Hacks und Leaks: So ersetzt die Firma deine Schäden nach einem Datenschutzskandal
Der Datenschutz von Kundendaten ist ein ernsthaftes Problem für Unternehmen. Sie haften dafür, dass die persönlichen Daten von Kunden und Interessenten nicht publik werden. Doch es kommt immer wieder vor, dass Unternehmen durch einen Hack oder Datendiebstahl oder durch gezielte Indiskretion Daten abhanden kommen. Beispiel Miles & More: So haben Hacker im Rahmen eines Angriffs die Daten von 1,35 Millionen Kunden des bekannten Vielfliegerprogramms mitgehen lassen.
Bekannt wurde das Ende vergangener Woche, wobei hier ausschließlich die Servicekartennummern, Informationen zum Statuslevel sowie der Name des Kunden betroffen sein sollen. Passwörter und Mailadressen seien hingegen nicht betroffen. Die Pressestelle des Unternehmens weist aufgrund dieses Artikels zwar „klarstellend“ in einer Mail darauf hin dass der Vorfall nicht bei Miles & More entstanden sei, sondern sich bei einem IT-Dienstleister eines Star-Alliance-Menbers ereignet habe. Doch das ändert für die Betroffenen wenig an der Tatsache, dass ihre Daten nun missbraucht werden könnten. Umfangreich war auch der Schaden beim Fall Buchbinder, wo über längere Zeit umfangreiche Buchungsdaten frei zugänglich waren – inklusive Telefonnummern von Prominenten und Politikern, Unfallberichten und Zahlungsinformationen.
Solche Fälle kommen inzwischen häufiger ans Licht als man denkt: Im Herbst vergangenen Jahres musste der erfolgreiche Low-Cost-Broker Scalable Capital eingestehen, dass ein Dienstleister rund 30.000 Kundendatensätze oder Teile davon entwendet habe. Erbeutet wurden dabei Ausweiskopien, Gesichtsfotos, Kontaktdaten, Kontonummern und Steuer-Identifikationsnummern – also das ganze Arsenal an Daten, die dazu dienen können, Identitätsdiebstahl im großen Stil zu betreiben, möglicherweise sogar Kredite zu beantragen und zahlreiche Dinge mehr zu tun, die dem Kunden das Leben schwer machen und ihn im schlimmsten Fall als Betrüger dastehen zu lassen.
Doch was können, was sollten Kunden tun, denen bewusst wird, dass jemand Zugang zu ihren Daten bekommen hat und diese möglicherweise im Internet verkauft oder selbst nutzt, um gegenüber Dritten eine falsche Identität vorzuspielen? Grundsätzlich sollte der Verbraucher, wenn er durch Medienberichte oder eine Warnung des Unternehmens – dazu sind diese bei entsprechenden Vorkommnissen verpflichtet – davon erfährt, prüfen, welche Daten betroffen sind. Denn oft ist gerade beim Lesen von Medienberichten nicht klar, ob die eigenen Datensätze überhaupt betroffen sind. Das Unternehmen ist im Rahmen der Möglichkeiten zur Mitarbeit verpflichtet.
Erste Schritte: Welche Daten sind betroffen?
Wenn Zugangsdaten betroffen sind, solltest du als Verbraucher sicherstellen, dass die jeweilige Mailadresse oder der jeweilige Zugang nirgendwo anders mit derselben Login-Passwort-Kombination verwendet wird. Das kommt interessanterweise häufiger vor als gedacht: Wenn man sich bei entsprechenden Listen und Leaks, die im Netz kursierten und kursieren, mit derselben Login-Passwort-Kombination bei beliebigen anderen Services einzuloggen versucht, wird deutlich, wie oft das erschreckenderweise klappt. Doch Passwortsicherheit und die Notwendigkeit, für jeden Zugang ein sicheres, komplexes Passwort zu wählen, ist nur ein Teil des Themas.
Wenn persönliche Adressdaten, aber auch Kontonummern in Umlauf kommen, ist das zunächst einmal einzeln ärgerlich (vor allem, wenn sich darunter, wie im Fall Buchbinder auch Adressen von Prominenten darunter befunden haben sollen), ermöglicht aber prinzipiell noch nicht den Missbrauch. Die Kombination solcher Daten erhöht aber das Risiko des Datenmissbrauchs. Ein solcher Teildatensatz lässt sich in vielen Fällen auch mit etwas krimineller Energie und Recherche anreichern. So oder so ist es ein Verstoß gegen die DSGVO, der für ein Unternehmen reichlich teuer werden kann.
Bei einem Datenleak werden manche Schäden durchs Unternehmen ersetzt
Für einen selbst buchstäblich teuer werden kann es auch, wenn etwa neben der Kontodaten die CVC-Nummer einer Kreditkarte oder aber komplette Kreditkartennummern mitsamt Ablaufdatum in Umlauf kommen. Hier besteht grundsätzlich und schon per se die Gefahr, dass diese missbraucht werden können, weswegen du bei der ausgebenden Stelle (in den meisten Fällen deine Bank) vorstellig werden solltest. Handelt es sich um einen größeren Fall, sind die Banken über den Umfang des Leaks meist schon informiert und können entscheiden, ob neue Zugangsdaten oder eine neue Kreditkarte ausgegeben werden muss. Oftmals ist das der sicherste Weg, wenn nicht klar ist, ob Missbrauchsgefahr besteht.
Kosten hierfür – und das ist der relativ unstrittige nächste Knackpunkt – muss der Verursacher tragen, in dem Fall also der Betreiber des Dienstes, der selbst Opfer des Leaks wurde. Während diese sich etwa im Fall Scalable Capital bei Kosten etwa für das Ausstellen eines neuen Ausweisdokuments oder einer neuen Kreditkarte sowie bei Schufa-Maßnahmen noch vergleichsweise kulant zeigen, hast du als Kunde möglicherweise auch darüber hinaus ein Recht auf immateriellen Schadensersatz, etwa weil du mit der ganzen Geschichte viel Zeit vertrödelt hast oder bestimmte Schäden erst später quantifizierbar werden. Auch geht die eigene Steuer-ID und Auskünfte über die Vermögenswerte und das Altersvorsorgeverhalten einfach niemanden etwas an. Davon abgesehen kann bereits jemand versucht haben, mit den Daten einen Kredit zu beantragen, was dann wiederum deinen Schufa-Score beeinflussen kann, wenn du das nächste Mal selbst auf ein Darlehen angewiesen bist.
Immaterielle Schäden: Im Streitfall schalten viele Firmen auf stur
Da es hier aber gerade bei den immateriellen Schäden oftmals zum Streitfall kommt, kannst du dich entweder an eine Verbraucherschutzorganisation wie die Verbraucherzentrale wenden, die meist aber nur berät und den Gang zum Anwalt recht schnell nahelegt – oder aber an darauf spezialisierte Legaltechs wie EuGD oder Kleinfee. Die Europäische Gesellschaft für Datenschutz (EuGD) ist – anders als das EU-öffiziös wirkende Firmenlogo vermuten lässt – nicht mehr und nicht weniger als ein Legaltech-Unternehmen, das sich über entsprechende Anwaltsgebühren finanziert und dabei für den Kunden seine Ansprüche durchsetzt. Dazu prüft das Unternehmen, ob die Daten des Kunden betroffen sind, welche Chancen auf Schadensersatz nach DSGVO-Artikel 82 bestehen und verhindert damit die drohende Verjährung. Nur wenn eine entsprechende Chance besteht, werden die Anwälte gegen das betroffene Unternehmen tätig. Der gesamte Service ist, ähnlich wie bei vielen Portalen zu Fluggast- oder Mietrechten, erst einmal kostenlos. Lediglich im Erfolgsfall vor Gericht, also beim Erhalt eines Schadensersatzes, werden 25 Prozent der Schadenersatzsumme durch die EuGD als Provision einbehalten.
Aktuell wirbt die EuGD gerade vermehrt um geschädigte Kunden aus dem bereits genannten Scalable-Capital-Fall und dem Fall um das inzwischen eingestellte Bonusprogramm Mastercard Priceless. Hier waren im Jahr 2019 immerhin 90.000 Kunden potenziell betroffen. Könnte gut sein, dass das Datenleck im Miles & More-Fall bald hinzukommt.
Legaltechs nicht immer erfolgreich, reduzieren aber das Risiko
Anders als wenn du als Kunde auf eigene Faust gegen ein Unternehmen vor Gericht gehst (das tun ohnehin die Wenigsten), tragen Plattformen wie EuGD oder Kleinfee das Prozessrisiko. Das kann auch mal ins Auge gehen, wie die EuGD erst kürzlich einsehen musste: Das Landgericht Karlsruhe hatte einem Kläger, der wegen des Datenlecks beim Mastercard-Priceless-Bonusprogramm auf adäquaten Schadenersatz geklagt hatte, bescheinigt, dass es sich dabei nur um einen Bagatellschaden handele. Die personenbezogenen Daten wie Kontaktdaten (Klarname, Telefonnummer, E-Mail-Adresse oder Geburtsdatum) sowie Transaktionsdaten (Kaufdatum, Kaufpreis, Händler) seien etwa bezüglich der Zahlung an einer Tankstelle „nicht kompromittierend“. „Entweder wir schützen diesen Bereich oder wir schützen ihn nicht. Anderenfalls sehen wir den von der DSGVO vorgesehenen und beabsichtigten Schutz der Verbraucherrechte ad absurdum geführt“, erklärt dazu EuGD-Geschäftsführer Johann Hermann.
Ein Juristen-Bonmot besagt, dass man vor Gericht und auf hoher See in Gottes Hand sei – das mag korrekt sein, ist aber erst recht ein Argument dafür, über die Dienste eines Legaltechs nachzudenken. Je nach Sachlage kann es aber auch schon hilfreich sein, selbst etwas vehementer an der Hotline des betroffenen Unternehmens aufzutreten. Denn das hat in der Regel ein Interesse daran, den Kunden zu halten und das aktuell angeschlagene Image wieder aufzupolieren.