Welche Daten sind vom Ticketmaster Datenleck betroffen?

Eine vollständige Prüfung des rund 1.000 GB großen Ticketmaster Datensatzes ist nicht möglich, weil die Hacker diesen nur einmalig für rund $ 500.000 USD verkaufen wollen. Die zur Einsicht angebotenen Daten beinhalten jedoch laut der Hackergruppe u.a.

• Kundendaten
• Kreditkarteninformationen
• die letzten 4 Stellen der Kreditkartennummer
• Ablaufdatum der Kreditkarte 
• Bestellinformationen 

und „viel weitere“ Daten. Damit dürfte es sich besonders für Betrugsdaten besonders vulnerable Datenpunkte handeln, die insbesondere in Kombination mit anderen Datenhacks angereichert werden können. 

Was ist die Ursache für die Ticketmaster Datenpanne?

Eine offiziell bestätigte Ursache gibt es für das mutmaßliche Riesendatenleck noch nicht. Allerdings besteht zurzeit der Verdacht, dass der Cloudanbieter Snowflake angegriffen worden ist und über diesen der große Datenbestand abgeflossen ist. 

Allerdings haben IT-Sicherheitsforscher von Hudson Rock laut eigenen Angaben mit der Hackergruppe, die bereits für einen Datenschutzvorfall bei dem Finanzinstitut Santander verantwortlich sein sollen, Kontakt aufgenommen. Diese bestätigten den Angriff auf den Clouddienstanbieter.

Durchgeführt wurde laut Golem der Hackerangriff angeblich mit Anmeldedaten für ein Servicenow-Konto eines Mitarbeiters – erbeutet mit einer Infostealer-Malware vom Typ Lumma.

Snowflake selbst gibt in einem fortlaufend aktualisierten Blogpost an, dass es einen gezielten Angriff gegeben habe, dieser jedoch nicht auf eine Fehlkonfiguration o.ä. zurückzuführen sei. 

Bei dem kontroversen Telemedizinanbieter DrAnsay.com kam es zu einer schwerwiegenden Datenpanne. Dies bestätigte der Geschäftsführer Dr. Can Ansay am 14.05.2024 in seiner eigenen Pressemitteilung. 

Welche Daten sind betroffen?

Demnach seien Patientendaten der verschriebenen Rezepte über eine Suchmaschine frei einseh- und abrufbar. Hierzu zählen 

• Ausstellender Arzt, z.T. mit Fachrichtung wie Neurologie
• Vorname und Nachname
• Anschrift, PLZ und Ort
• Geburtsdatum
• Datum des Rezepts 

Anhand der Pressemitteilung von Dr. Ansay wird zudem der Bezug zu den bestellten „Blüten“ – gemeint ist wohl das online verschriebene Medizinalcannabis. Damit wird in der Gesamtschau deutlich, dass es sich überwiegend oder sämtlich um Cannabis-Konsumenten handelt. 

Welche Nutzer sind betroffen? 

Dr. Ansay selbst gibt an, dass rund 20% der Nutzer betroffen seien. 

Unser eigene Recherche am 16.05.2024 ergab, dass über 2.000 Nutzerdatensätze über die Suchmaschine öffentlich einsehbar waren. Auch die in der s.g. Sitemap verlinkten Rezept-PDFs beliefen sich auf etwas über 2.000 Datensätze,.

Laut Heise.de gingen bei dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit bereits „zahlreiche Beschwerden“ ein. 

Dr. Ansay selbst kündigte in seiner vormaligen Pressemitteilung vom 14..05.2024, die inzwischen inhaltlich stark verkürzt worden ist, an, dass man die betroffenen Nutzer per E-Mail kontaktieren werde. Die Pressemitteilung ist (Stand 17.05.2024) inzwischen stark verkürzt worden. 

Der EuGH hat sich 2023 sehr zugunsten von Betroffenen nach Datenschutzvorfällen positioniert. Betroffene sollen möglichst leicht und ohne rechtliche Hürden die Möglichkeit haben, Entschädigungen (Schmerzensgeld) gem. Art. 82 DSGVO geltend machen zu können. 

Die Sorge von Unternehmern hierbei: Betroffene können die Rechtsprechung des EuGH dafür nutzen, um ein ein neues Geschäftsmodell, das  „DSGVO-Hopping“ zu betreiben und so massenhafte Schmerzensgeldansprüche gem. Art. 82 DSGVO zu generieren. 

Die Versuche, Schmerzensgeldansprüche zu generieren, kennen wir bereits aus dem s.g. „AGG-Hopping“. Dort haben sich Bewerbe auf Stellengesuche beworben, die diskriminierende Formulierungen enthielten, um dann eine Entschädigung hierfür zu erhalten. 

Ob das DSGVO-Hopping mit dem AGG-Hopping vergleichbar ist, erklären wir in unserem Video zum DSGVO-Hopping. 

Der EuGH hat in seiner MediaMarktSaturn Entscheidung zu den Vorlagefragen eines Schmerzensgeldes nach einer Datenpanne erstmals das weite Verständnis zum Art. 82 DSGVO eingeschränkt.

Ob Unternehmer nun etwas aufatmen können, erklären wir kurz und kompakt in diesem Video.

Wir hatten bereits in vorangegangenen Beiträgen anhand von ergangenen Urteilen dargestellt, wie kritisch die Vermischung von Arbeitsrecht und Datenschutzrecht für Arbeitgeber sein kann:

• Schmerzensgeld bei verspäteter Datenschutz-Auskunft gem. Art. 15 DSVO?
• LAG: Datenschutz im Arbeitsrecht als effektives Druckmittel?

