Entschädigung Archive - VINQO Rechtsanwälte

VW-Datenskandal: Betroffene schließen sich für mögliche Sammelklage zusammen

admin — Wed, 01 Jan 2025 17:39:02 +0000

Nach den Enthüllungen des Chaos Computer Club (CCC) hat die Volkswagen-Tochter CARIAD scheinbar nicht nur umfangreiche Analysedaten von rund 800.000 Fahrzeugen unzureichend geschützt, sondern auch GPS-Daten bei Elektrofahrzeugen mit einer bis zu 10cm-genauen Auflösung gespeichert. Hierdurch kann CARIAD umfangreiche Bewegungsprofile über Autofahrer erstellen und ableiten.

Welche Fahrzeuge sind betroffen?

Von den ausgewerteten Daten sind laut CCC bisher folgende Modelle betroffen:

Audi Q4
Audi Q6
Skoda Elroq
Skoda Enyaq
Seat Born
Seat Tavascan
VW ID.3
VW ID.4
VW ID.5
VW ID.7

Allerdings sind die Daten der Marken Audi und Skoda in den Standortdaten um eine Positionsstelle gekürzt worden, sodass der Standort nur grob aufgelöst werden kann.

Bei VW und Seat seien die Bewegungsdaten vollständig gespeichert worden.

Welcher Zeitraum wurde ausgewertet?

Der CCC konnte über 893 Mio. Geokoordinaten aus dem zugespielten Datensatz auswerten, die sich zeitlich wie folgt verteilen:

Seat: Dezember 2023 bis September 2024
VW: September 2023 bis September 2024
Audi: Februar 2024 bis September 2024
Skoda: Juli 2024 bis September

Ob darüber hinausgehende Datensätze existieren, ist aktuell nicht bekannt. CARIAD hat auf den Hinweis des CCC hin die Sicherheitslücke zügig geschlossen. Der CCC lobte die schnelle Reaktion.

Welche Datenschutzverstöße liegen vor?

Das Datenleck sei auch dem Landesbeauftragten für den Datenschutz Niedersachsen gemeldet worden. Aufgrund der detaillierten Veröffentlichung des CCC scheinen insbesondere folgende Punkte rechtlich relevant zu werden:

Unzureichende technisch-organisatorische Maßnahmen (TOM) zum Schutz der personenbezogenen Daten gem. Art. 32 DSGVO
Unzulässige Speicherung ungekürzter Bewegungsdaten ohne Einwilligung oder Erforderlichkeit gem. Art. 6 Abs. 1 lit. a) bzw. f) DSGVO

Wie diese erhobenen Daten durch VW bzw. CARIAD genutzt worden sind, wird im Rahmen von Auskunftsersuchen aufzuklären sein.

Rechtlich interessant wird dabei auch die Frage sein, ob durch die Geodaten und die Möglichkeit der Ableitung von Aufenthalten in Kirchen, Krankenhäusern uvm. auch die besonders geschützten “besonderen Kategorien personenbezogener Daten” gem. Art. 9 DSGVO angenommen werden können, bei denen ein grundsätzliches Verarbeitungsverbot besteht. Dies würde eine mögliche Entschädigung erhöhen können.

Welche Ansprüche haben Betroffene des VW-Datenskandals?

Zu den möglichen Ansprüchen gegen VW bzw. CARIAD zählen:

Entschädigungsansprüche für die aus unserer Sicht unzulässige Datenerhebung exakter Standortdaten,
Entschädigungsansprüche für die aus unserer Sicht unzureichende IT-Sicherheit,
Unterlassungsansprüche
Löschungs- und Auskunftsansprüche

Die Höhe der Entschädigung wird für Betroffene dabei ein wichtiges Kriterium sein:

“Wir werden uns nicht an dem Überbietungs-Wettbewerb beteiligen, mit dem vermeintliche Höchstentschädigungen versprochen werden. Die Höhe der Entschädigung wird ein Gericht festlegen. Wichtig ist deshalb ein realistisches Erwartungsmanagement und eine transparente Aufklärung im Vorfeld”,

so Tim Platner, Geschäftsführer von VINQO und COO der VINQO Rechtsanwälte.

Betroffene schließen sich zusammen

Betroffene, die gegen VW bzw. CARIAD vorgehen möchten, können ihr Interesse unverbindlich und kostenfrei an einer möglichen “Sammelklage” anmelden. Ziel ist es, bei genügend Anmeldungen eine Bündelung zu erzielen.

