In der heutigen digitalen Ära werden täglich enorme Mengen an Daten gesammelt, gespeichert und verarbeitet. Doch diese Datensammlung birgt auch Risiken – insbesondere ein Datenleck kann unkalkulierbare Folgen für Unternehmen jeder Größe haben.
Inhalte zu Datenleck
- Was ist ein Datenleck?
- Rechtliche Vorgaben und Meldepflichten bei Datenlecks
- Innerhalb welchen Zeitraums müssen Datenlecks gemeldet werden?
- Beispiele für Datenlecks: Mögliche Szenarien
- Was Unternehmen bei einem Datenleck tun sollten
- Mögliche Strafen für den Fall einer Datenschutzverletzung
- Schadensersatzansprüche bei Datenschutzverstoß oder Datenleck
- Können aus Datenpanne oder Datenleck Schmerzensgeldansprüche entstehen?
Datenlecks sind gar nicht so selten. Regelmäßig landen Tausende oder gar Millionen von persönlichen Datensätzen ungefragt im Netz und gefährden damit die Privatsphäre und Sicherheit der Betroffenen. Prominente Fälle von Datenlecks bei sozialen Netzwerken wie dem Facebook-Datenleck oder beim Deezer-Datenleck gehen regelmäßig durch die Medien.
Neben den Folgen für die User drohen bei einem solchen Datenschutzverstoß auch Konsequenzen für verantwortliche Unternehmen. In diesem Artikel erläutern wir, was eine Datenpanne eigentlich ist, zeigen Beispiele sowie mögliche Folgen auf und geben Hinweise, was bei einem solchen Datenleck zu tun ist. Dabei unterstützt uns der ROLAND Partneranwalt Clemens Adori, Fachanwalt für Urheber- und Medienrecht, von der Kanzlei SCHULZ KLUGE PARTNER in Berlin.
Was ist ein Datenleck?
IT-Sicherheit und Datenschutz sind zentrale Themen in unserer immer stärker digitalisierten Welt. Immer wieder warnen Medien und Experten vor den Folgen von Datenpannen oder Datenlecks – doch was genau ist damit gemeint?
Ein Datenleck liegt vor, wenn sensible oder personenbezogene Daten unrechtmäßig offengelegt, verändert, gelöscht, gesperrt oder abgerufen werden. Hiervon können je nach betroffenem Unternehmen sensible Informationen wie Adresse, Geburtsdatum, Bankdaten, Kreditkarteninformationen oder schlimmstenfalls sogar Gesundheitsdaten betroffen sein.
Ein solches Datenleck kann verschiedene Ursachen haben, darunter menschliches oder technisches Versagen, gezielte Cyberangriffe und unsachgemäße Datenverarbeitungspraktiken. Manchmal ist in diesem Zusammenhang auch von einer allgemeinen Datenschutzverletzung oder einem Datenschutzverstoß die Rede. Wir verwenden die Begriffe hier der Einfachheit halber synonym.
Risikogruppen von Datenlecks:
1. Normales Risiko - Beispiel: Es wurden verschlüsselte Daten auf einer Festplatte im normalen Hausmüll entsorgt. Die Aufsichtsbehörde muss informiert werden. Möglicherweise betroffene Kunden allerdings nicht, da die Wahrscheinlichkeit der Entschlüsselung dieser Daten und somit des Missbrauchs sehr gering ist.
2. Gesteigertes Risiko - Beispiel: Personenbezogene Daten wurden bei einem Hackerangriff erbeutet und sind für den Hacker nutzbar. Die Aufsichtsbehörde muss darüber informiert werden. Auch die betroffenen Menschen müssen informiert werden, dass ihre Daten Teil des Datenlecks sind, sowie welche Folgen dies hat und welche Gegenmaßnahmen empfehlenswert sind (z.B. Passwortänderung).
Rechtliche Vorgaben und Meldepflichten bei Datenlecks
In rechtlicher Hinsicht gibt es für Datenlecks klare Vorgaben und Meldepflichten. Hierzu gehören beispielsweise die EU-Datenschutz-Grundverordnung (DSGVO) und nationale Datenschutzgesetze. Rechtsanwalt Clemens Adori, Experte für Datenschutzrecht, stellt klar: „Unternehmen und Organisationen müssen Datenlecks in vielen Fällen umgehend den Datenschutzbehörden melden und betroffene Personen über den Vorfall informieren. Außerdem sollten Verantwortliche möglichst schnell geeignete Maßnahmen zum Schutz der Betroffenen ergreifen.“
Innerhalb welchen Zeitraums müssen Datenlecks gemeldet werden?
Betroffene Unternehmen müssen „möglichst“ innerhalb von 72 Stunden das Datenleck melden – diese kurze Frist läuft ab Kenntnis vom Datenleck. Diese Meldung muss bei der zuständigen Datenschutzbehörde erfolgen. Zuständig ist immer die Datenschutzbehörde am Hauptsitz des Unternehmens. Kann die Meldung erst mit Verspätung abgesandt werden, sollte eine nachvollziehbare Begründung mitgeliefert werden.
