Datenleck Archive - VINQO Rechtsanwälte

VW-Datenskandal: Betroffene schließen sich für mögliche Sammelklage zusammen

admin — Wed, 01 Jan 2025 17:39:02 +0000

Nach den Enthüllungen des Chaos Computer Club (CCC) hat die Volkswagen-Tochter CARIAD scheinbar nicht nur umfangreiche Analysedaten von rund 800.000 Fahrzeugen unzureichend geschützt, sondern auch GPS-Daten bei Elektrofahrzeugen mit einer bis zu 10cm-genauen Auflösung gespeichert. Hierdurch kann CARIAD umfangreiche Bewegungsprofile über Autofahrer erstellen und ableiten.

Welche Fahrzeuge sind betroffen?

Von den ausgewerteten Daten sind laut CCC bisher folgende Modelle betroffen:

Audi Q4
Audi Q6
Skoda Elroq
Skoda Enyaq
Seat Born
Seat Tavascan
VW ID.3
VW ID.4
VW ID.5
VW ID.7

Allerdings sind die Daten der Marken Audi und Skoda in den Standortdaten um eine Positionsstelle gekürzt worden, sodass der Standort nur grob aufgelöst werden kann.

Bei VW und Seat seien die Bewegungsdaten vollständig gespeichert worden.

Welcher Zeitraum wurde ausgewertet?

Der CCC konnte über 893 Mio. Geokoordinaten aus dem zugespielten Datensatz auswerten, die sich zeitlich wie folgt verteilen:

Seat: Dezember 2023 bis September 2024
VW: September 2023 bis September 2024
Audi: Februar 2024 bis September 2024
Skoda: Juli 2024 bis September

Ob darüber hinausgehende Datensätze existieren, ist aktuell nicht bekannt. CARIAD hat auf den Hinweis des CCC hin die Sicherheitslücke zügig geschlossen. Der CCC lobte die schnelle Reaktion.

Welche Datenschutzverstöße liegen vor?

Das Datenleck sei auch dem Landesbeauftragten für den Datenschutz Niedersachsen gemeldet worden. Aufgrund der detaillierten Veröffentlichung des CCC scheinen insbesondere folgende Punkte rechtlich relevant zu werden:

Unzureichende technisch-organisatorische Maßnahmen (TOM) zum Schutz der personenbezogenen Daten gem. Art. 32 DSGVO
Unzulässige Speicherung ungekürzter Bewegungsdaten ohne Einwilligung oder Erforderlichkeit gem. Art. 6 Abs. 1 lit. a) bzw. f) DSGVO

Wie diese erhobenen Daten durch VW bzw. CARIAD genutzt worden sind, wird im Rahmen von Auskunftsersuchen aufzuklären sein.

Rechtlich interessant wird dabei auch die Frage sein, ob durch die Geodaten und die Möglichkeit der Ableitung von Aufenthalten in Kirchen, Krankenhäusern uvm. auch die besonders geschützten “besonderen Kategorien personenbezogener Daten” gem. Art. 9 DSGVO angenommen werden können, bei denen ein grundsätzliches Verarbeitungsverbot besteht. Dies würde eine mögliche Entschädigung erhöhen können.

Welche Ansprüche haben Betroffene des VW-Datenskandals?

Zu den möglichen Ansprüchen gegen VW bzw. CARIAD zählen:

Entschädigungsansprüche für die aus unserer Sicht unzulässige Datenerhebung exakter Standortdaten,
Entschädigungsansprüche für die aus unserer Sicht unzureichende IT-Sicherheit,
Unterlassungsansprüche
Löschungs- und Auskunftsansprüche

Die Höhe der Entschädigung wird für Betroffene dabei ein wichtiges Kriterium sein:

“Wir werden uns nicht an dem Überbietungs-Wettbewerb beteiligen, mit dem vermeintliche Höchstentschädigungen versprochen werden. Die Höhe der Entschädigung wird ein Gericht festlegen. Wichtig ist deshalb ein realistisches Erwartungsmanagement und eine transparente Aufklärung im Vorfeld”,

so Tim Platner, Geschäftsführer von VINQO und COO der VINQO Rechtsanwälte.

Betroffene schließen sich zusammen

Betroffene, die gegen VW bzw. CARIAD vorgehen möchten, können ihr Interesse unverbindlich und kostenfrei an einer möglichen “Sammelklage” anmelden. Ziel ist es, bei genügend Anmeldungen eine Bündelung zu erzielen.

“Wir haben nach nicht einmal 1,5 Tagen zahlreiche Anmeldungen verzeichnet und prüfen, welches Vorgehen auch mit Verbraucherverbänden hier angeboten werden kann. Die Abstimmungen laufen dazu aktuell auf Hochtouren. Je mehr Betroffene sich unverbindlich anmelden, desto eher lassen sich Ansprüche bündeln und Prozesskosten reduzieren”,

so Platner weiter.

Sind weitere Hersteller betroffen?

In den Kommentarspalten zum VW-Datenskandal wird gelegentlich angeführt, dass alle Hersteller derartige Daten erfassen und speichern.