“Wir haben nach nicht einmal 1,5 Tagen zahlreiche Anmeldungen verzeichnet und prüfen, welches Vorgehen auch mit Verbraucherverbänden hier angeboten werden kann. Die Abstimmungen laufen dazu aktuell auf Hochtouren. Je mehr Betroffene sich unverbindlich anmelden, desto eher lassen sich Ansprüche bündeln und Prozesskosten reduzieren”,

so Platner weiter.

Sind weitere Hersteller betroffen?

In den Kommentarspalten zum VW-Datenskandal wird gelegentlich angeführt, dass alle Hersteller derartige Daten erfassen und speichern.

Dies ist rechtlich jedoch nur partiell richtig.

Zutreffend bieten viele Autohersteller Funktionen an, mit denen der Standort des Fahrzeugs überwacht werden kann, z.B.

Mercedes: me Adapter Dienste / Meine Fahrten
BWM ConnectedDrive

Daneben bieten auch die vom VW-Datenskandal betroffenen Marken (Audi, VW, Skoda und Seat) Endanwender-Apps an, mit denen der Standort angefragt und angezeigt werden kann.

Beispiel BMW

In den 78-seitigen Allgemeinen Geschäftsbedingungen zum ConnectedDrive (BMW ConnectedDrive, Revisionsdatum: 13. Juni 2024; Version: Release 11/24) gibt BMW an mehreren Stellen an, GPS-Daten entweder in „BMW-IT-Systemen“ zu speichern oder zu verarbeiten oder an Dritte weiterzugeben:

Concierge Services: Position
Connected E-Mobility: ungefähre Position des Fahrzeugs (keine genaue Position)
Connected Parking & Refueling: Positions- und Bewegungsdaten
Emergency Call Service: genauer Standort
Remote Control (Fernsteuerung): Abhängig von der „Auslöseart“ auch der genaue Standort
Remote Software Upgrade: Sprachlich unklar wird von „Fahrzeugdaten“ gesprochen; Im Falle eines abgebrochenen Remote Software Upgrades, bei dem ein Roadside Assitance (sic!) Call eingeleitet wird, werden Fahrzeug-, Standort- und Bewegungsdaten mit dem Assistenzservice eines Drittanbieters geteilt
Repair & Maintenance: Standortdaten beim Unfallhilferuf
Technical Basis:
– Bei Diebstahlbenachrichtigung: Geoposition zum Zeitpunkt des Alarms
– Für Future Mobility Solutions werden Fahrzeug-und Bewegungsdaten gespeichert, wie z. B. GPS-Koordinaten, Sitzbelegung, Art der Route, Geschwindigkeit, Laufleistung oder der Anteil des elektrischen Fahrens bei Plug-in-Hybrid- oder Elektrofahrzeugen
Traffic Camera Information: ungefähre Position des Fahrzeugs (nicht die exakte Position) erfasst.
Vehicle Apps: z.B. zur Verarbeitung von Positionsangaben für die Wetter-App, verarbeitet und gespeichert

Die Standortdaten werden also

bei Servicediensten anlassabhängig erfasst,
nur mit dem ungefähren Standort erfasst oder
bei standortbezogenen Services verarbeitet.

Die Ausnahme stellt dabei der Abschnitt „Technical Basis“ dar, der für „Future Mobility Solutions“ Standortdaten darüber hinaus erfasst. Allerdings gibt BMW hier an:

„Future Mobility Solutions und Verbesserung der Produktqualität sind standardmäßig deaktiviert und können über das Datenschutzmenü im Fahrzeug aktiviert werden“

BMW teilt also mit, dass bei einer

aktiv vorliegenden Einwilligung (die Wirksamkeit einmal ausgeklammert) auch
(wohl ungekürzte) Standortdaten

für Analysedienste genutzt werden.

Unterschied zum VW-Datenleck

Die dem CCC zugespielten Datensätze scheinen – Stand jetzt – etwas anders gelagert zu sein.

Denn beispielhaft in der „Datenschutzerklärung für die Nutzung der mobilen Online-Dienste der Volkswagen AG „We Connect, VW Connect“ in Fahrzeugen der „ID.
Familie““ aus November 2024 heißt es an mehreren Stellen der Datenschutzerklärung, man verwende insoweit die gekürzten GPS-Daten:

Es verstößt dann jedoch gegen den Grundsatz der Datensparsamkeit, dennoch bei Fahrzeugen der Marken VW und Seat die vollständigen Standortdaten zu erfassen.