Betroffene Kunden müssen in Fällen, wo der Datenschutzverstoß ein gesteigertes Risiko darstellt, ebenfalls informiert werden. Diese Meldung muss speziellen Kriterien entsprechen und in verständlicher Sprache formuliert sein.
Beispiele für Datenlecks: Mögliche Szenarien
Datenlecks können auf verschiedene Arten auftreten und schwerwiegende Konsequenzen haben. Manchmal steckt dahinter gar keine böse Absicht, sondern einfach nur ein zu unbedachter Umgang mit Informationen seitens der Mitarbeiter.
So kann es vorkommen, dass Daten unbeabsichtigt auf einer Website oder in einer App öffentlich zugänglich gemacht werden. Ebenfalls denkbar sind einfache Bedien- oder Softwarefehler. Selbst bei der unvorsichtigen Entsorgung von Datenträgern können personenbezogene oder sogar sensible Daten in die Hände unbefugter Dritter fallen.
Häufig erbeuten Kriminelle und Hacker jedoch mit voller Absicht Daten und bedienen sich dabei verschiedener Tricks. Eine Möglichkeit ist der klassische Angriff auf die IT-Systeme per Hacking oder Phishing. Auch USB-Sticks können Schadsoftware enthalten, die am Ende zu einem großen Datenleck führen. Alternativ nutzen Datendiebe auch menschliche Schwachstellen, indem sie sich am Telefon als betroffene Person ausgeben und so unberechtigterweise Informationen erfragen oder Passwörter zurücksetzen. Auch eigene Mitarbeiter können Zugriffsrechte missbrauchen, um Daten zu stehlen.
Das Deezer Datenleck
Ein bekanntes Beispiel für ein Datenleck ist das Deezer Datenleck von 2023. Hierbei wurden persönliche Daten wie Namen, E-Mail-Adressen und Zahlungsinformationen von Millionen Nutzern offengelegt. Die Folgen waren gravierend: Viele Betroffene erlitten finanzielle Verluste durch Phishing-Angriffe und Identitätsdiebstahl.
Betroffene des Deezer Datenlecks haben das Recht auf Schadensersatz für materielle und immaterielle Schäden, einschließlich finanzieller Verluste und Verletzungen der Privatsphäre. Um Ihre Ansprüche geltend zu machen, sollten Sie alle betroffenen Daten und Schäden sorgfältig dokumentieren. Deezer ist verpflichtet, Maßnahmen zur Schadensbegrenzung zu ergreifen und zukünftige Datenlecks zu verhindern.
Was Unternehmen bei einem Datenleck tun sollten
Wenn ein Datenleck im Unternehmen auftritt, ist schnelles Handeln gefragt, um den Schaden zu identifizieren und einzudämmen. Folgende Schritte sollten in jedem Fall unternommen werden:
- Bereits im Vorfeld ist es wichtig, dass alle Mitarbeiter mit Bezug zu personenbezogenen Daten darauf trainiert sind, Datenlecks unverzüglich an die Geschäftsführung und ggf. den Datenschutzbeauftragten zu melden. Wichtiger Grundsatz dabei: Keine falsche Scham – sondern mutige Schadensbegrenzung!
- IT und Führungskräfte informieren: Nach der Aufdeckung ist wichtig, das gesamte IT-Team und relevante Führungskräfte über die Datenpanne zu informieren, um den Vorfall zu untersuchen und einzudämmen. Je länger ein Datenleck bestehen bleibt, desto größer kann der potenzielle Schaden werden.
- Zusammenarbeit mit der Rechtsabteilung: Die Rechtsabteilung sollte ebenfalls frühestmöglich einbezogen werden, um den vorgeschriebenen Meldepflichten an Aufsichtsbehörden und ggf. Kunden vollumfänglich nachzukommen. Denn neben einem möglichen Reputationsschaden birgt ein Datenleck auch rechtliche Risiken für Unternehmen.
- Schaden identifizieren und begrenzen: Betroffene IT-Systeme müssen überprüft werden, damit die IT die Sicherheitslücken schließen und den Schaden begrenzen kann. Außerdem sollten betroffene Geräte wie Laptops oder Handys technisch geprüft werden, falls diese gehackt wurden.
- Dokumentation: Die internen Vorgänge (Entdeckung, Meldung innerhalb des Unternehmens, erste Gegenmaßnahmen) sollten nachvollziehbar dokumentiert werden, damit man gegenüber der Behörde nicht mit leeren Händen dasteht.
