alle relevanten Informationen bereitzuhalten.
Schritt-für-Schritt-Anleitung zur Meldung eines Datenlecks
Die Meldung eines Datenlecks ist ein kritischer Prozess, um rechtliche Anforderungen zu erfüllen und weitere Schäden zu verhindern. Hier ist eine detaillierte Schritt-für-Schritt-Anleitung, wie Sie vorgehen sollten:
Sofortige Erkennung und Dokumentation
- Erfassen Sie alle relevanten Informationen:
- Datum und Uhrzeit der Entdeckung des Datenlecks.
- Art der betroffenen Daten (z.B. personenbezogene Daten, Finanzinformationen, Gesundheitsdaten).
- Umfang des Lecks (z.B. Anzahl der betroffenen Datensätze).
- Dokumentieren Sie die ersten Maßnahmen:
- Maßnahmen zur Eindämmung des Lecks (z.B. Abschaltung betroffener Systeme, Änderung von Passwörtern).
Bewertung des Risikos
- Bewerten Sie das Risiko für die betroffenen Personen:
- Handelt es sich um sensible Daten wie Finanzinformationen oder Gesundheitsdaten?
- Welche potenziellen Schäden könnten den betroffenen Personen entstehen (z.B. Identitätsdiebstahl, finanzielle Verluste)?
- Entscheiden Sie, ob eine Meldung erforderlich ist:
- Ist eine Meldung an die Aufsichtsbehörde erforderlich? (z.B. wenn das Leck ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt).
- Müssen die betroffenen Personen informiert werden? (z.B. bei hohem Risiko für die betroffenen Personen).
Vorbereitung der Meldung
- Laden Sie das entsprechende Meldeformular herunter:
- Besuchen Sie die Website der zuständigen Datenschutzbehörde und laden Sie das Meldeformular herunter (z.B. von der Website der Datenschutzbehörde Ihres Landes).
- Füllen Sie das Formular elektronisch aus:
- Achten Sie darauf, alle erforderlichen Felder korrekt und vollständig auszufüllen.
Inhalt der Meldung
- Beschreiben Sie die Art der Verletzung:
- Art der Verletzung des Schutzes personenbezogener Daten (z.B. unbefugter Zugriff, Datenverlust).
- Geben Sie die Kategorien und die ungefähre Zahl der betroffenen Personen und Datensätze an:
- Kategorien der betroffenen Personen (z.B. Kunden, Mitarbeiter).
- Ungefähre Anzahl der betroffenen Datensätze.
- Nennen Sie den Namen und die Kontaktdaten des Datenschutzbeauftragten:
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson.
- Beschreiben Sie die wahrscheinlichen Folgen der Verletzung:
- Mögliche Folgen für die betroffenen Personen (z.B. Identitätsdiebstahl, finanzielle Verluste).
- Listen Sie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung auf:
- Maßnahmen zur Behebung der Verletzung und zur Vermeidung zukünftiger Vorfälle (z.B. Systemupdates, Schulungen).
Versand der Meldung
- Senden Sie das ausgefüllte Formular:
- Über das Webportal der Datenschutzbehörde einreichen. Beachten Sie, dass handgeschriebene und eingescannt versandte Formulare nicht akzeptiert werden.
- Bewahren Sie eine Kopie der Meldung und die Bestätigung des Eingangs auf:
- Dokumentieren Sie die Einreichung und bewahren Sie alle relevanten Unterlagen auf.
Nachmeldung
- Reichen Sie eine Nachmeldung ein, falls nicht alle Informationen sofort verfügbar sind:
- Ergänzen Sie fehlende Informationen innerhalb der gesetzlich vorgeschriebenen Frist (z.B. 72 Stunden gemäß Art. 33 DSGVO
Diese Schritte helfen Ihnen, die Anforderungen der DSGVO zu erfüllen und die Auswirkungen eines Datenlecks zu minimieren.
Benachrichtigung der betroffenen Personen
Ein Anbieter, dessen Datenbank von einem Datenleck betroffen ist, ist gem. DSGVO zu einer unverzüglichen Benachrichtigung der betroffenen Personen verpflichtet. Dies kann sowohl per E-Mail als auch auf dem telefonischen Weg erfolgen. Aus Beweisgründen empfiehlt es sich jedoch, die Schriftform für die Information zu wählen.
Überwachung der Konten und Kreditberichte
Wer als betroffene Person Opfer eines Datenlecks wurde, sollte das eigene Bankkonto oder auch Kreditkartenkonten besonders in den Fokus der Aufmerksamkeit rücken. Der Grund hierfür liegt in dem Umstand, dass gerade Finanzdaten für Kriminelle von hohem Interesse sind. Kommt es zu betrügerischen Abbuchungen, so kann fristgerecht Widerspruch bei der Bank eingelegt werden.