Bei den Marken VW und Seat konnte anhand des Datenlecks also voraussichtlich dargelegt werden, dass die Daten nicht gemäß der eigenen Datenschutzhinweise erfasst oder gespeichert worden sind.

Aktuelles Fazit

Aktuell lässt sich durch die Veröffentlichungen des CCC bisher nur festhalten, dass die GPS-Daten bei Volkswagen und Seat umfangreich erfasst worden sind.

Die Fahrzeughersteller geben in ihren Datenschutzhinweisen erwartungsgemäß einen datenschutzkonformen Umgang mit Standortdaten an – so auch Volkswagen.

Aktuell lässt sich nur bei VW ein aus unserer Sicht datenschutzwidriges Speichern der GPS-Daten durch die zugespielten Daten an den CCC darlegen. Ob auch andere Hersteller in Wahrheit GPS-Daten exzessiver speichern und verarbeiten, als es in den Datenschutzhinweisen dargestellt wird, muss weiter aufgeklärt werden.

Der Beitrag VW-Datenskandal: Betroffene schließen sich für mögliche Sammelklage zusammen erschien zuerst auf VINQO Rechtsanwälte.

BGH: Entschädigung nach Datenpanne bei Facebook/Meta [mit VIDEO]

admin — Mon, 11 Nov 2024 20:15:26 +0000

Der Bundesgerichtshof hat in der mündlichen Verhandlung vom 11.11.2024 die Rechte von Betroffenen einer Datenpanne konkretisiert. Damit haben Betroffene von Datenlecks zukünftig mehr Rechtsklarheit, wann sie Anspruch auf eine Entschädigung haben – und wann nicht.

Was bisher geschah: Der Facebook Scraping Vorfall vor dem BGH

Die Datenpanne

Ausgangsfall war ein s.g. Scraping-Vorfall im Jahr 2018/2019, bei dem über 500 Millionen Datensätze von Facebook-Nutzern heruntergeladen werden konnten.

Bis April 2018 erfolgten diese Attacken über die Suchfunktion, bei der über Anfragen fiktiver Nutzer und Telefonnummern öffentlich zugängliche Nutzerinformationen gescraped wurden, sobald eine Telefonnummer einem Nutzer zugeordnet werden konnte.

Nach Deaktivierung dieser Suchmöglichkeit erfolgte das Scraping über das sog. Contact-import-Tool (im folgenden CIT), das sich sowohl auf der Plattform direkt als auch auf dem an diese angebundenen Messenger befand. Dabei wurden künstlich generierte Telefonnummern als vermeintliche Kontakte fiktiver Nutzer hochgeladen, wodurch es in vielen Fällen gelang, die zu diesen Telefonnummern passenden konkret-individuell angezeigten Nutzer zu identifizieren („one-to-one“) und ihnen ihre öffentlichen Nutzerinformationen zuzuordnen.

Möglich war dies aufgrund mangelhafter, technischer Sicherheitsmaßnahmen seitens Facebook sowie datenschutzunfreundlicher Standard-Voreinstellungen. So war die hinterlegte Telefonnummer von Facebook-Nutzern mit einem

In Deutschland sollen rund 6 Millionen Facebook-Nutzer von dem Scraping-Vorfall betroffen sein.

Die Klagewelle

In der Folge sind zehntausende Verbraucher durch Onlinekanzleien mit Versprechungen von 1.000,00 € oder sogar 5.000,00 € Entschädigung angeworben worden.

Denn in Art. 82 DSGVO ist geregelt:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Doch die Klagen waren – bisher – keinesfalls sonderlich erfolgreich. Einen Überblick zu der Lage bis zur BGH-Verhandlung vom 11.11.2024 finden Sie in diesem Video:

Laut BGH Beschluss vom 31.10.2024 seien – auch unter Verweis auf OLG-Entscheidungen –

Beim Senat des BGH bisher 25 Revisionen anhängig und
mehr als 6.000 laufende Klageverfahren in den Vorinstanzen

Hieraus ergaben sich folgende Probleme:

die Klagen wurden neben der eigentlichen Entschädigung mit Unterlassungs-, Feststellungs- und Auskunftsanträgen „aufgepumpt„. Hierdurch konnten höheren Rechtsanwaltskosten abgerechnet werden. Die Anträge waren jedoch ganz überwiegend unzulässig oder unbegründet. Hierdurch blieben Kläger, selbst wenn ein gewisses Schmerzensgeld zuerkannt worden ist, auf den überwiegenden Prozesskosten sitzen.
Bei der Entschädigung bleibt bis zuletzt streitig, wann ein „Schaden“ vorlag. Denn der eigentliche Datenschutzverstoß führt nicht automatisch zu einem Schadenersatz. Für einen Ersatz braucht es einen Schaden. Die Massenverfahren wurden jedoch meist nur textbausteinartig und damit nicht ausreichend begründet.
Die Rechtsprechung ist bisher uneinheitlich. Der Bundesgerichtshof entscheidet am 11.11.2024 erstmals in einem Leitentscheidungsverfahren umfassend hinsichtlich derartiger Entschädigungsansprüche

Hierdurch sind die bisherigen Facebook-Scraping-Verfahren für Kläger in wirtschaftlicher Hinsicht häufig wenig erfolgreich gewesen.

Aufgrund der vielen, ungeklärten Rechtsfragen sind diese Klageverfahren deshalb vor dem Bundesgerichtshof als Revisionsinstanz gelandet.

Zurückgezogene BGH-Revisionen

Der BGH hätte bereits über einen Monat früher, nämlich am 08.10.2024 (Verfahren VI ZR 7/24 und VI ZR 22/24) über diese Scraping-Verfahren verhandeln wollen.

Diese Revisionen sind jedoch vorzeitig zurückgenommen worden, sodass der BGH sich hierzu nicht mehr äußern konnte. Ob hier Facebook bzw. Meta den Klägern diese Verfahren vorzeitig „abgekauft“ hat, damit der BGH hierüber nicht mehr entscheiden konnte, ist nicht sicher bekannt.

Doch der BGH reagierte hierauf – höchst vorsorglich -mit einem Leitentscheidungsverfahren:

Was der BGH entschieden hat

Der BGH die Verfahren für den 11.11.2024 als erste Leitentscheidungsverfahren bestimmt. Hierdurch kann der BGH sich auch noch dann zu den Rechtsfragen äußern, wenn die Kläger die Revision doch noch vorzeitig zurücknehmen sollten.

Die Verfahren sind in der ersten und zweiten Instanz durch die Kanzlei „WBS LEGAL“ betrieben worden. Vor dem BGH kann die Kanzlei jedoch nicht auftreten, da in Zivilverfahren vor dem BGH nur besonders zugelassene BGH-Anwälte auftreten dürfen.

Über welche Fragen hat der BGH verhandelt?

Der BGH hat im Scraping-Komplex folgende Rechtsfragen für besonders relevant erachtet:

a) Liegt in der Implementierung der sog. Kontakt-Import-Funktion in Verbindung mit der Standardvoreinstellung „alle“ ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO?

b) Ist der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des Betroffenen verknüpften Daten geeignet, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen? Falls ja, wie wäre der Ersatz für einen solchen Schaden zu bemessen?

c) Welche Anforderungen sind an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen?

d) Reicht die bloße Möglichkeit des Eintritts künftiger Schäden in einem
Fall wie dem vorliegenden aus, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen?

e) Genügen die vom Kläger gestellten Anträge, dass die Beklagte es unterlasse,
– personenbezogene Daten der Klägerseite unbefugten Dritten über eine
Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach
dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die
Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, und
– die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen
durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf ‚privat‘ noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit
hierfür die Berechtigung verweigert und, im Falle der Nutzung der FacebookMessenger App, hier ebenfalls explizit die Berechtigung verweigert wird,

dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO?

Was hat der BGH in der mündlichen Verhandlung entschieden?

Eine Einordnung zum BGH-Scraping-Verfahren finden Sie in unserem Video unter folgendem Link:

Die mündliche Verhandlung vom 11.11.2024 hat zwar noch keine unmittelbare Entscheidung im Sinne eines Urteils zur Folge. Dennoch hat das Gericht hier bereits wichtige Leitplanken gesetzt:

Ausreichend als Schaden kann der Kontrollverlust über die eigenen Daten sein.
Weitere Schäden (z.B. Spam-Anrufe etc.) erhöhen die Entschädigung, sind aber nicht mehr erforderlich, um diese erst zu begründen.
Facebook haftet voraussichtlich auch für zukünftige Ansprüche aus dem Datenleck. Auch Unterlassungsansprüche seien partiell möglich.

