Anzeige
Anzeige
Ratgeber
Artikel merken

Hacks und Leaks: So ersetzt die Firma deine Schäden nach einem Datenschutzskandal

Miles & More, Buchbinder, Scalable Capital – sie alle hatten ihren Datenschutzskandal. Doch was kann man tun, wenn ein Unternehmen oder dessen Dienstleister Daten ausgeplaudert hat und die jetzt im Netz kursieren?

5 Min. Lesezeit
Anzeige
Anzeige
Bei einem Datenleak geht es erst einmal um Schadensbegrenzung. (Foto: PopTika / Shutterstock)

Der Datenschutz von Kundendaten ist ein ernsthaftes Problem für Unternehmen. Sie haften dafür, dass die persönlichen Daten von Kunden und Interessenten nicht publik werden. Doch es kommt immer wieder vor, dass Unternehmen durch einen Hack oder Datendiebstahl oder durch gezielte Indiskretion Daten abhanden kommen. Beispiel Miles & More: So haben Hacker im Rahmen eines Angriffs die Daten von 1,35 Millionen Kunden des bekannten Vielfliegerprogramms mitgehen lassen.

Anzeige
Anzeige

Bekannt wurde das Ende vergangener Woche, wobei hier ausschließlich die Servicekartennummern, Informationen zum Statuslevel sowie der Name des Kunden betroffen sein sollen. Passwörter und Mailadressen seien hingegen nicht betroffen. Die Pressestelle des Unternehmens weist aufgrund dieses Artikels zwar „klarstellend“ in einer Mail darauf hin dass der Vorfall nicht bei Miles & More entstanden sei, sondern sich bei einem IT-Dienstleister eines Star-Alliance-Menbers ereignet habe. Doch das ändert für die Betroffenen wenig an der Tatsache, dass ihre Daten nun missbraucht werden könnten. Umfangreich war auch der Schaden beim Fall Buchbinder, wo über längere Zeit umfangreiche Buchungsdaten frei zugänglich waren – inklusive Telefonnummern von Prominenten und Politikern, Unfallberichten und Zahlungsinformationen.

Solche Fälle kommen inzwischen häufiger ans Licht als man denkt: Im Herbst vergangenen Jahres musste der erfolgreiche Low-Cost-Broker Scalable Capital eingestehen, dass ein Dienstleister rund 30.000 Kundendatensätze oder Teile davon entwendet habe. Erbeutet wurden dabei Ausweiskopien, Gesichtsfotos, Kontaktdaten, Kontonummern und Steuer-Identifikationsnummern – also das ganze Arsenal an Daten, die dazu dienen können, Identitätsdiebstahl im großen Stil zu betreiben, möglicherweise sogar Kredite zu beantragen und zahlreiche Dinge mehr zu tun, die dem Kunden das Leben schwer machen und ihn im schlimmsten Fall als Betrüger dastehen zu lassen.

Anzeige
Anzeige

Doch was können, was sollten Kunden tun, denen bewusst wird, dass jemand Zugang zu ihren Daten bekommen hat und diese möglicherweise im Internet verkauft oder selbst nutzt, um gegenüber Dritten eine falsche Identität vorzuspielen? Grundsätzlich sollte der Verbraucher, wenn er durch Medienberichte oder eine Warnung des Unternehmens – dazu sind diese bei entsprechenden Vorkommnissen verpflichtet – davon erfährt, prüfen, welche Daten betroffen sind. Denn oft ist gerade beim Lesen von Medienberichten nicht klar, ob die eigenen Datensätze überhaupt betroffen sind. Das Unternehmen ist im Rahmen der Möglichkeiten zur Mitarbeit verpflichtet.

Anzeige
Anzeige

Erste Schritte: Welche Daten sind betroffen?

Wenn Zugangsdaten betroffen sind, solltest du als Verbraucher sicherstellen, dass die jeweilige Mailadresse oder der jeweilige Zugang nirgendwo anders mit derselben Login-Passwort-Kombination verwendet wird. Das kommt interessanterweise häufiger vor als gedacht: Wenn man sich bei entsprechenden Listen und Leaks, die im Netz kursierten und kursieren, mit derselben Login-Passwort-Kombination bei beliebigen anderen Services einzuloggen versucht, wird deutlich, wie oft das erschreckenderweise klappt. Doch Passwortsicherheit und die Notwendigkeit, für jeden Zugang ein sicheres, komplexes Passwort zu wählen, ist nur ein Teil des Themas.

Wenn persönliche Adressdaten, aber auch Kontonummern in Umlauf kommen, ist das zunächst einmal einzeln ärgerlich (vor allem, wenn sich darunter, wie im Fall Buchbinder auch Adressen von Prominenten darunter befunden haben sollen), ermöglicht aber prinzipiell noch nicht den Missbrauch. Die Kombination solcher Daten erhöht aber das Risiko des Datenmissbrauchs. Ein solcher Teildatensatz lässt sich in vielen Fällen auch mit etwas krimineller Energie und Recherche anreichern. So oder so ist es ein Verstoß gegen die DSGVO, der für ein Unternehmen reichlich teuer werden kann.

