Bei dem nicht unumstrittenen Event-Kartenverkäufer Ticketmaster scheint es zu einem riesen Datenleck gekommen zu sein.
Eine berüchtigte Hackergruppe bietet „Breach Forum“ einen rund 1 TB großen Datensatz zum Verkauf an. Dort sollen über 560 Mio. Kundendatensätze von Ticketmaster enthalten sein.
Eine erste Konsistenzprüfung durch heise security konnte eine positive Validierung der Testdaten verzeichnen.
Durch Live Nation, dem Mutterkonzern von Ticketmaster, gibt es bisher keine detaillierte Stellungnahme zu dem mutmaßlichen Riesen-Datenabfluss.
Doch erhalten Ticketmaster-Kunden eine Entschädigung / Schmerzensgeld von Ticketmaster? Wir erklären detailliert, was bisher bekannt ist und wie die Datenpanne – Stand heute – zu bewerten ist.
Video zum Ticketmaster Datenleck
Welche Daten sind vom Ticketmaster Datenleck betroffen?
Eine vollständige Prüfung des rund 1.000 GB großen Ticketmaster Datensatzes ist nicht möglich, weil die Hacker diesen nur einmalig für rund $ 500.000 USD verkaufen wollen. Die zur Einsicht angebotenen Daten beinhalten jedoch laut der Hackergruppe u.a.
- Kundendaten
- Kreditkarteninformationen
- die letzten 4 Stellen der Kreditkartennummer
- Ablaufdatum der Kreditkarte
- Bestellinformationen
und „viel weitere“ Daten. Damit dürfte es sich besonders für Betrugsdaten besonders vulnerable Datenpunkte handeln, die insbesondere in Kombination mit anderen Datenhacks angereichert werden können.
Was ist die Ursache für die Ticketmaster Datenpanne?
Eine offiziell bestätigte Ursache gibt es für das mutmaßliche Riesendatenleck noch nicht. Allerdings besteht zurzeit der Verdacht, dass der Cloudanbieter Snowflake angegriffen worden ist und über diesen der große Datenbestand abgeflossen ist.
Allerdings haben IT-Sicherheitsforscher von Hudson Rock laut eigenen Angaben mit der Hackergruppe, die bereits für einen Datenschutzvorfall bei dem Finanzinstitut Santander verantwortlich sein sollen, Kontakt aufgenommen. Diese bestätigten den Angriff auf den Clouddienstanbieter.
Durchgeführt wurde laut Golem der Hackerangriff angeblich mit Anmeldedaten für ein Servicenow-Konto eines Mitarbeiters – erbeutet mit einer Infostealer-Malware vom Typ Lumma.
Snowflake selbst gibt in einem fortlaufend aktualisierten Blogpost an, dass es einen gezielten Angriff gegeben habe, dieser jedoch nicht auf eine Fehlkonfiguration o.ä. zurückzuführen sei.
Damit dürfte ein Abfließen der Daten, wie von der Hackergruppe behauptet, jedoch wahrscheinlich sein.
Haftet Ticketmaster für das Datenleck?
Auch wenn Ticketmaster bzw. der Mutterkonzern, die Live Nation Entertainment, Inc., in den USA angesiedelt ist, so hat sich diese bei der Verarbeitung an die europäische DSGVO zu halten. Zudem gibt es eine in Deutschland ansässige Ticketmaster GmbH.
Der Europäische Gerichtshof (EuGH) hatte im Dezember 2023 über die Verantwortlichkeit eines Datenbankbetreibers zu entscheiden, dessen Datenbank von Hackern erbeutet und anschließend im Internet veröffentlicht worden ist.
Dabei betonte der EuGH, dass der Verantwortliche, also Ticketmaster, nachweisen muss, dass die getroffenen Sicherheitsmaßnahmen dem Stand der Technik entsprachen:
„Daher ist auf den ersten Teil der dritten Frage zu antworten, dass der in Art. 5 Abs. 2 DSGVO formulierte und in Art. 24 DSGVO konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen dahin auszulegen ist, dass im Rahmen einer auf Art. 82 DSGVO gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO geeignet waren.“
Ein Datenleck stellt dabei zwar keine unwiderlegbare Vermutung ungeeigneter Sicherheitsmaßnahmen dar, allerdings obliegt es Ticketmaster, sehr genau darzulegen, dass tatsächliche alle Sicherheitsmaßnahmen ergriffen worden sind, um sich vor seinem solchen Datenabfluss effektiv zu schützen.
Ein Verweis auf Mitarbeitende, die sich an Anweisungen nicht gehalten haben, kann dabei nicht zur Entlastung führen. Dies hat der EuGH erst vor wenigen Wochen in einer Entscheidung gegen juris entschieden:
„Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.“
Ticketmaster müsste also ggfs, auch für ein Fehlverhalten von Mitarbeitenden haften, die sich gegen Sicherheitsvorschriften verhalten
Erhalten Ticketmaster-Kunden eine Entschädigung?
Wenn tatsächlich die Daten von 560 Mio. Kunden abgeflossen sind und diese nun mit Kreditkarteninformationen zum Verkauf angeboten werden, so stehen die Chancen gut, dass betroffene Ticketmaster-Kunden einen Anspruch auf ein Schmerzensgeld gem. Art. 82 DSGVO haben könnten.
Denn der EuGH hat betont, dass für den Schaden, der das Schmerzensgeld begründet, nicht bereits Werbeanrufe oder ein durchgeführter Datenmissbrauch vorliegen muss.
Ausreichend sei laut EuGH bereits der Kontrollverlust bei einem Datenleck:
„Nach alledem ist […] zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.“
Danach könnten betroffene Ticketmaster-Kunden auch ein Schmerzensgeld als Entschädigung verlangen können. Dies gilt insbesondere bei sensiblen Kreditkarteninformationen.
Zwar sind deutsche Gerichte etwas zurückhaltender bei der Zuerkennung, dennoch bestehen zum jetzigen Zeitpunkt gute Chancen, eine Entschädigung von Ticketmaster zu erzielen.
So hat beispielsweise Mastercard nach einem Datenleck bereits im Rahmen eines außergerichtlichen Vergleichs betroffenen Kunden rund 400,00 € Schmerzensgeld gezahlt. Auch dort waren Kreditkarteninformationen geleakt.
Im Rahmen der s.g. Facebook-Scraping-Verfahren. die u.E. weniger eingriffsintensiv waren, weil dort keine Zahlungsdaten gespeichert worden sind, haben deutsche Gerichte bis zu 1.000 € Schmerzensgeld zuerkannt.
Zudem sollten Betroffene sich auch zukünftige Ansprüche, die z.B. durch Kreditkartenabbuchungen entstehen, gegen Ticketmaster auch über die dreijährige Verjährungsfrist hinaus sichern. Auch hierfür lohnt es sich, gegen Ticketmaster rechtlich vorzugehen, um zukünftige Schäden abzusicheren.