Verjährung bei Facebook droht

Die Ansprüche gegen Meta / Facebook verjähren aller Voraussicht nach mit Ende des Jahres 2024. Betroffene müssen bis dahin entweder Klage erheben oder den Anspruch verkaufen.

Die Verjährung droht aber erst einmal nur für die seit 2020 bekannt gewordenen Scraping-Verfahren. Andere Datenlecks nach 2020 verjähren noch nicht.

Kann ich auch eine Entschädigung von Facebook erhalten?

Facebook-Nutzer, die nach der BGH-Verhandlung gegen den Mutterkonzern von Facebook, Meta, ebenfalls eine Entschädigung durchsetzen wollen, müssen von dem Scraping-Datenleck betroffen sein. Andernfalls scheidet ein Anspruch von Beginn aus.

Ob die eigenen Daten vom Facebook-Datenleck betroffen sind, kann bequem mit einem Sofort-Ergebnis über s.g. Datenleck-Checker überprüft werden.

Eine kostenfreie Möglichkeit zur Prüfung bietet beispielsweise die in Düsseldorf ansässige Jusperta GmbH (Ext. Link / Werbung):

Dabei können Betroffene eine Entschädigung auch ohne Rechtsschutzversicherung erhalten, indem sie die Ansprüche gegen Facebook abtreten und verkaufen. Über den Link zum Datenleck-Checker finden Sie hierzu weitere Details.

Der Beitrag BGH: Entschädigung nach Datenpanne bei Facebook/Meta [mit VIDEO] erschien zuerst auf VINQO Rechtsanwälte.

[VIDEO] Riesen Datenleck bei Ticketmaster? Erhalten Kunden jetzt eine Entschädigung?

admin — Wed, 05 Jun 2024 16:05:00 +0000

Bei dem nicht unumstrittenen Event-Kartenverkäufer Ticketmaster scheint es zu einem riesen Datenleck gekommen zu sein.

Eine berüchtigte Hackergruppe bietet „Breach Forum“ einen rund 1 TB großen Datensatz zum Verkauf an. Dort sollen über 560 Mio. Kundendatensätze von Ticketmaster enthalten sein.

Eine erste Konsistenzprüfung durch heise security konnte eine positive Validierung der Testdaten verzeichnen.

Durch Live Nation, dem Mutterkonzern von Ticketmaster, gibt es bisher keine detaillierte Stellungnahme zu dem mutmaßlichen Riesen-Datenabfluss.

Doch erhalten Ticketmaster-Kunden eine Entschädigung / Schmerzensgeld von Ticketmaster? Wir erklären detailliert, was bisher bekannt ist und wie die Datenpanne – Stand heute – zu bewerten ist.

Video zum Ticketmaster Datenleck

Welche Daten sind vom Ticketmaster Datenleck betroffen?

Eine vollständige Prüfung des rund 1.000 GB großen Ticketmaster Datensatzes ist nicht möglich, weil die Hacker diesen nur einmalig für rund $ 500.000 USD verkaufen wollen. Die zur Einsicht angebotenen Daten beinhalten jedoch laut der Hackergruppe u.a.

Kundendaten
Kreditkarteninformationen
die letzten 4 Stellen der Kreditkartennummer
Ablaufdatum der Kreditkarte
Bestellinformationen

und „viel weitere“ Daten. Damit dürfte es sich besonders für Betrugsdaten besonders vulnerable Datenpunkte handeln, die insbesondere in Kombination mit anderen Datenhacks angereichert werden können.

Was ist die Ursache für die Ticketmaster Datenpanne?

Eine offiziell bestätigte Ursache gibt es für das mutmaßliche Riesendatenleck noch nicht. Allerdings besteht zurzeit der Verdacht, dass der Cloudanbieter Snowflake angegriffen worden ist und über diesen der große Datenbestand abgeflossen ist.

Allerdings haben IT-Sicherheitsforscher von Hudson Rock laut eigenen Angaben mit der Hackergruppe, die bereits für einen Datenschutzvorfall bei dem Finanzinstitut Santander verantwortlich sein sollen, Kontakt aufgenommen. Diese bestätigten den Angriff auf den Clouddienstanbieter.

Durchgeführt wurde laut Golem der Hackerangriff angeblich mit Anmeldedaten für ein Servicenow-Konto eines Mitarbeiters – erbeutet mit einer Infostealer-Malware vom Typ Lumma.

