Datenleck Schadensersatz: Info und Tipps vom Anwalt

Was ist ein Datenleck?

Ein Datenleck ist der unbefugte Zugriff auf und die unbefugte Veröffentlichung oder Weitergabe von sensiblen oder vertraulichen Informationen, die normalerweise geschützt oder privat sein sollten. Dies kann nicht nur durch Hackerangriffe geschehen, sondern auch durch versehentliche Veröffentlichung von Daten oder unzureichende Datensicherheitsmaßnahmen. Ein Datenleck stellt ein erhebliches Sicherheitsrisiko dar und kann sowohl für die betroffene Person als auch für das Unternehmen oder die Organisation schwerwiegende Folgen haben. Grundsätzlich gilt, dass betroffene Nutzer*innen gemäß DSGVO einen Anspruch auf Auskunft und gegebenenfalls auch auf Schadensersatz haben.

Welche gefährlichen Folgen kann ein Datenleck haben?

Die Gefahren für die Betroffenen liegen im möglichen Missbrauch, wenn sensible Informationen wie Finanzdaten, persönliche Identitäten und vertrauliche Geschäftsinformationen in die falschen Hände geraten. Öffentlich einsehbare Nutzerdaten können beispielsweise für Spam, Phishing oder Identitätsdiebstahl missbraucht werden. Beim Phishing versuchen Betrüger, durch gefälschte E-Mails, Nachrichten oder Anrufe, die täuschend echt aussehen, an weitere Nutzerdaten wie Kreditkarten- oder andere Zahlungsinformationen zu gelangen. Je mehr Daten dabei bekannt werden, desto leichter ist es, Vertrauen zu erwecken. Im Fall eines Datenlecks sollten Nutzer*innen in der Folgezeit besonders vorsichtig mit unerwarteten E-Mails oder Nachrichten umgehen.

Besonders schützenswert: Gesundheitsdaten

Für den Umgang mit Gesundheitsdaten gelten besonders hohe Anforderungen. Sie gehören nach Artikel 9 Absatz 1 DSGVO zu den besonders sensiblen Daten. Die Verarbeitung dieser Daten ist nur unter bestimmten Voraussetzungen und nur mit Einwilligung der Betroffenen zulässig. Gesundheitsdaten sind angemessen zu schützen und sicher aufzubewahren.

Datenleck Schadensersatz: Liste betroffener Dienste und Anbieter

Die Liste der von Datendiebstahl betroffenen Unternehmen wird immer länger. Allein in den Jahren 2021 und 2022 waren auch in Deutschland zahlreiche Unternehmen von Leaks betroffen. Die folgende Liste zeigt eine Auswahl der wichtigsten Leaks der letzten Jahre in Deutschland.

• Deezer: Ende 2022 veröffentlicht der Musikstreamingdienst Deezer einen Datenverstoß, der mehr als 240 Millionen Nutzer*innen betrifft. Das Datenleck geht auf einen Vorfall mit einem Drittanbieter im Jahr 2019 zurück und betrifft persönliche Daten wie Vor- und Nachname, Geburtsdatum und E-Mail-Adresse.
• Facebook: Facebook und die Meta Group sind in den vergangenen Jahren immer wieder durch Datenpannen in die Schlagzeilen geraten. Beim letzten großen Facebook-Datenskandal im Frühjahr 2021 wurden persönliche Daten von rund 530 Millionen Nutzerinnen und Nutzern veröffentlicht, darunter mehr als sechs Millionen aus Deutschland.
• Houzz: Die Online-Plattform rund um das Thema Wohnen informierte Ende 2018 über ein Datenleck, bei dem rund 50 Millionen Datensätze mit Namen, IP-Adressen, Passwörtern und Links zu Social-Media-Profilen veröffentlicht wurden.
• LinkedIn: Die Karriereplattform LinkedIn geriet nicht nur einmal wegen IT-Sicherheitslücken in die Schlagzeilen. Im Jahr 2016 waren 164 Millionen E-Mail-Adressen und Passwörter der Veröffentlichung ausgesetzt, basierend auf einem Vorfall aus dem Jahr 2012. Vermutlich durch sogenanntes Scraping waren es im Jahr 2021 rund 700 Millionen Nutzer*innen, die von einem Datenklau bei LinkedIn betroffen waren. Öffentlich einsehbar waren unter anderem Namen, E-Mail-Adressen, Berufsbezeichnungen und andere Social-Media-Profile.
• Mastercard: Im Rahmen des Bonusprogramms „Priceless Specials“ kam es im August 2019 bei Mastercard zu einem Datenleck, bei dem rund 90.000 Datensätze mit E-Mail-Adressen, Namen, Kreditkartendaten und weiteren Informationen im Internet veröffentlicht wurden.
• Twitter bzw. X: Auch der Kurznachrichtendienst Twitter bzw. X wurde bereits zweimal über Sicherheitslücken informiert, bei denen Nutzerdaten abgegriffen und im Internet veröffentlicht wurden. Im Januar 2022 wurden 6,7 Millionen Datensätze mit Mailadressen, Namen, Telefonnummern, Profilbildern und weiteren Informationen veröffentlicht. Rund 235 Millionen persönliche Nutzerdaten wie Namen, E-Mail-Adressen und Social-Media-Profile wurden bei einem Hackerangriff im Januar 2021 erbeutet und erst im Januar 2023 in einem Hackerforum veröffentlicht.