Dies ist rechtlich jedoch nur partiell richtig.

Zutreffend bieten viele Autohersteller Funktionen an, mit denen der Standort des Fahrzeugs überwacht werden kann, z.B.

Mercedes: me Adapter Dienste / Meine Fahrten
BWM ConnectedDrive

Daneben bieten auch die vom VW-Datenskandal betroffenen Marken (Audi, VW, Skoda und Seat) Endanwender-Apps an, mit denen der Standort angefragt und angezeigt werden kann.

Beispiel BMW

In den 78-seitigen Allgemeinen Geschäftsbedingungen zum ConnectedDrive (BMW ConnectedDrive, Revisionsdatum: 13. Juni 2024; Version: Release 11/24) gibt BMW an mehreren Stellen an, GPS-Daten entweder in „BMW-IT-Systemen“ zu speichern oder zu verarbeiten oder an Dritte weiterzugeben:

Concierge Services: Position
Connected E-Mobility: ungefähre Position des Fahrzeugs (keine genaue Position)
Connected Parking & Refueling: Positions- und Bewegungsdaten
Emergency Call Service: genauer Standort
Remote Control (Fernsteuerung): Abhängig von der „Auslöseart“ auch der genaue Standort
Remote Software Upgrade: Sprachlich unklar wird von „Fahrzeugdaten“ gesprochen; Im Falle eines abgebrochenen Remote Software Upgrades, bei dem ein Roadside Assitance (sic!) Call eingeleitet wird, werden Fahrzeug-, Standort- und Bewegungsdaten mit dem Assistenzservice eines Drittanbieters geteilt
Repair & Maintenance: Standortdaten beim Unfallhilferuf
Technical Basis:
– Bei Diebstahlbenachrichtigung: Geoposition zum Zeitpunkt des Alarms
– Für Future Mobility Solutions werden Fahrzeug-und Bewegungsdaten gespeichert, wie z. B. GPS-Koordinaten, Sitzbelegung, Art der Route, Geschwindigkeit, Laufleistung oder der Anteil des elektrischen Fahrens bei Plug-in-Hybrid- oder Elektrofahrzeugen
Traffic Camera Information: ungefähre Position des Fahrzeugs (nicht die exakte Position) erfasst.
Vehicle Apps: z.B. zur Verarbeitung von Positionsangaben für die Wetter-App, verarbeitet und gespeichert

Die Standortdaten werden also

bei Servicediensten anlassabhängig erfasst,
nur mit dem ungefähren Standort erfasst oder
bei standortbezogenen Services verarbeitet.

Die Ausnahme stellt dabei der Abschnitt „Technical Basis“ dar, der für „Future Mobility Solutions“ Standortdaten darüber hinaus erfasst. Allerdings gibt BMW hier an:

„Future Mobility Solutions und Verbesserung der Produktqualität sind standardmäßig deaktiviert und können über das Datenschutzmenü im Fahrzeug aktiviert werden“

BMW teilt also mit, dass bei einer

aktiv vorliegenden Einwilligung (die Wirksamkeit einmal ausgeklammert) auch
(wohl ungekürzte) Standortdaten

für Analysedienste genutzt werden.

Unterschied zum VW-Datenleck

Die dem CCC zugespielten Datensätze scheinen – Stand jetzt – etwas anders gelagert zu sein.

Denn beispielhaft in der „Datenschutzerklärung für die Nutzung der mobilen Online-Dienste der Volkswagen AG „We Connect, VW Connect“ in Fahrzeugen der „ID.
Familie““ aus November 2024 heißt es an mehreren Stellen der Datenschutzerklärung, man verwende insoweit die gekürzten GPS-Daten:

Es verstößt dann jedoch gegen den Grundsatz der Datensparsamkeit, dennoch bei Fahrzeugen der Marken VW und Seat die vollständigen Standortdaten zu erfassen.

Bei den Marken VW und Seat konnte anhand des Datenlecks also voraussichtlich dargelegt werden, dass die Daten nicht gemäß der eigenen Datenschutzhinweise erfasst oder gespeichert worden sind.

Aktuelles Fazit

Aktuell lässt sich durch die Veröffentlichungen des CCC bisher nur festhalten, dass die GPS-Daten bei Volkswagen und Seat umfangreich erfasst worden sind.

Die Fahrzeughersteller geben in ihren Datenschutzhinweisen erwartungsgemäß einen datenschutzkonformen Umgang mit Standortdaten an – so auch Volkswagen.

Aktuell lässt sich nur bei VW ein aus unserer Sicht datenschutzwidriges Speichern der GPS-Daten durch die zugespielten Daten an den CCC darlegen. Ob auch andere Hersteller in Wahrheit GPS-Daten exzessiver speichern und verarbeiten, als es in den Datenschutzhinweisen dargestellt wird, muss weiter aufgeklärt werden.

Der Beitrag VW-Datenskandal: Betroffene schließen sich für mögliche Sammelklage zusammen erschien zuerst auf VINQO Rechtsanwälte.

BGH: Entschädigung nach Datenpanne bei Facebook/Meta [mit VIDEO]

admin — Mon, 11 Nov 2024 20:15:26 +0000

Der Bundesgerichtshof hat in der mündlichen Verhandlung vom 11.11.2024 die Rechte von Betroffenen einer Datenpanne konkretisiert. Damit haben Betroffene von Datenlecks zukünftig mehr Rechtsklarheit, wann sie Anspruch auf eine Entschädigung haben – und wann nicht.

Was bisher geschah: Der Facebook Scraping Vorfall vor dem BGH

Die Datenpanne

Ausgangsfall war ein s.g. Scraping-Vorfall im Jahr 2018/2019, bei dem über 500 Millionen Datensätze von Facebook-Nutzern heruntergeladen werden konnten.

Bis April 2018 erfolgten diese Attacken über die Suchfunktion, bei der über Anfragen fiktiver Nutzer und Telefonnummern öffentlich zugängliche Nutzerinformationen gescraped wurden, sobald eine Telefonnummer einem Nutzer zugeordnet werden konnte.

Nach Deaktivierung dieser Suchmöglichkeit erfolgte das Scraping über das sog. Contact-import-Tool (im folgenden CIT), das sich sowohl auf der Plattform direkt als auch auf dem an diese angebundenen Messenger befand. Dabei wurden künstlich generierte Telefonnummern als vermeintliche Kontakte fiktiver Nutzer hochgeladen, wodurch es in vielen Fällen gelang, die zu diesen Telefonnummern passenden konkret-individuell angezeigten Nutzer zu identifizieren („one-to-one“) und ihnen ihre öffentlichen Nutzerinformationen zuzuordnen.

Möglich war dies aufgrund mangelhafter, technischer Sicherheitsmaßnahmen seitens Facebook sowie datenschutzunfreundlicher Standard-Voreinstellungen. So war die hinterlegte Telefonnummer von Facebook-Nutzern mit einem

In Deutschland sollen rund 6 Millionen Facebook-Nutzer von dem Scraping-Vorfall betroffen sein.

Die Klagewelle

In der Folge sind zehntausende Verbraucher durch Onlinekanzleien mit Versprechungen von 1.000,00 € oder sogar 5.000,00 € Entschädigung angeworben worden.

Denn in Art. 82 DSGVO ist geregelt:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Doch die Klagen waren – bisher – keinesfalls sonderlich erfolgreich. Einen Überblick zu der Lage bis zur BGH-Verhandlung vom 11.11.2024 finden Sie in diesem Video:

Laut BGH Beschluss vom 31.10.2024 seien – auch unter Verweis auf OLG-Entscheidungen –

Beim Senat des BGH bisher 25 Revisionen anhängig und
mehr als 6.000 laufende Klageverfahren in den Vorinstanzen

Hieraus ergaben sich folgende Probleme:

die Klagen wurden neben der eigentlichen Entschädigung mit Unterlassungs-, Feststellungs- und Auskunftsanträgen „aufgepumpt„. Hierdurch konnten höheren Rechtsanwaltskosten abgerechnet werden. Die Anträge waren jedoch ganz überwiegend unzulässig oder unbegründet. Hierdurch blieben Kläger, selbst wenn ein gewisses Schmerzensgeld zuerkannt worden ist, auf den überwiegenden Prozesskosten sitzen.
Bei der Entschädigung bleibt bis zuletzt streitig, wann ein „Schaden“ vorlag. Denn der eigentliche Datenschutzverstoß führt nicht automatisch zu einem Schadenersatz. Für einen Ersatz braucht es einen Schaden. Die Massenverfahren wurden jedoch meist nur textbausteinartig und damit nicht ausreichend begründet.
Die Rechtsprechung ist bisher uneinheitlich. Der Bundesgerichtshof entscheidet am 11.11.2024 erstmals in einem Leitentscheidungsverfahren umfassend hinsichtlich derartiger Entschädigungsansprüche

Hierdurch sind die bisherigen Facebook-Scraping-Verfahren für Kläger in wirtschaftlicher Hinsicht häufig wenig erfolgreich gewesen.

Aufgrund der vielen, ungeklärten Rechtsfragen sind diese Klageverfahren deshalb vor dem Bundesgerichtshof als Revisionsinstanz gelandet.

Zurückgezogene BGH-Revisionen

Der BGH hätte bereits über einen Monat früher, nämlich am 08.10.2024 (Verfahren VI ZR 7/24 und VI ZR 22/24) über diese Scraping-Verfahren verhandeln wollen.

Diese Revisionen sind jedoch vorzeitig zurückgenommen worden, sodass der BGH sich hierzu nicht mehr äußern konnte. Ob hier Facebook bzw. Meta den Klägern diese Verfahren vorzeitig „abgekauft“ hat, damit der BGH hierüber nicht mehr entscheiden konnte, ist nicht sicher bekannt.

Doch der BGH reagierte hierauf – höchst vorsorglich -mit einem Leitentscheidungsverfahren:

Was der BGH entschieden hat

Der BGH die Verfahren für den 11.11.2024 als erste Leitentscheidungsverfahren bestimmt. Hierdurch kann der BGH sich auch noch dann zu den Rechtsfragen äußern, wenn die Kläger die Revision doch noch vorzeitig zurücknehmen sollten.