Anzeige
Anzeige

Bei einem Datenleak werden manche Schäden durchs Unternehmen ersetzt

Für einen selbst buchstäblich teuer werden kann es auch, wenn etwa neben der Kontodaten die CVC-Nummer einer Kreditkarte oder aber komplette Kreditkartennummern mitsamt Ablaufdatum in Umlauf kommen. Hier besteht grundsätzlich und schon per se die Gefahr, dass diese missbraucht werden können, weswegen du bei der ausgebenden Stelle (in den meisten Fällen deine Bank) vorstellig werden solltest. Handelt es sich um einen größeren Fall, sind die Banken über den Umfang des Leaks meist schon informiert und können entscheiden, ob neue Zugangsdaten oder eine neue Kreditkarte ausgegeben werden muss. Oftmals ist das der sicherste Weg, wenn nicht klar ist, ob Missbrauchsgefahr besteht.

Kosten hierfür – und das ist der relativ unstrittige nächste Knackpunkt – muss der Verursacher tragen, in dem Fall also der Betreiber des Dienstes, der selbst Opfer des Leaks wurde. Während diese sich etwa im Fall Scalable Capital bei Kosten etwa für das Ausstellen eines neuen Ausweisdokuments oder einer neuen Kreditkarte sowie bei Schufa-Maßnahmen noch vergleichsweise kulant zeigen, hast du als Kunde möglicherweise auch darüber hinaus ein Recht auf immateriellen Schadensersatz, etwa weil du mit der ganzen Geschichte viel Zeit vertrödelt hast oder bestimmte Schäden erst später quantifizierbar werden. Auch geht die eigene Steuer-ID und Auskünfte über die Vermögenswerte und das Altersvorsorgeverhalten einfach niemanden etwas an. Davon abgesehen kann bereits jemand versucht haben, mit den Daten einen Kredit zu beantragen, was dann wiederum deinen Schufa-Score beeinflussen kann, wenn du das nächste Mal selbst auf ein Darlehen angewiesen bist.

Immaterielle Schäden: Im Streitfall schalten viele Firmen auf stur

Da es hier aber gerade bei den immateriellen Schäden oftmals zum Streitfall kommt, kannst du dich entweder an eine Verbraucherschutzorganisation wie die Verbraucherzentrale wenden, die meist aber nur berät und den Gang zum Anwalt recht schnell nahelegt – oder aber an darauf spezialisierte Legaltechs wie EuGD oder Kleinfee. Die Europäische Gesellschaft für Datenschutz (EuGD) ist – anders als das EU-öffiziös wirkende Firmenlogo vermuten lässt – nicht mehr und nicht weniger als ein Legaltech-Unternehmen, das sich über entsprechende Anwaltsgebühren finanziert und dabei für den Kunden seine Ansprüche durchsetzt. Dazu prüft das Unternehmen, ob die Daten des Kunden betroffen sind, welche Chancen auf Schadensersatz nach DSGVO-Artikel 82 bestehen und verhindert damit die drohende Verjährung. Nur wenn eine entsprechende Chance besteht, werden die Anwälte gegen das betroffene Unternehmen tätig. Der gesamte Service ist, ähnlich wie bei vielen Portalen zu Fluggast- oder Mietrechten, erst einmal kostenlos. Lediglich im Erfolgsfall vor Gericht, also beim Erhalt eines Schadensersatzes, werden 25 Prozent der Schadenersatzsumme durch die EuGD als Provision einbehalten.

Anzeige
Anzeige

Aktuell wirbt die EuGD gerade vermehrt um geschädigte Kunden aus dem bereits genannten Scalable-Capital-Fall und dem Fall um das inzwischen eingestellte Bonusprogramm Mastercard Priceless. Hier waren im Jahr 2019 immerhin 90.000 Kunden potenziell betroffen. Könnte gut sein, dass das Datenleck im Miles & More-Fall bald hinzukommt.

Legaltechs nicht immer erfolgreich, reduzieren aber das Risiko

Anders als wenn du als Kunde auf eigene Faust gegen ein Unternehmen vor Gericht gehst (das tun ohnehin die Wenigsten), tragen Plattformen wie EuGD oder Kleinfee das Prozessrisiko. Das kann auch mal ins Auge gehen, wie die EuGD erst kürzlich einsehen musste: Das Landgericht Karlsruhe hatte einem Kläger, der wegen des Datenlecks beim Mastercard-Priceless-Bonusprogramm auf adäquaten Schadenersatz geklagt hatte, bescheinigt, dass es sich dabei nur um einen Bagatellschaden handele. Die personenbezogenen Daten wie Kontaktdaten (Klarname, Telefonnummer, E-Mail-Adresse oder Geburtsdatum) sowie Transaktionsdaten (Kaufdatum, Kaufpreis, Händler) seien etwa bezüglich der Zahlung an einer Tankstelle „nicht kompromittierend“. „Entweder wir schützen diesen Bereich oder wir schützen ihn nicht. Anderenfalls sehen wir den von der DSGVO vorgesehenen und beabsichtigten Schutz der Verbraucherrechte ad absurdum geführt“, erklärt dazu EuGD-Geschäftsführer Johann Hermann.

Ein Juristen-Bonmot besagt, dass man vor Gericht und auf hoher See in Gottes Hand sei – das mag korrekt sein, ist aber erst recht ein Argument dafür, über die Dienste eines Legaltechs nachzudenken. Je nach Sachlage kann es aber auch schon hilfreich sein, selbst etwas vehementer an der Hotline des betroffenen Unternehmens aufzutreten. Denn das hat in der Regel ein Interesse daran, den Kunden zu halten und das aktuell angeschlagene Image wieder aufzupolieren.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige