Datenlecks bei Mastercard, Paypal und Facebook – was der Diebstahl für Verbraucher bedeutet

30. Januar 2023
Auch Paypal meldete nun ein Datenleck und damit den Diebstahl von ca. 35.000 Kundendaten. Mit einem solchem Patzer ist das Unternehmen jedoch nicht allein. Der VSVBB klärt darüber auf, welche Folgen mit den Datenlecks einhergehen können.

Der weltweit agierende Zahlungsdienstleister Paypal meldete bereits im Dezember letzten Jahres den Abfluss von ca. 35.000 Datensätzen seiner Kunden durch einen Hackerangriff. Nach Angaben des Unternehmens seien die Daten bereits zwischen dem 6. und 8. Dezember geraubt worden.

Verschiedene Zahlungsdienstleister von Cyberangriffen betroffen

Mit diesem Fall steht Paypal jedoch keineswegs allein. Vor allem Dienste rund um die Bezahlung geraten regelmäßig in das Visier von Hackern. So wurden neben vielen weiteren auch bereits der internationale Zahlungsdienst Mastercard, die Online Bank Revolut sowie der Online-Broker Scalable Capital Ziel von Hackerangriffen.

Bei dem bereits 2019 erfolgten Hackerangriff auf Mastercard konnten ganze 100.000 Datensätze von Premium-Kunden von Hackern gestohlen werden. 2.000 der Betroffenen klagten hieraufhin gegen den Dienstleister. Die Klage endete in einem Vergleich. Fälle, in welchen mit diesen Daten tatsächlich Zahlungen durch die Hacker veranlasst wurden, sind bisher nicht bekannt.

Auch im Falle der Online-Bank Revolut wurde am 11. September 2022 bekannt gegeben, dass Hacker sich Zugang zu Daten von ca. 50.000 Kundendaten verschafft haben. Auch hier kam es bisher jedoch nicht zu Vermögensabflüssen durch das Leck.

Datenlecks und Sicherheitslücken

Nicht immer kann ein Unternehmen den Diebstahl von Daten verhindern, häufig ermöglichen jedoch vermeidbare Sicherheitslücken den Zugriff Dritter auf die Daten der eigenen Kunden.

So kann insbesondere die Lagerung der Daten öffentlich erreichbaren Servern Hackern die Arbeit deutlich erleichtern. Dies war etwa der Fall bei einem Schnittstellendienstleister, welcher für die Handelsriesen Media Markt, Otto und Kaufland die Abwicklung des Online-Handelns betrieb. Dieser speicherte Datensätze von ca. 700.000 Nutzern über Jahre hinweg ungeschützt.

Aufgrund der langen Zeitspanne in welcher das Leck bestand, lässt sich jedoch weder feststellen, ob Daten entwendet oder gar eingesetzt wurden.

Erbeutete Daten ermöglichen Identitätsdiebstahl und andere Betrugsmaschen

Gerade sensible Daten bieten Tätern viele Möglichkeiten, auf das Geld der Betroffenen zuzugreifen oder diese zu täuschen. Neben dem vom VSVBB bereits beleuchteten Phänomen des Identitätsdiebstahls, sind auch Phishing-Mails eine beliebte Einsatzmethode.

Bei Letzteren können die Daten verwendet werden, um gegenüber dem Betroffen den Anschein zu erwecken, er kommuniziere mit dem Verkäufer beziehungsweise Dienstleister. So können sich Betrüger etwa als Bank des Betroffenen ausgeben und diesen über einen Link in der Mail zur Eingabe von Kontonummer und Zugangsdaten auffordern.

Teilweise treten die Betrüger jedoch auch gegenüber anderen mithilfe der Daten als der Betroffene auf, um weitere Daten zu erbeuten.

Schadensersatz bei Datendiebstahl?

Wann es bei Datendiebstahl im Detail zu Schadensersatzansprüchen der Betroffenen kommen kann, wird durch die Gerichte derzeit noch nicht einheitlich beurteilt.

Auswirkungen auf die Erfolgschancen hat jedoch vor allem, ob durch das in Rede stehende Datenleck tatsächlich ein Schaden verursacht wurde. Dies wäre etwa dann der Fall, wenn auf Grundlage der erbeuteten Daten Überweisungen getätigt oder diese etwa veröffentlicht wurden und der Betroffene hierdurch im Wirtschaftsleben oder seinem Ruf beeinträchtigt wurde.

Außerhalb dieses Bereiches scheinen Ansprüche vor allem bei sehr sensiblen Daten, etwa denen einer Krankenkasse (so etwa das Oberlandesgericht (OLG) Düsseldorf (Urteil vom 28.10.2021, Az. 16 U 275/20)), denkbar.

Ob jedoch bei jedem Datenschutzverstoß bereits ein Schadensersatz winkt, erscheint fragwürdig. Seitens der Oberlandesgerichte wurde ein solche Handhabung bisher stets abgelehnt (etwa: OLG Stuttgart, Urteil vom 31.03.2021, Az. 9 U34/21; OLG München, Urteil vom 08.12.2020, Az. 18 U 5493/19).

Zusammenfassung

Die Bedeutung von Datensicherheit wächst mit der zunehmenden Digitalisierung unserer Gesellschaft rasant. Auch kriminelle haben den Wert von Daten bereits erkannt und versuchen großflächig solche zu erbeuten.

Für Verbraucher bedeutet dies vor allem sparsam bei der Eingabe von Daten zu bleiben und sich zu schützen, indem etwa Passwortdaten stets nur für einen Dienstleister genutzt werden.  Die Entwicklung der Rechtsprechung in Sachen Schadensersatz bleibt abzuwarten. Versprechungen von Rechtsdienstleistern, unabhängig von der Art des Datenschutzverstoßes Schadensersatzansprüche durchzusetzen, erscheinen vor der derzeitigen Rechtslage jedoch fragwürdig.