Snowflake selbst gibt in einem fortlaufend aktualisierten Blogpost an, dass es einen gezielten Angriff gegeben habe, dieser jedoch nicht auf eine Fehlkonfiguration o.ä. zurückzuführen sei.

Damit dürfte ein Abfließen der Daten, wie von der Hackergruppe behauptet, jedoch wahrscheinlich sein.

Haftet Ticketmaster für das Datenleck?

Auch wenn Ticketmaster bzw. der Mutterkonzern, die Live Nation Entertainment, Inc., in den USA angesiedelt ist, so hat sich diese bei der Verarbeitung an die europäische DSGVO zu halten. Zudem gibt es eine in Deutschland ansässige Ticketmaster GmbH.

Der Europäische Gerichtshof (EuGH) hatte im Dezember 2023 über die Verantwortlichkeit eines Datenbankbetreibers zu entscheiden, dessen Datenbank von Hackern erbeutet und anschließend im Internet veröffentlicht worden ist.

Dabei betonte der EuGH, dass der Verantwortliche, also Ticketmaster, nachweisen muss, dass die getroffenen Sicherheitsmaßnahmen dem Stand der Technik entsprachen:

„Daher ist auf den ersten Teil der dritten Frage zu antworten, dass der in Art. 5 Abs. 2 DSGVO formulierte und in Art. 24 DSGVO konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen dahin auszulegen ist, dass im Rahmen einer auf Art. 82 DSGVO gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO geeignet waren.“

Ein Datenleck stellt dabei zwar keine unwiderlegbare Vermutung ungeeigneter Sicherheitsmaßnahmen dar, allerdings obliegt es Ticketmaster, sehr genau darzulegen, dass tatsächliche alle Sicherheitsmaßnahmen ergriffen worden sind, um sich vor seinem solchen Datenabfluss effektiv zu schützen.

Ein Verweis auf Mitarbeitende, die sich an Anweisungen nicht gehalten haben, kann dabei nicht zur Entlastung führen. Dies hat der EuGH erst vor wenigen Wochen in einer Entscheidung gegen juris entschieden:

„Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.“

Ticketmaster müsste also ggfs, auch für ein Fehlverhalten von Mitarbeitenden haften, die sich gegen Sicherheitsvorschriften verhalten

Erhalten Ticketmaster-Kunden eine Entschädigung?

Wenn tatsächlich die Daten von 560 Mio. Kunden abgeflossen sind und diese nun mit Kreditkarteninformationen zum Verkauf angeboten werden, so stehen die Chancen gut, dass betroffene Ticketmaster-Kunden einen Anspruch auf ein Schmerzensgeld gem. Art. 82 DSGVO haben könnten.

Denn der EuGH hat betont, dass für den Schaden, der das Schmerzensgeld begründet, nicht bereits Werbeanrufe oder ein durchgeführter Datenmissbrauch vorliegen muss.

Ausreichend sei laut EuGH bereits der Kontrollverlust bei einem Datenleck:

„Nach alledem ist […] zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.“

Danach könnten betroffene Ticketmaster-Kunden auch ein Schmerzensgeld als Entschädigung verlangen können. Dies gilt insbesondere bei sensiblen Kreditkarteninformationen.

Zwar sind deutsche Gerichte etwas zurückhaltender bei der Zuerkennung, dennoch bestehen zum jetzigen Zeitpunkt gute Chancen, eine Entschädigung von Ticketmaster zu erzielen.

So hat beispielsweise Mastercard nach einem Datenleck bereits im Rahmen eines außergerichtlichen Vergleichs betroffenen Kunden rund 400,00 € Schmerzensgeld gezahlt. Auch dort waren Kreditkarteninformationen geleakt.

Im Rahmen der s.g. Facebook-Scraping-Verfahren. die u.E. weniger eingriffsintensiv waren, weil dort keine Zahlungsdaten gespeichert worden sind, haben deutsche Gerichte bis zu 1.000 € Schmerzensgeld zuerkannt.

Zudem sollten Betroffene sich auch zukünftige Ansprüche, die z.B. durch Kreditkartenabbuchungen entstehen, gegen Ticketmaster auch über die dreijährige Verjährungsfrist hinaus sichern. Auch hierfür lohnt es sich, gegen Ticketmaster rechtlich vorzugehen, um zukünftige Schäden abzusicheren.

Der Beitrag [VIDEO] Riesen Datenleck bei Ticketmaster? Erhalten Kunden jetzt eine Entschädigung? erschien zuerst auf VINQO Rechtsanwälte.