So prüfen Sie, ob Sie betroffen sind

Nicht alle Unternehmen oder Organisationen informieren die Betroffenen darüber, dass ihre Daten von einem Datenleck betroffen sind. In solchen Fällen können kostenlose Leakcheck-Tools helfen, Datenlecks frühzeitig zu erkennen. Grundsätzlich gilt:

• Wenn Sie eine schriftliche Benachrichtigung per E-Mail, Post, App o.ä. erhalten haben, gehören Sie zu den Betroffenen eines Datenlecks.
• Wenn Sie z.B. vermehrt Spam erhalten und nicht wissen, ob und in welchem Umfang Sie von einem Datenleck betroffen sind, können Sie auf der Webseite „Have I Been Pwned?“ oder der Seite des Hasso-Plattner-Institutes überprüfen, ob Ihre Daten betroffen sind oder z.B. unseren kostenlosen Leakcheck im Facebook-Datenskandal nutzen.

Zum kostenfreien Facebook-Leakcheck

Mit unserem kostenfreien Online-Check können Sie auch eine fundierte Einschätzung Ihrer Erfolgschancen auf Schadensersatz anfordern. Wir vertreten rechtsschutzversicherte Verbraucher*innen und setzen Ihren Anspruch auf Entschädigung durch.

Zum kostenfreien Online-Check

Schadensersatz, Auskunft und Unterlassung: Das sind Ihre Rechte

Was können Betroffene tun, wenn sie von einem Datenleck erfahren haben? Zunächst sollten Sie Ihr Passwort ändern, auf ungewöhnliche Vorgänge achten und bei unerwarteten E-Mails, SMS oder Anrufen vorsichtig sein. Darüber hinaus können Sie mögliche Auskunfts-, Schadensersatz- und Unterlassungsansprüche prüfen lassen.

Es ist wichtig, Datenlecks zu verhindern und sicherzustellen, dass vertrauliche Informationen geschützt bleiben. Datenschutzvorschriften verpflichten Unternehmen und Organisationen dazu, die persönlichen Daten ihrer Nutzer*innen zu schützaen und bei einem Datenleck eine angemessene Entschädigung zu zahlen. Laut der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen für einen sicheren Umgang mit persönlichen Nutzerdaten sorgen. Bei einem Verstoß stehen Betroffenen Ansprüche auf Auskunft, Schadensersatz und Unterlassung zu.

1. Ein Datenleck stellt einen Verstoß gegen die Datenschutz-Grundverordnung dar. Nutzer*innen haben nach Art. 15 Abs. 1 DSGVO das Recht, Auskunft darüber zu erhalten, ob und in welchem Umfang Sie von dem Datenleck betroffen sind. Dafür haben Unternehmen in der Regel einen Monat Zeit.
   • Bestätigt das Unternehmen, dass Sie von einem Datenleck betroffen sind, haben Sie Anspruch auf Schadensersatz nach Art. 82 DSGVO.
   • Kommen Unternehmen ihrer Auskunftspflicht gemäß Art. 34 DSGVO nicht oder nicht rechtzeitig nach, begründet der Verstoß gegen die Auskunftspflicht ebenfalls einen Schadensersatzanspruch.
2. Betroffenen entsteht infolge eines Datenlecks auch ein sogenannter immaterieller Schaden. Es muss also kein finanzieller Schaden entstanden sein. Nach der DSGVO genügt ein immaterieller Schaden, um Ansprüche geltend machen zu können. Erste Gerichte haben Betroffenen bereits Schadensersatzansprüche aus Artikel 82 DSGVO zugesprochen.
3. Geschädigte haben einen Anspruch auf Unterlassung und können der Verarbeitung Ihrer Daten widersprechen.

Ein Datenleck stellt eine Pflichtverletzung des verantwortlichen Dienstleisters dar. Gerichte haben in den vergangenen Monaten bereits bestätigt, dass Betroffenen teilweise hohe Entschädigungen zustehen.

Jetzt kostenfreie Ersteinschätzung anfordern 

Urteile Datenleck: Diese Gerichte haben Schadensersatzansprüche bestätigt

Das Landgericht München I hat den Online-Vermögensverwalter Scalable Capital zur Zahlung von Schadensersatz in Höhe von 2.500,- Euro an einen durch ein Datenleck Geschädigten verurteilt (Urteil vom 09.12.2021, Az. 31 O 16606/20). Unter anderem waren Konto- und Ausweisdaten abgeflossen. Das Urteil ist rechtskräftig. Es ist das erste rechtskräftige Urteil in Deutschland, das einen datenschutzrechtlichen Schadensersatz in dieser Größenordnung wegen eines Datenlecks bestätigt.