Die Verfahren sind in der ersten und zweiten Instanz durch die Kanzlei „WBS LEGAL“ betrieben worden. Vor dem BGH kann die Kanzlei jedoch nicht auftreten, da in Zivilverfahren vor dem BGH nur besonders zugelassene BGH-Anwälte auftreten dürfen.

Über welche Fragen hat der BGH verhandelt?

Der BGH hat im Scraping-Komplex folgende Rechtsfragen für besonders relevant erachtet:

a) Liegt in der Implementierung der sog. Kontakt-Import-Funktion in Verbindung mit der Standardvoreinstellung „alle“ ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO?

b) Ist der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des Betroffenen verknüpften Daten geeignet, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen? Falls ja, wie wäre der Ersatz für einen solchen Schaden zu bemessen?

c) Welche Anforderungen sind an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen?

d) Reicht die bloße Möglichkeit des Eintritts künftiger Schäden in einem
Fall wie dem vorliegenden aus, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen?

e) Genügen die vom Kläger gestellten Anträge, dass die Beklagte es unterlasse,
– personenbezogene Daten der Klägerseite unbefugten Dritten über eine
Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach
dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die
Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, und
– die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen
durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf ‚privat‘ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit
hierfür die Berechtigung verweigert und, im Falle der Nutzung der FacebookMessenger App, hier ebenfalls explizit die Berechtigung verweigert wird,

dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO?

Was hat der BGH in der mündlichen Verhandlung entschieden?

Eine Einordnung zum BGH-Scraping-Verfahren finden Sie in unserem Video unter folgendem Link:

Die mündliche Verhandlung vom 11.11.2024 hat zwar noch keine unmittelbare Entscheidung im Sinne eines Urteils zur Folge. Dennoch hat das Gericht hier bereits wichtige Leitplanken gesetzt:

Ausreichend als Schaden kann der Kontrollverlust über die eigenen Daten sein.
Weitere Schäden (z.B. Spam-Anrufe etc.) erhöhen die Entschädigung, sind aber nicht mehr erforderlich, um diese erst zu begründen.
Facebook haftet voraussichtlich auch für zukünftige Ansprüche aus dem Datenleck. Auch Unterlassungsansprüche seien partiell möglich.

Verjährung bei Facebook droht

Die Ansprüche gegen Meta / Facebook verjähren aller Voraussicht nach mit Ende des Jahres 2024. Betroffene müssen bis dahin entweder Klage erheben oder den Anspruch verkaufen.

Die Verjährung droht aber erst einmal nur für die seit 2020 bekannt gewordenen Scraping-Verfahren. Andere Datenlecks nach 2020 verjähren noch nicht.

Kann ich auch eine Entschädigung von Facebook erhalten?

Facebook-Nutzer, die nach der BGH-Verhandlung gegen den Mutterkonzern von Facebook, Meta, ebenfalls eine Entschädigung durchsetzen wollen, müssen von dem Scraping-Datenleck betroffen sein. Andernfalls scheidet ein Anspruch von Beginn aus.

Ob die eigenen Daten vom Facebook-Datenleck betroffen sind, kann bequem mit einem Sofort-Ergebnis über s.g. Datenleck-Checker überprüft werden.

Eine kostenfreie Möglichkeit zur Prüfung bietet beispielsweise die in Düsseldorf ansässige Jusperta GmbH (Ext. Link / Werbung):

Dabei können Betroffene eine Entschädigung auch ohne Rechtsschutzversicherung erhalten, indem sie die Ansprüche gegen Facebook abtreten und verkaufen. Über den Link zum Datenleck-Checker finden Sie hierzu weitere Details.

Der Beitrag BGH: Entschädigung nach Datenpanne bei Facebook/Meta [mit VIDEO] erschien zuerst auf VINQO Rechtsanwälte.

[VIDEO] Datenleck bei CHECK24 und Verivox?! Kreditdaten einfach abrufbar

admin — Thu, 19 Sep 2024 15:26:13 +0000

Bei dem Vergleichsportalanbietern CHECK24 und VERIVOX hat es laut Berichten des Recherchenetzwerks CORRECTIV gab es eine erhebliche Sicherheitslücke, über die mit einfachsten technischen Mitteln sensible Kreditdaten der Kunden eingesehen werden konnten.

Welches Datenleck gab es?

Wie ein anonymer IT-Experte über den Chaos Computer Club (CCC) berichtete, konnten die Kreditangebote, die Check24 und Verivox ihren Kunden anbot, über den Weblink eingesehen werden.

Das bei Check24 vergebene Passwort zum Abruf dieser Kreditangebote sei mit einem globalen Passwort geschützt gewesen, sodass mit einem Passwort sämtliche verlinkte Angebote eingesehen werden konnte.

Die Links seien dabei mit einer Zahl versehen, die händisch abgeändert werden kann. So kann dann ein Kreditangebot eines völlig anderen Kunden eingesehen werden

Beispielhafte Darstellung zum besseren Verständnis. Kein realer Link.

Laut des CORRECTIV-Berichts haben beide Unternehmen reagiert und die Sicherheitslücke inzwischen geschlossen. Wie viele Kunden in welchem Zeitraum von dieser sehr leicht ausnutzbaren Lücke betroffen sind, ist bisher noch unklar.

Neben der leicht einsehbaren Web-URL habe es auch Probleme mit einer „offenen Verbindung“ über einen s.g. WebSocket gegeben.

Im Check24 Protokoll, das CORRECTIV vorliegt, heißt es hierzu:

„Die Implementierung war nicht ausreichend abgesichert, sodass es einem Angreifer durch technische Manipulation möglich war, auch die Ergebnisse anderer Kunden zu sehen.“

Ausschnitt der Check24 API

Reaktionen auf die Datenlecks

Die Unternehmen reagierten eigenen Darstellungen zufolge unmittelbar nach Bekanntwerden auf die Sicherheitslücken und schlossen diesen unverzüglich.

Die IT-Sicherheitsmaßnahmen werden jedoch sehr kritisch gesehen. Der unabhängige CCC sprach im Rahmen der CORRECTIV-Berichterstattung von einem „Supergau“.

Zudem gab es nach Bekanntwerden Meldungen bei den Landesdatenschutzbeauftragten durch den CCC als auch durch die betroffenen Unternehmen selbst.

Welche Daten sind betroffen ?

Laut Bericht sollen nicht nur die Kontaktdaten der Kunden betroffen sein, sondern auch die kreditsensiblen Daten betroffen sein, so z.B.

wie viele Kinder sie haben
wo sie arbeiten
was sie verdienen
wie viel Geld sie im Moment für Kredite ausgeben

Diese Daten begründen eine hohe Missbrauchsgefahr.

Ob diese Daten bereits an unbefugte Dritte abgeflossen sind, müssen Check24 und Verivox anhand von Zugriffsprotokollen nachweisen. Der Bayerische Landesbeauftragte für Datenschutz betonte dabei, dass die Unternehmen insoweit widerlegen müssen, dass Dritte diese Daten auch tatsächlich abgerufen haben.

Was sollten Kunden von Check24 und Verivox jetzt tun?

Kunden der Portale, die Sorge haben, ebenfalls von der Sicherheitslücke betroffen zu sein, sollten im ersten Schritt Auskunft verlangen.

Hierbei können Sie folgendes Musterschreiben verwenden:

Musterschreiben nach Datenleck

Sehr geehrte Damen und Herren,

im Rahmen der öffentlichen Berichterstattung habe ich erfahren, dass meine personenbezogenen Daten möglicherweise von einer kritischen Sicherheitslücke betroffen sind.

Zur Prüfung zivilrechtlicher Ansprüche fordere ich Sie deshalb zur unbeschränkten datenschutzrechtlichen

Auskunft gem. Art. 15 Abs. 1 und 3 DSGVO

auf und verlange insbesondere um Auskunft,

ob meine personenbezogenen Daten, inkl. Finanz- und Vertragsdaten, für unbefugte Dritte anhand einer fortlaufend hoch- oder runterzählenden URL mit einem global verwendeten Passwort einsehbar gewesen sind und/oder waren
ob meine personenbezogenen Daten, inkl. Finanz- und Vertragsdaten, für unbefugte Dritte aufgrund eines nicht hinreichend gesicherten WebSocket abrufbar sind und/oder waren
ob meine personenbezogenen Daten, inkl. Finanz- und Vertragsdaten durch Dritte abgerufen worden sind, die nicht die IP-Adresse aufwiesen, mit der das initiale Kreditangebot abgerufen worden ist.

Sollten einzelne oder alle vorgenannten Punkte bejaht werden, so wird ergänzend um Mitteilung gebeten, weshalb ich nicht über die erhebliche Gefährdung meiner personenbezogenen Daten und den damit verbundenen Kontrollverlust unverzüglich informiert worden bin. Ihnen sind die Sicherheitslücken seit dem 30.07.2024 (Check24) bzw. seit dem 20.08.2024 (Verivox) bekannt gewesen.

Ihre Rückantwort sehe ich innerhalb einer Frist von höchstens

14 Tagen

entgegen. Die Auskunft hat unverzüglich zu erfolgen. Die einmonatige Frist zur Auskunft ist eine Höchstfrist und ist aufgrund der Vorbefassung mit dem Sachverhalt keines falls auszuschöpfen.

Mit freundlichen Grüßen

Welche Ansprüche haben Betroffene?

Neben dem Auskunftsanspruch stehen betroffenen Kunden voraussichtlich auch Schmerzensgeldansprüche zu.

Denn ein Datenschutzverstoß begründet gem. Art. 82 DSGVO einen Entschädigungsanspruch, wenn ein Schaden entstanden ist.

Dabei hat der Europäische Gerichtshof in jüngster Vergangenheit noch einmal betont, dass für die Annahme eines Schadens bei Datenlecks mit Datenabfluss bereits der damit verbundene Kontrollverlust ausreichen kann, um ein Schmerzensgeld zu begründen.

Zusätzlich sind Unterlassungsansprüche denkbar, um den Zugang zu den personenbezogenen Daten in Zukunft besser zu schätzen.

Daneben kommen auch Feststellungsansprüche für noch nicht eingetretene, zukünftige Schäden in Betracht. Denn ob und wann die Kreditdaten ggfs. im Darknet auftauchen ist aktuell noch gänzlich unklar. Um diese Ansprüche auch zukünftig zu sichern, kann ein Feststellungsantrag sinnvoll sein.

Wenn Sie Kunde von Check24 oder Verivox waren und Ihre Ansprüche anwaltlich prüfen und durchsetzen lassen möchten, können Sie jederzeit mit uns Kontakt aufnehmen. Wir beraten und vertreten Geschädigte gegen Check24 und Verivox.

Der Beitrag [VIDEO] Datenleck bei CHECK24 und Verivox?! Kreditdaten einfach abrufbar erschien zuerst auf VINQO Rechtsanwälte.

[VIDEO] Riesen Datenleck bei Ticketmaster? Erhalten Kunden jetzt eine Entschädigung?

admin — Wed, 05 Jun 2024 16:05:00 +0000

Bei dem nicht unumstrittenen Event-Kartenverkäufer Ticketmaster scheint es zu einem riesen Datenleck gekommen zu sein.

Eine berüchtigte Hackergruppe bietet „Breach Forum“ einen rund 1 TB großen Datensatz zum Verkauf an. Dort sollen über 560 Mio. Kundendatensätze von Ticketmaster enthalten sein.

Eine erste Konsistenzprüfung durch heise security konnte eine positive Validierung der Testdaten verzeichnen.

Durch Live Nation, dem Mutterkonzern von Ticketmaster, gibt es bisher keine detaillierte Stellungnahme zu dem mutmaßlichen Riesen-Datenabfluss.

Doch erhalten Ticketmaster-Kunden eine Entschädigung / Schmerzensgeld von Ticketmaster? Wir erklären detailliert, was bisher bekannt ist und wie die Datenpanne – Stand heute – zu bewerten ist.

Video zum Ticketmaster Datenleck

Welche Daten sind vom Ticketmaster Datenleck betroffen?

Eine vollständige Prüfung des rund 1.000 GB großen Ticketmaster Datensatzes ist nicht möglich, weil die Hacker diesen nur einmalig für rund $ 500.000 USD verkaufen wollen. Die zur Einsicht angebotenen Daten beinhalten jedoch laut der Hackergruppe u.a.

Kundendaten
Kreditkarteninformationen
die letzten 4 Stellen der Kreditkartennummer
Ablaufdatum der Kreditkarte
Bestellinformationen

und „viel weitere“ Daten. Damit dürfte es sich besonders für Betrugsdaten besonders vulnerable Datenpunkte handeln, die insbesondere in Kombination mit anderen Datenhacks angereichert werden können.

Was ist die Ursache für die Ticketmaster Datenpanne?

Eine offiziell bestätigte Ursache gibt es für das mutmaßliche Riesendatenleck noch nicht. Allerdings besteht zurzeit der Verdacht, dass der Cloudanbieter Snowflake angegriffen worden ist und über diesen der große Datenbestand abgeflossen ist.

Allerdings haben IT-Sicherheitsforscher von Hudson Rock laut eigenen Angaben mit der Hackergruppe, die bereits für einen Datenschutzvorfall bei dem Finanzinstitut Santander verantwortlich sein sollen, Kontakt aufgenommen. Diese bestätigten den Angriff auf den Clouddienstanbieter.

Durchgeführt wurde laut Golem der Hackerangriff angeblich mit Anmeldedaten für ein Servicenow-Konto eines Mitarbeiters – erbeutet mit einer Infostealer-Malware vom Typ Lumma.

Snowflake selbst gibt in einem fortlaufend aktualisierten Blogpost an, dass es einen gezielten Angriff gegeben habe, dieser jedoch nicht auf eine Fehlkonfiguration o.ä. zurückzuführen sei.

Damit dürfte ein Abfließen der Daten, wie von der Hackergruppe behauptet, jedoch wahrscheinlich sein.

Haftet Ticketmaster für das Datenleck?

Auch wenn Ticketmaster bzw. der Mutterkonzern, die Live Nation Entertainment, Inc., in den USA angesiedelt ist, so hat sich diese bei der Verarbeitung an die europäische DSGVO zu halten. Zudem gibt es eine in Deutschland ansässige Ticketmaster GmbH.

Der Europäische Gerichtshof (EuGH) hatte im Dezember 2023 über die Verantwortlichkeit eines Datenbankbetreibers zu entscheiden, dessen Datenbank von Hackern erbeutet und anschließend im Internet veröffentlicht worden ist.

Dabei betonte der EuGH, dass der Verantwortliche, also Ticketmaster, nachweisen muss, dass die getroffenen Sicherheitsmaßnahmen dem Stand der Technik entsprachen:

„Daher ist auf den ersten Teil der dritten Frage zu antworten, dass der in Art. 5 Abs. 2 DSGVO formulierte und in Art. 24 DSGVO konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen dahin auszulegen ist, dass im Rahmen einer auf Art. 82 DSGVO gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO geeignet waren.“

Ein Datenleck stellt dabei zwar keine unwiderlegbare Vermutung ungeeigneter Sicherheitsmaßnahmen dar, allerdings obliegt es Ticketmaster, sehr genau darzulegen, dass tatsächliche alle Sicherheitsmaßnahmen ergriffen worden sind, um sich vor seinem solchen Datenabfluss effektiv zu schützen.

Ein Verweis auf Mitarbeitende, die sich an Anweisungen nicht gehalten haben, kann dabei nicht zur Entlastung führen. Dies hat der EuGH erst vor wenigen Wochen in einer Entscheidung gegen juris entschieden:

„Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.“

Ticketmaster müsste also ggfs, auch für ein Fehlverhalten von Mitarbeitenden haften, die sich gegen Sicherheitsvorschriften verhalten

Erhalten Ticketmaster-Kunden eine Entschädigung?

Wenn tatsächlich die Daten von 560 Mio. Kunden abgeflossen sind und diese nun mit Kreditkarteninformationen zum Verkauf angeboten werden, so stehen die Chancen gut, dass betroffene Ticketmaster-Kunden einen Anspruch auf ein Schmerzensgeld gem. Art. 82 DSGVO haben könnten.

Denn der EuGH hat betont, dass für den Schaden, der das Schmerzensgeld begründet, nicht bereits Werbeanrufe oder ein durchgeführter Datenmissbrauch vorliegen muss.

Ausreichend sei laut EuGH bereits der Kontrollverlust bei einem Datenleck:

„Nach alledem ist […] zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.“

Danach könnten betroffene Ticketmaster-Kunden auch ein Schmerzensgeld als Entschädigung verlangen können. Dies gilt insbesondere bei sensiblen Kreditkarteninformationen.

Zwar sind deutsche Gerichte etwas zurückhaltender bei der Zuerkennung, dennoch bestehen zum jetzigen Zeitpunkt gute Chancen, eine Entschädigung von Ticketmaster zu erzielen.

So hat beispielsweise Mastercard nach einem Datenleck bereits im Rahmen eines außergerichtlichen Vergleichs betroffenen Kunden rund 400,00 € Schmerzensgeld gezahlt. Auch dort waren Kreditkarteninformationen geleakt.

Im Rahmen der s.g. Facebook-Scraping-Verfahren. die u.E. weniger eingriffsintensiv waren, weil dort keine Zahlungsdaten gespeichert worden sind, haben deutsche Gerichte bis zu 1.000 € Schmerzensgeld zuerkannt.

Zudem sollten Betroffene sich auch zukünftige Ansprüche, die z.B. durch Kreditkartenabbuchungen entstehen, gegen Ticketmaster auch über die dreijährige Verjährungsfrist hinaus sichern. Auch hierfür lohnt es sich, gegen Ticketmaster rechtlich vorzugehen, um zukünftige Schäden abzusicheren.

Der Beitrag [VIDEO] Riesen Datenleck bei Ticketmaster? Erhalten Kunden jetzt eine Entschädigung? erschien zuerst auf VINQO Rechtsanwälte.

[VIDEO] Datenleck bei DrAnsay.com – Rezeptdaten über Suchmaschine auffindbar!

admin — Sat, 18 May 2024 09:35:00 +0000

Bei dem kontroversen Telemedizinanbieter DrAnsay.com kam es zu einer schwerwiegenden Datenpanne. Dies bestätigte der Geschäftsführer Dr. Can Ansay am 14.05.2024 in seiner eigenen Pressemitteilung.

Welche Daten sind betroffen?

Demnach seien Patientendaten der verschriebenen Rezepte über eine Suchmaschine frei einseh- und abrufbar. Hierzu zählen

Ausstellender Arzt, z.T. mit Fachrichtung wie Neurologie
Vorname und Nachname
Anschrift, PLZ und Ort
Geburtsdatum
Datum des Rezepts

Anhand der Pressemitteilung von Dr. Ansay wird zudem der Bezug zu den bestellten „Blüten“ – gemeint ist wohl das online verschriebene Medizinalcannabis. Damit wird in der Gesamtschau deutlich, dass es sich überwiegend oder sämtlich um Cannabis-Konsumenten handelt.

Welche Nutzer sind betroffen?

Dr. Ansay selbst gibt an, dass rund 20% der Nutzer betroffen seien.

Unser eigene Recherche am 16.05.2024 ergab, dass über 2.000 Nutzerdatensätze über die Suchmaschine öffentlich einsehbar waren. Auch die in der s.g. Sitemap verlinkten Rezept-PDFs beliefen sich auf etwas über 2.000 Datensätze,.

Laut Heise.de gingen bei dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit bereits „zahlreiche Beschwerden“ ein.