Dabei zeigen auch neuer Auswertungen, dass Arbeitsgerichte Arbeitnehmern signifikant höhere Schmerzensgeldbeträge gem. Art. 82 DSGVO zuerkennen. 

Dies wird durch ein weiteres, arbeitsgerichtliches Urteil (ArbG Suhl –  6 Ca 704/23 – vom 20.12.2023) ergänzt, das nach der wegweisenden EuGH-Entscheidung zum Schadenersatz [VIDEO] nach einem Datenschutzvorfall erging. 

Sachverhalt

Ein ehemaliger Arbeitnehmer forderte die Datenauskunft gem. Art. 15 DSGVO, die der Arbeitgeber mit normaler E-Mail erteilte. Zudem wurden diese ohne Zustimmung an den Betriebsrat weitergeleitet. 

Der Arbeitnehmer forderte eine weitergehende Datenauskunft und erhob insgesamt zwei Beschwerden beim Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit.

Der Thüringer Landesbeauftrage für den Datenschutz und die Informationsfreiheit kam zum Ergebnis, dass die Übermittlung der Auskunft per E-Mail gegen die DSGVO verstieß. 

Der ehemalige Arbeitnehmer verklagte den Arbeitgeber wegen des Datenschutzverstoßes auf mindestens 10.000,00 € Schmerzensgeld. 

Entscheidung 

Das Arbeitsgericht Suhl kam zum Ergebnis, dass kein Schaden vorlag und wies die Klage ab. 

Das Vorliegen eines konkreten immateriellen Schadens habe der Arbeitnehmer nicht ausreichend dargetan. Im vorliegenden Fall sei nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es sei nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

Auch ein Eingriff in das Allgemeine Persönlichkeitsrecht sei nicht gegeben.

Einordnung 

Die Entscheidung ist trotz ihrer Kürze im Detail äußerst interessant. 

Denn es stand unstreitig fest, dass ein Datenschutzverstoß durch die unverschlüsselte Übersendung der Auskunft per E-Mail vorlag. 

Bei dem angesetzten Schmerzensgeldbetrag gem. § 287 ZPO in Höhe von mindestens 10.000,00 € war auch unter Berücksichtigung der arbeitsgerichtlichen „Zuschläge“ zu erwarten, dass die Klage nicht vollumfänglich Erfolg haben wird.

Aus Sicht des Arbeitsgerichts war jedoch die vollständige Klageabweisung mangels Schadens angezeigt. Das Gericht setzte sich dabei auch mit dem immer relevanteren „Kontrollverlust“ kurz auseinander. Denn dieser war in den letzten EuGH Entscheidungen entscheidend bzw. ausreichend, um den immateriellen Schaden zu begründen. 

Das Arbeitsgericht mochte sich vom Kontrollverlust jedoch nicht überzeugen:

„Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.“

Die Beurteilung erscheint durchaus überzeugend. Denn Kontrollverlust ist besonders in den Fällen der s.g. Dataleaks, also dem Abfließen und Veröffentlichen von Personendatensätzen im Internet diskutiert. Die Datenbanken können dann von einer Vielzahl an unbekannten Dritten als Personendatensatz verwendet oder sogar in Kombination mit anderen Datenlecks angereichert werden. 

In diesen Fällen muss ein Schaden durch lästige SMS, Anrufe oder E-Mails noch nicht konkret eingetreten sein, ausreichend ist der Kontrollverlust des Betroffenen über die Daten durch die Veröffentlichung. 

Ein solcher Kontrollverlust ist bei einer unverschlüsselten E-Mail jedoch deutlich abstrakter:

1. Unverschlüsselt ist im Kontext von E-Mails irreführend. Es besteht eine SSL-Verschlüsselung (Also verschlüsselter Transportweg zwischen Server und Client), jedoch keine Inhaltsverschlüsselung durch S/MIME oder PGP. 
2. Es ist nicht ersichtlich, welcher Kontrollverlust gegenüber einer inhaltsverschlüsselten E-Mail bestehen sollte. Es verbleibt eine stets eine abstrakte, grundsätzlich nicht auszuschließende Möglichkeit, dass Dritte den unverschlüsselten Korrespondenzweg abfangen und auslesen. 
3. Es bedarf nach wie vor des in Art. 82 DSGVO benannten „Schadens“. Für den Kontrollverlust als Schaden muss somit zumindest die – gegenüber der rechtmäßigen Datenverarbeitung – gesteigerte Wahrscheinlichkeit des Eintritts eines „Verlustes“ geben. 

Für Arbeitnehmer

Auch im Lichte der neuesten EuGH Rechtsprechung bleibt es dabei: Der Verstoß gegen die DSGVO führt nicht automatisch zu einem Schadenersatz. Es muss immer noch einen Schaden – der ersetzt werden kann – geben. Dies ist beim E-Mail-Versand jedenfalls problematisch zu begründen. 

Für Arbeitgeber 

Neben zwei Aufsichtsverfahren und einem Klageverfahren – wohlgemerkt rund 1,5 Jahre nach dem Austritt des Arbeitnehmers – zeigt sich, dass die DSGVO auch als Vehikel zum „Nachtreten“ genutzt werden kann und datenschutzrechtliche Verfahren stets ernst genommen werden müssen. 

Auskünfte sollten über eigene Download-Portale oder – soweit möglich – klassisch postalisch übermittelt werden.