Datenleck: Wie kann ich Schadensersatz erhalten?

STAND 25.10.2023 | LESEZEIT 9 MIN

Bei großen Unternehmen lagern Tausende von Kundendaten. Kommt es zu einem Datenleck, dringen die sensiblen Informationen nach außen – und als Betroffener können Sie Schadensersatzansprüche geltend machen.

Das Wichtigste in Kürze

• Immer wieder kommt es bei großen Unternehmen zu Datenlecks, obwohl die persönlichen Nutzerinformationen laut DSGVO einem besonderen Schutz unterliegen.
• Persönliche Informationen, Passwörter und Bankverbindungen gelangen dabei an die Öffentlichkeit und können von Cyberkriminellen missbraucht werden.
• Wenn Sie von einem Datenleck betroffen sind, haben Sie Anspruch auf Schadensersatz – auch dann, wenn noch kein materieller Schaden entstanden ist.
• Kommt es infolge des Datenlecks zu Spam-Anrufen oder unberechtigten Kontoabbuchungen, erhöht sich Ihr Schadensersatzanspruch.
• Die KLUGO Partner-Anwälte und Rechtsexperten helfen Ihnen dabei, Ihren Anspruch auf Schadensersatz bei Datenlecks geltend zu machen.

So gehen Sie vor, wenn Sie Schadensersatz beim Datenleck erhalten möchten

Zunächst einmal müssen Sie herausfinden, ob Sie von einem Datenleck betroffen sind. Informieren Sie sich daher regelmäßig über aktuelle Datenlecks im Internet. Wird dort ein Unternehmen gelistet, bei dem Sie registriert sind oder ein Nutzerkonto haben, sind Ihre privaten Informationen möglicherweise kompromittiert. Mithilfe eines Datenleck-Checkers können Sie nun herausfinden, ob und in welchem Umfang Sie betroffen sind.

Alternativ können Sie auch direkt die verantwortlichen Unternehmen in die Pflicht nehmen und von Ihrem Auskunftsrecht gemäß Art. 15 DSGVO Gebrauch machen. Konkret heißt das: Unternehmen sind dazu verpflichtet, Ihnen auf Anfrage mitzuteilen, ob und in welchem Ausmaß Sie vom Datenleck betroffen sind. Viele Unternehmen gehen auf Anfragen dieser Art jedoch gar nicht erst ein, um Schadensersatzforderungen zu vermeiden. Mit anwaltlicher Unterstützung können Sie das Auskunftsrecht jedoch zuverlässig durchsetzen.

Sofern bei dieser Abfrage herauskommt, dass Ihre Daten von einem Datenleck betroffen sind, steht Ihnen Schadensersatz zu. Da es sich um einen immateriellen Schadensersatz handelt, können Sie den Anspruch auch dann geltend machen, wenn es noch zu keinem materiellen Schaden kam. Es genügt bereits, dass Ihre sensiblen Daten öffentlich wurden und so potenziell von Cyberkriminellen missbraucht werden können.

Das weitere Vorgehen, um Schadensersatzansprüche wegen eines Datenlecks geltend zu machen, sollten Sie mit einem Anwalt für Schadensersatz besprechen.

Was ist ein Datenleck?

Sobald Sie sich auf einer Plattform registrieren oder in einem Online-Shop bestellen, geben Sie dort sensible Informationen preis – Ihre Postadresse, Kontaktdaten wie E-Mail-Adresse und Telefonnummer und viele weitere Informationen, die unter besonderem Schutz stehen. Von einem Datenleck spricht man, wenn diese sensiblen Daten offengelegt werden. Das kann im Rahmen eines gezielten Hackerangriffs geschehen, der gegen das Unternehmen gerichtet ist, aber auch durch Fehlverhalten des Unternehmens. Neben den persönlichen Nutzerinformationen dringen dabei auch häufig sehr sensible Informationen wie Passwörter und Bankverbindungen nach außen.

Sind Cyberkriminelle erst einmal an die sensiblen Informationen gelangt, drohen verschiedenste Folgen: Viele Betroffene berichten von Spam-Anrufen und Spam-Mails, aber auch unberechtigte Abbuchungen vom Konto oder Identitätsdiebstahl sind mögliche Folgen. Ein Datenleck kann also durchaus verheerende Folgen für Betroffene haben.

Wenn Sie von einem Datenleck betroffen sind, sollten Sie vorsichtshalber alle Zugangsdaten ändern, um einen unberechtigten Zugriff auf Ihre Konten zu vermeiden. Prüfen Sie auch Ihre Kontobewegungen! Zusätzlich können Sie Schadensersatzforderungen gegenüber dem betroffenen Unternehmen geltend machen – auch dann, wenn noch kein materieller Schaden entstanden ist.

Welche Datenlecks gibt es aktuell?

Aktuelle Datenlecks gibt es unter anderem bei diesen Unternehmen:

• Activision
• AOK
• Buchbinder Autovermietung
• Check24
• Crowdfox
• Deezer
• Duolingo
• Facebook und Instagram
• Hood
• Idealo
• Kaufland
• LinkedIn
• MediaMarkt
• Otto
• Twitter
• Tyre24
• WhatsApp

Bin ich von einem Datenleck betroffen?

In den letzten Monaten und Jahren waren viele große Unternehmen von Datenlecks betroffen. In der Regel werden diese schnell öffentlich, sodass Sie sich mithilfe eines Datenleck-Checkers darüber informieren können, ob Sie zu den Betroffenen zählen. Dazu geben Sie dort einfach Ihre E-Mail-Adresse und/oder Telefonnummer ein und erfahren im Anschluss, ob diese Daten öffentlich zugänglich gemacht wurden.

Folgende Plattformen bieten Ihnen die Möglichkeit, Ihre sensiblen Daten zu prüfen und so herauszufinden, ob Sie von einem Datenleck betroffen sind:

• haveibeenpwnd: Diese englischsprachige Plattform legt den Fokus vor allem auf US-Anbieter (z. B. Facebook, Twitter und Instagram) und hilft Ihnen dabei, herauszufinden, ob Sie dort von einem Datenleck betroffen sind. Es genügt, wenn Sie Ihre E-Mail-Adresse für die Überprüfung angeben.
• Hasso-Plattner-Institut: Das deutsche IT-Institut mit Sitz in Potsdam hat ebenfalls einen Datenleck-Check entwickelt, bei dem lediglich die E-Mail-Adresse angegeben werden muss. Sobald Sie dort Ihre Daten eingetragen haben, erhalten Sie das Ergebnis Ihrer Überprüfung per E-Mail.
• Firefox-Monitor: Sofern Sie den Browser Firefox nutzen, können Sie dort ein Profil erstellen, das automatisch nach Datenlecks mit Ihrer E-Mail-Adresse sucht. Ist das Monitoring dauerhaft aktiv, werden Sie automatisch informiert, sobald Ihre sensiblen Daten bei einem Datenleck auftauchen.

Je nach Browser und Endgerät kann es zudem vorkommen, dass Sie beim Einloggen in Ihr Konto bei einem von Datenlecks betroffenen Unternehmen eine automatisierte Warnung erhalten. Dann erhalten Sie eine Benachrichtigung, die Sie darüber informiert, dass Ihr Passwort bei einem Datenleck gefunden wurde. Im Anschluss sollten Sie umgehend einen Datenleck-Check durchführen, um zu erfahren, welches Unternehmen für das Datenleck verantwortlich ist. Allerdings sind nicht zwangsläufig Sie betroffen: Wenn Sie ein häufig verwendetes Passwort nutzen, kann es auch einfach sein, dass dasselbe Passwort wie das Ihre geleakt wurde und Sie selbst gar nicht vom Datenleck betroffen sind.

Prüfen Sie regelmäßig, ob Sie von einem Datenleck betroffen sind. Das ist nicht nur für mögliche Schadensersatzforderungen sinnvoll, sondern auch für die Sicherheit Ihrer persönlichen Daten.

Wann habe ich beim Datenleck Anspruch auf Schadensersatz?

Nach Art. 82 DSGVO steht Ihnen im Falle eines Datenlecks Schadensersatz zu. Der Gesetzgeber spricht hier auch dann von einem Anspruch, wenn noch kein materieller Schaden entstanden ist. Sie müssen also für die Durchsetzung des Schadensersatzanspruchs nicht nachweisen, dass Sie von Spam-Anrufen belästigt werden oder unberechtigte Abbuchungen auf Ihrem Konto stattgefunden haben. Schon die reine Veröffentlichung bzw. Zugänglichmachung Ihrer privaten Informationen kann ausreichen, um Anspruch auf Schadensersatz wegen eines Datenlecks zu haben.

Sofern jedoch ein konkreter Schaden entstanden ist, können Sie nicht nur für die Veröffentlichung Ihrer Daten Schadensersatz erhalten, sondern auch für den Schaden selbst. Auch dieser Schadensersatzanspruch muss natürlich durchgesetzt werden. Um die Chancen zu erhöhen, ist es sinnvoll, dafür einen Fachanwalt an Ihrer Seite zu haben.

Wenn Sie von einem Datenleck betroffen sind und ein immaterieller Schaden entstanden ist, steht Ihnen eine Entschädigung in Höhe von bis zu 5.000 Euro zu, wie Gerichtsurteile in der Vergangenheit bereits gezeigt haben. Gleichwohl hat das OLG Hamm festgestellt, dass bei Datenschutzverstößen zwar durchaus die Konzerne – in diesem Fall Facebook bzw. Meta – haftbar gemacht werden können, der erlittene immaterielle Schaden aber konkret dargelegt werden muss, um eine Schadensersatzforderung durchzusetzen (Urteil 15.08.2023, Az. 7 U 19/23). Gleichlautende Formulierungen, wie man sie in zahlreichen Klagen gegen Meta findet, werden dem Anspruch des individuellen Schadens nicht gerecht.

So hilft Ihnen ein KLUGO Partner-Anwalt weiter

Wenn Sie aufgrund eines Datenlecks Schadensersatz geltend machen möchten, können Sie das Unternehmen selbst zur Zahlung von Schadensersatz auffordern. Meist verläuft diese Herangehensweise jedoch im Sand, da sich das Unternehmen nicht zurückmeldet. Sinnvoller ist es, das Vorgehen gemeinsam mit einem Fachanwalt zu planen, um den Schadensersatz einzufordern. In vielen Fällen genügt es bereits, wenn dem Unternehmen ein offizielles Schreiben vom Anwalt zugestellt wird, um die Schadensersatzforderung zu begleichen.

Im Rahmen der KLUGO Erstberatung informieren wir Sie über den generellen Sachverhalt und die Möglichkeiten, die Ihnen im Rahmen einer Schadensersatzforderung wegen eines Datenlecks offenstehen. Ob Sie im Anschluss die weitere Beratung unserer Rechtsexperten in Anspruch nehmen möchten, um Ihre Ansprüche durchsetzen, entscheiden Sie natürlich selbst.