Passwortänderung und Nutzung von Zwei-Faktor-Authentifizierung
Als erste Sofortmaßnahme nach einem Datenleck gilt, dass das Zugangspasswort zu der Plattform des Anbieters geändert wird. Hierbei sollte ein Passwort gewählt werden, welches von dem bisherig verwendeten Passwort stark abweicht. Auch die Aktivierung der sogenannten Zwei-Faktor-Authentifizierung, für die ein Handy oder Smartphone benötigt wird, leistet einen großen Beitrag zu der Sicherheit.
Möglichkeiten zur Durchsetzung von Schadensersatzansprüchen
Wer als Verbraucher Opfer eines Datenlecks geworden ist, kann gem. Artikel 82 DSGVO Schadensersatzansprüche gegen das Unternehmen geltend machen. Hierfür müssen jedoch gewisse Grundvoraussetzungen als gegeben anzusehen sein, denn nicht jeder Verstoß gegen die DSGVO begründet automatisch einen Schadensersatzanspruch.
Voraussetzungen für Schadensersatzansprüche
Gem. Artikel 82 steht jeder Person, der aufgrund eines Verstoßes gegen die DSGVO ein immaterieller oder materieller Schaden entstanden ist, Schadensersatz gegenüber dem Verantwortlichen zu. Dies setzt allerdings voraus, dass es ein vorsätzliches oder fahrlässiges datenschutzwidriges Verhalten des Verantwortlichen gegeben hat.
Nachweis des entstandenen Schadens
Die betroffene Person, die gegenüber einem Unternehmen aufgrund eines Verstoßes gegen die DSGVO Schadensersatz geltend machen möchte, hat den entstandenen Schaden nachzuweisen. Die Beweislast trägt also diejenige Person, die den Anspruch gegenüber dem Verantwortlichen geltend machen möchte. Nach einem aktuellen Urteil des Europäischen Gerichtshofs (EuGH) kann jedoch bereits die berechtigte Befürchtung eines Missbrauchs der Daten als immaterieller Schaden anerkannt werden, was die Beweislast für die betroffene Person erleichtert.
Höhe des Schadensersatzes
Aktuell existieren noch keine aussagekräftigen Zahlen, die als Grundlage für die durchschnittliche Höhe des Schadensersatzes herangezogen werden können. Es gilt allerdings, dass der Schadensersatz nicht alleinig als Kompensation für das Opfer, sondern vielmehr auch als Repressalie des Schädigers zur Anwendung kommen soll. Dementsprechend ist die Schadensersatzhöhe von verschiedenen Faktoren abhängig zu machen.
Neben dem tatsächlichen konkreten Schaden für die betroffene Person ist auch die Finanzkraft des Verantwortlichen und die Schwere von der Rechtsverletzung von Belang. Zudem wird auch die Schuldschwere des Verantwortlichen bei der Bemessung der Schadensersatzhöhe berücksichtigt.
Verfahren zur Geltendmachung von Schadensersatz
Der Schadensersatzanspruch muss ausdrücklich gerichtlich von der betroffenen Person geltend gemacht werden. Die Schadensersatzklage ist hierfür das gängige Mittel, wobei die gerichtliche Zuständigkeit von der Höhe der Schadensersatzforderung abhängig ist. Ab einem Betrag von 5.000 Euro liegt die Zuständigkeit bei dem regional zuständigen Landgericht.
Rolle von Anwälten und rechtlicher Unterstützung
Bis zu einem Betrag in Höhe von 5.000 Euro herrscht seitens des Gesetzgebers bei einem gerichtlichen Schadensersatzprozess kein Rechtsanwaltszwang. Es empfiehlt sich jedoch ausdrücklich, sich der Dienste eines erfahrenen Rechtsanwalts zu bedienen. Der Grund hierfür liegt in dem Umstand, dass die verantwortlichen Unternehmen die eigene Schuld an dem Datenleck stets zurückweisen werden und sich die Beweislast für juristisch unerfahrene Verbraucher nur zu häufig als schwierig gestaltet. Durch die Mandatierung eines Rechtsanwalts steigern sich die Chancen auf ein erfolgreiches Verfahren um ein Vielfaches.
Fazit
Ein Datenleck ist für einen Verbraucher ein Ereignis mit weitreichenden Folgen, da die eigenen personenbezogenen Daten sich nunmehr in der Hand von Unbefugten befindet. Die Gefahr des Identitätsdiebstahls sowie krimineller Handlungen ist absolut real, sodass Sofortmaßnahmen ergriffen werden sollten. Überdies sollte auch ein erfahrener Rechtsanwalt beauftragt werden, um etwaig bestehende Schadensersatzansprüche prüfen zu lassen und durchzusetzen.