Dr. Ansay selbst kündigte in seiner vormaligen Pressemitteilung vom 14..05.2024, die inzwischen inhaltlich stark verkürzt worden ist, an, dass man die betroffenen Nutzer per E-Mail kontaktieren werde. Die Pressemitteilung ist (Stand 17.05.2024) inzwischen stark verkürzt worden.

Was ist der Grund für die Datenpanne?

Dr. Ansay selbst sprach in der ersten Fassung seiner Pressemitteilung vom 14.05.2024 von einem „geringen Sicherheitsniveau“, das durch ehemalige Mitarbeiter verursacht worden sei, die inzwischen für ein Konkurrenzunternehmen tätig seien.

Insoweit räumte Dr. Ansay bereits ein, dass ein zu niedriges Sicherheitsniveau vorläge – wenn auch durch das Handeln seiner Mitarbeitenden begründet.

Die Pressemitteilung ist in der aktuellen Fassung ergebnisoffener formuliert.

Unsere Recherchen deuten darauf hin, dass es sich um einen indexierten Webshare handelt, der über die Suchmaschinen „abgetastet“ und in den regulären Suchergebnissen angezeigt werden konnte.

Was Betroffene wissen sollten

Die Veröffentlichung der Patientendaten stellen Gesundheitsdaten dar, die einem ganz besonderen Schutz unterliegen. Die unbeabsichtigte Veröffentlichung von über 2.000 Datensätzen in regulär genutzten Suchmaschinen stellt aus unserer Sicht eine erhebliche Datenpanne dar.

Betroffene sollten deshalb prüfen, ob sie Ansprüche gegen den Anbieter von DrAnsay.com geltend machen möchten.

Denn gem. Art. 82 DSGVO können Betroffene einen Anspruch auf Schmerzensgeld und Schadenersatz haben, der aufgrund der betroffenen Daten (Gesundheitsdaten) und der einfachen Zugriffsmöglichkeiten über eine reguläre Suchmaschinenabfrage erheblich sein dürfte.

Der Beitrag [VIDEO] Datenleck bei DrAnsay.com – Rezeptdaten über Suchmaschine auffindbar! erschien zuerst auf VINQO Rechtsanwälte.

Facebook Datenleck – Die ersten Urteile sind da!

admin — Wed, 12 Apr 2023 16:00:00 +0000

Das Wichtigste im Überblick

Über 6 Mio. deutsche Facebook Nutzer sind vom Datenleck betroffen.
Betroffene haben gem. Art. 82 DSGVO Anspruch auf Schmerzensgeld – und haben geklagt.
Die ersten Urteile liegen nun vor und sprechen Betroffenen aktuell bis zu 1.000 € zu.

Facebook Datenleck vor deutschen Gerichten

Der Facebook-Datenskandal, bei dem über eine habe Milliarde Datensätze – davon über 6 Millionen deutscher Nutzer – kommt juristisch in Fahrt:

Deutsche Gerichte haben in einer zunehmenden Anzahl an Verfahren Betroffenen Schmerzensgeldbeträge von 250,00 € bis 1.000,00 € zuerkannt.

Denn sind die Daten einmal gescrapt und veröffentlicht, ist der Schaden bereits eingetreten. So hat das Landgericht Stuttgart in dem vor kurzem veröffentlichten Beschluss ein Schmerzensgeld von 1.000,00 € zuerkannt und festgestellt:

Ein der Beklagten zuzurechnender immaterieller Schaden wird vielmehr allein dadurch begründet, dass personenbezogene Daten des Klägers, welche der Beklagten anvertraut worden waren, abgeschöpft und veröffentlicht wurden und somit die Möglichkeit eines Missbrauchs durch Dritte eröffnet wird.

Den aktuellen Stand haben wir in diesem Video zusammengefasst:

Sind Sie auch betroffen?

Ob auch Ihre Daten vom Facebook-Datenleck betroffen sind, können Sie mithilfe unseres Datencheckers in 2 Minuten mit Sofortergebnis herausfinden.

Geben Sie hierzu einfach Ihre Mobiltelefonnummer, die Sie mit Ihrem Facebook-Account verknüpft haben, ein und erfahren Sie sofort, ob Ihre Daten auch veröffentlicht worden sind.

Habe ich weitere Ansprüche gegen Facebook?

Ja! Neben dem Anspruch auf Schmerzensgeld gem. Art. 82 DSGVO haben deutsche Gerichte gegen Facebook weitere Ansprüche zuerkannt, so z.B.:

Feststellung auf Schadenersatz für alle zukünftigen Schäden, die durch den Missbrauch der veröffentlichten Daten noch entstehen
Unterlassungsanspruch hinsichtlich der ungesicherten Speichern, bei der im Wiederholungsfalle Ordnungsgeld und sogar Ordnungshaft gegen die Führungskräfte von Facebook droht
Auskunftsansprüche zur Prüfung der eigenen Betroffenheit

Insbesondere die Ansprüche zukünftiger Schäden sind wichtig, um z.B. Schäden durch den Missbrauch Krimineller weiter gegen Facebook geltend machen zu können.

Der Beitrag Facebook Datenleck – Die ersten Urteile sind da! erschien zuerst auf VINQO Rechtsanwälte.