„Bei einem Angriff mit sogenannter Ransomware kommt es oft auch zu einer Erpressung mit Lösegeldforderung. Die Zahlung soll dann angeblich umfangreich verschlüsselte Systeme wieder freigeben. Wer zahlt, macht leider meistens schlechte Erfahrungen. So werden z.B. nur Teile entschlüsselt, es kommt zu Nachforderungen oder die Entschlüsselung schlägt gänzlich fehl. Daher ist es in solchen Fällen besser, die Polizei einzuschalten“, rät Fachanwalt Clemens Adori. Die einzelnen Bundesländer haben in den Ermittlungsbehörden inzwischen teilweise recht gut spezialisierte Abteilungen eingerichtet.
Mögliche Strafen für den Fall einer Datenschutzverletzung
Bei Datenschutzverletzungen erwarten sowohl Unternehmen, die gegen die Datenschutzgrundverordnung (DSGVO) verstoßen haben, als auch verantwortliche Mitarbeiter, verschiedene Sanktionen.
Bei Verstößen gegen die DSGVO werden teilweise hohe Bußgelder fällig. „Gemäß der DSGVO muss je nach Schwere des Verstoßes mit einem Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Vorjahresumsatzes gerechnet werden“, erläutert der Jurist.
Wenn ein Mitarbeiter für eine Datenschutzverletzung verantwortlich ist, kann dies eine Abmahnung oder (in schwerwiegenden Fällen) sogar eine fristlose Kündigung nach sich ziehen. „Welche arbeitsrechtliche Sanktion angemessen ist, hängt von dem Grad des Verschuldens ab. Fahrlässiges Verhalten kann dabei zu einer Abmahnung führen, während böswilliger Datendiebstahl in der Regel mit einer fristlosen Kündigung und sogar Schadenersatzansprüchen gegen den Arbeitnehmer enden kann.“
Redliche Mitarbeiter sollten sich hier aber nicht entmutigen lassen: Einen fahrlässigen Datenschutzverstoß zu melden, sollte normalerweise keine sehr schlimmen Folgen für den Mitarbeiter haben. Böswilliges Verschweigen dürfte dagegen meistens als vorsätzliches Verhalten zu werten sein mit den entsprechenden Folgen.
Schadensersatzansprüche bei Datenschutzverstoß oder Datenleck
Wer von einem Datenleck betroffen ist, hat unter bestimmten Umständen das Recht, Schadensersatz für den erlittenen materiellen oder immateriellen Schaden zu fordern. Der Anspruch entsteht beispielsweise infolge finanzieller Verluste, einer Rufschädigung oder dem Verlust von persönlichen Informationen. Selbst gegenüber Unternehmen wie Facebook, die für ihre erfolgreichen Big-Data-Geschäftskonzepte bekannt sind, kam es in der Vergangenheit bereits zu solchen Schadensersatzklagen aufgrund eines vorangegangenen Datenschutzverstoßes.
Können aus Datenpanne oder Datenleck Schmerzensgeldansprüche entstehen?
In bestimmten Fällen können Betroffene nach einem Datenleck sogar Schmerzensgeldansprüche geltend machen. Das Schmerzensgeld ist dafür vorgesehen, den erlittenen immateriellen Schaden auszugleichen, der beispielsweise durch Verletzung der Privatsphäre, eine hohe emotionale Belastung oder Reputationsschäden entstanden ist.
Die genaue Höhe des Schmerzensgeldes hängt von verschiedenen Faktoren ab, wie der Schwere des Verstoßes, dem Ausmaß des erlittenen Schadens und den geltenden Gesetzen. Es ist wichtig zu beachten, dass die Erfolgsaussichten für jeden Fall individuell bewertet werden müssen. Erst kürzlich wurde einem Facebook-Nutzer ein Schmerzensgeld von 300 Euro zugesprochen, nachdem seine persönlichen Daten durch eine Datenpanne im Jahr 2021 unrechtmäßig veröffentlicht wurden.
Übrigens: Für einen kostenlosen Datenleck-Check möglicher Schadensersatzansprüche im Falle des Facebook Datenlecks und Deezer Datenlecks steht ROLAND Versicherten unser Kooperationspartner LegalHero zur Verfügung.
Dieser Artikel wurde ursprünglich am 04. September 2023 veröffentlicht um am 12. Juni 2024 aktualisiert (Haftungsausschluss).
Unser Partneranwalt
Rechtsanwalt Clemens Adori ist Partner der Kanzlei SCHULZ KLUGE PARTNER in Berlin. Er ist Fachanwalt für Urheber- und Medienrecht. Weitere Rechtsgebiete sind IT-Recht, Gewerblicher Rechtsschutz/Markenrecht sowie Steuerberatung. Zudem ist er Mitglied der Gutachterkommission und des Beschwerdeausschusses der Freiwilligen Selbstkontrolle Multimedia (FSM e. V.). SCHULZ KLUGE PARTNER ist eine Partnerschaft von spezialisierten Rechtsanwälten, die unternehmerische wie private Mandaten europaweit beraten und vertreten.
Clemens Adori
Kanzlei SCHULZ KLUGE PARTNER