Rund  zwei Jahre nach dem letzten großen Vorfall bei Facebook gibt es nun mehrere Urteile gegen Facebook bzw. den Meta. Die Landgerichte Zwickau, Gießen, Oldenburg und Paderborn haben Facebook zur Zahlung von Schadensersatz zwischen 500,- und 3.000,- Euro verurteilt. Unsere Kanzlei hat bereits Schadensersatzansprüche im Facebook-Datenskandal erfolgreich durchgesetzt. Alle von unserer Kanzlei erstrittenen Urteile finden Sin der Übersicht Erfolge nachlesen.

Das Landgericht Darmstadt hat einem Bewerber Schadenersatz in Höhe von 1.000 Euro zugesprochen, weil die Bank die Bewerberdaten versehentlich an unbeteiligte Dritte weitergegeben und den Bewerber nicht unverzüglich darüber informiert hatte (Urteil vom 26.05.2020, Az. 13 O 244/19).

Das Oberlandesgericht Düsseldorf hat eine gesetzliche Krankenkasse zur Zahlung von Schadensersatz in Höhe von 2.000,- Euro verurteilt, weil die Patientenakte einer Versicherten an eine falsche E-Mail-Adresse versandt worden war (Urteil vom 28.10.2021, Az. 16 U 275/20). Die Löschung des Postfachs mit der falschen E-Mail-Adresse durch den Provider erfolgte einige Monate später, wovon die Klägerin zehn Monate lang keine Kenntnis hatte.

Tipps zur Minimierung des Schadensrisikos durch Datenlecks

Um sich vor möglichen Datenlecks zu schützen, können Privatpersonen verschiedene vorbeugende Maßnahmen ergreifen, die ihre digitale Sicherheit erhöhen:

• Verwenden Sie starke und einzigartige Passwörter: Wählen Sie für jedes Konto ein anderes, starkes Passwort. Verwenden Sie eine Kombination aus Buchstaben, Zahlen und Sonderzeichen und vermeiden Sie offensichtliche Passwörter wie „123456“ oder „Passwort“.
• Aktivieren Sie die Zwei-Faktor-Authentifizierung: Wo immer möglich, sollten Sie die Zwei-Faktor-Authentifizierung (2FA) aktivieren. Damit wird eine zusätzliche Sicherheitsebene geschaffen, indem neben dem Passwort ein zweiter Nachweis (oft ein temporärer Code, der z. B. per SMS oder in einer App verschickt wird) erforderlich ist.
• Seien Sie vorsichtig mit persönlichen Informationen: Seien Sie vorsichtig mit Informationen, die Sie online weitergeben, insbesondere in sozialen Netzwerken. Betrüger können persönliche Informationen nutzen, um Identitätsdiebstahl zu begehen.
• Erkennen Sie Phishing-Versuche: Achten Sie auf Phishing-E-Mails oder verdächtige Nachrichten, in denen Sie aufgefordert werden, persönliche Informationen preiszugeben oder auf fragwürdige Links zu klicken.
• Führen Sie regelmäßig Software-Updates durch: Achten Sie darauf, dass Ihr Betriebssystem, Ihr Browser und alle Anwendungen immer auf dem neuesten Stand sind. Viele Updates enthalten Sicherheitspatches, die bekannte Sicherheitslücken schließen.
• Verwenden Sie Antiviren-Software: Installieren Sie eine zuverlässige Antiviren-Software und halten Sie sie auf dem neuesten Stand, um Ihren Computer vor Malware und anderen Bedrohungen zu schützen.
• Suchen Sie regelmäßig und proaktiv nach bestehenden Datenlecks: Verschiedene kostenlose Dienste und Tools helfen Ihnen dabei, Datenlecks zu finden. Sie zeigen an, ob Ihr Konto in der Vergangenheit von Sicherheitsproblemen betroffen war.

Datenleck Schadensersatz: So hilft unsere Kanzlei weiter

Wir vertreten rechtsschutzversicherte Verbraucher*innen und setzen ihren Anspruch auf Entschädigung durch. Neben der Geltendmachung von Schadensersatzansprüchen sichern wir Sie über einen sogenannten Feststellungsantrag für mögliche künftige Schäden ab. Zusätzlich kümmern wir uns um die Deckungszusage Ihrer Rechtsschutzversicherung und übernehmen im späteren Verlauf den gesamten Schriftverkehr mit der Versicherung.

Unsere Kanzlei berät und vertritt Verbraucher*innen bundesweit seit über 25 Jahren. Als eine der größten Kanzleien für Anleger- und Verbraucherschutz haben wir größte Erfahrung im außergerichtlichen und gerichtlichen Vorgehen.

Jetzt unverbindliche & kostenfreie Prüfung anfordern

Sie haben Fragen? Rufen Sie uns an unter 0711-9308110 oder schreiben Sie uns Ihre Fragen über unser Kontaktformular.

Kontaktformular