Veröffentlicht von:
Datenskandal – Facebook und LinkedIn – Anspruch auf Auskunft und ggf. Schadensersatz
- 4 Minuten Lesezeit
Es vergeht kaum eine Woche ohne einen neuen Datenskandal. Dabei geht es oft um den möglichen Verlust empfindlicher Daten. Neben „einfachen“ Kontaktdaten sind ebenso häufig empfindliche Daten wie zum Beispiel Kontoverbindungen in die falschen Hände geraten.
I. Risiken und Gefahren eines Datenverlustes
Betroffene eines Datenschutzverstoßes halten einen Datenverlust oft für unbedeutend und reagieren häufig nicht. Dabei erhöht sich mit einem solchen Datenverlust das Risiko Opfer von sogenannter Cyber-Kriminalität zu werden. Diese kann in unterschiedlicher Art und Weise erfolgen (vgl. insoweit beispielsweise die Ausführungen des Bundesamts für Sicherheit in der Informationstechnik unter: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/methoden-der-cyber-kriminalitaet_node.html).
II. Wie erfahre ich, ob ich vom Datenverlust betroffen bin?
Ob man selber betroffen ist, weiß man leider oft nicht oder häufig erst zu spät. In der Zwischenzeit droht man, wie unter Ziffer I. dargestellt, Opfer von Cyber-Kriminalität zu werden.
1. Anspruch auf Auskunft nach Art. 15 DSGVO
Abhilfe verschafft insoweit zunächst der Anspruch auf Auskunft nach Art. 15 DSGVO. Konkret heißt dies in Datenskandalfällen, dass das Unternehmen mitteilen muss, ob und welche personenbezogenen Daten von einem Datenleck, Hackerangriff oder ähnliches betroffen sind.
Erst jüngst hat sich der BGH (Urteil vom 15.06.2021, Az. VI ZR 576/19) zum Auskunftsrecht nach Art. 15 DSGVO geäußert und die Verbraucherrechte erneut gestärkt. So ist ein solcher Anspruch auf Auskunft nach Art. 15 DSGVO
„nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt.“ (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19, Rn. 9 f.)
(Hervorhebungen durch den Autor)
Der Auskunftsverpflichtete darf daher die Auskunft nicht mit dem Hinweis ablehnen, dass keine sensiblen oder privaten Informationen betroffen sind. Weiter muss die Auskunft so ausführlich sein, dass eine Rechtmäßigkeitsprüfung möglich ist. So heißt es insoweit im Urteil des BGH:
„Die Auskunft soll den [Anfragenden] […] in die Lage versetzen, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen. Er soll sich insbesondere vergewissern können, dass die ihn betreffenden Daten richtig sind und in zulässiger Weise verarbeitet werden.“ (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19, Rn. 11 f.)
(Hervorhebungen durch den Autor)
2. HPI Identity Leak Checker / haveibeenpwned.com
Daneben besteht über den HPI Identity Leak Checker des Hasso-Plattner-Instituts oder über den internationalen Anbieter haveibeenpwned.com die Möglichkeit, zu prüfen, ob Sie von einem Datenleak betroffen sind.
Auf beide Plattformen verweist auch das Bundesamt für Sicherheit in der Informationstechnik (vgl. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Umgang-mit-Passwoertern/umgang-mit-passwoertern_node.html).
Berücksichtigen Sie bitte, dass die Plattformen nur einen ersten Hinweis zu einer Betroffenheit geben können. Selbst wenn eine Betroffenheit durch die Plattformen nicht festgestellt werden konnte, so bedeutet dies nicht, dass eine Betroffenheit nicht dennoch gegeben sein könnte.
III. Ich erhalte keine, eine unvollständige oder eine verspätete Auskunft. Ich habe die Auskunft erhalten, dass ich betroffen bin. Was kann ich unternehmen?
Sollte keine, eine unvollständige oder eine verspätete Auskunft erfolgen oder die eigene Betroffenheit feststehen, kommt ein Anspruch auf Schadensersatz - regelmäßig nach Art 82 DSGVO - in Betracht. Einzelne Gerichte haben bereits bei Schadenersatzansprüchen nach Art. 82 DSGVO Beträge in vierstelliger Höhe ausgeurteilt.
Dabei hängt die konkrete Höhe des Anspruchs jedoch vom Einzelfall ab, insbesondere von der Art und dem Umfang des Verstoßes.
IV. Datenskandal - Facebook
Im April 2021 wurde in Medien darüber berichtet, dass mehr als eine halbe Milliarde Nutzerdaten von Facebook-Usern im Netz aufgetaucht seien. Bei den Daten handele es sich um Nutzernamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und auch persönliche Angaben wie den Beziehungsstatus.
In Deutschland seien Daten von ca. 6 Millionen Facebook-Usern betroffen. Nach Medienberichten sollen die Daten aus einer alten Sicherheitslücke stammen, die Facebook laut eigenen Angaben bereits im Jahr 2019 geschlossen habe.
V. Datenskandal - LinkedIn
Ein weiterer Datenskandal soll sich beim Karriere-Netzwerk LinkedIn zugetragen haben. So sollen nach Angaben des IT-Blogs „RestorePrivacy“ derzeit im sogenannten Darknet Daten von ca. 700 Millionen LinkedIn-Nutzern zum Kauf angeboten werden.
Bei den betroffenen Daten handele es sich um E-Mail-Adressen, vollständige Namen, Benutzernamen und Profil-URLs, Telefonnummern, Postanschriften, Standort-Daten, Informationen zum persönlichen und beruflichen Werdegang, zum Geschlecht sowie zu anderen Social-Media-Konten und Benutzernamen.
Mit ca. 700 Millionen betroffenen Nutzern wären somit mehr als 90 % aller LinkedIn-Kunden betroffen. Wie die Daten ins Darknet gelangten, ist bis heute noch nicht gänzlich geklärt.
LinkedIn hat sich zur Sache geäußert. Zur vollständigen Stellungnahme von LinkedIn: https://news.linkedin.com/2021/june/an-update-from-linkedin
VI. Kostenlose Ersteinschätzung
Sie glauben, dass Sie von einem Datenleak betroffen sind? Wir helfen Ihnen gerne und beraten Sie im Rahmen einer kostenlosen Ersteinschätzung!
Kontaktieren Sie uns auch gerne direkt unter www.lams-vesper.de.
Artikel teilen: