Fast 600 Millionen Datensätze der amerikanischen Kartenverkaufsplattform Ticketmaster und der spanischen Bank Santander sind betroffen von einem Cyberangriff von Ende Mai 2024. Die Hackergruppe „ShinyHunters“ selbst hat sich zu dem Hackangriff bekannt. Das Datenleck sei zurückzuführen auf eine Sicherheitslücke bei der gemeinsamen Cloud-Datenplattform Snowflake. Betroffen sind ca. 400 Kundenunternehmen des kalifornischen Cloudanbieters, darunter auch Unternehmen wie Adobe, Mastercard, EA, Canva und HP.
Nach eigenen Angaben haben die Hacker durch Einschleusen von Schadprogrammen mehrere Login-Daten ausgelesen, für die keine Multi-Faktor-Authentifizierung erforderlich gewesen sei. Für das Auslesen sei ein Trojaner in das System eines weiteren IT-Dienstleisters „EPAM“ eingeschleust wurden.
Die beiden Dienstleister weisen jedoch jegliches Verschulden von sich. Das Datenleck sei nicht auf eine Schwachstelle in ihren Systemen zurückzuführen. Stattdessen sollen die Hacker die Anmeldedaten eines ehemaligen Snowflake-Mitarbeiters, für die wohl keine Zwei-Faktor-Authentifizierung notwendig war, gestohlen und sich somit Zugriff auf die sensiblen Daten verschafft haben.
Dadurch sind 1,5 Terabyte an personenbezogenen Daten der Kunden ins Darknet gelangt und wurden dort im „BreachForum“ zum Verkauf angeboten. Für die Daten von Ticketmaster verlangten die Hacker 500.000 Dollar, für die Satander-Bankdaten lag das Angebot bei 2 Millionen Dollar. Die Daten können Namen, E-Mailadressen, Telefon-, Kreditkarten- und Kundennummern und Kontostände der Kunden, die bis zu 20 Jahre zurückgehen, enthalten.
Was bedeutet dies für die betroffenen Personen?
Die abgegriffenen personenbezogenen Daten sind durch den Verkauf in das sog. Darknet gelangt, sodass das Risiko für gezieltes Phishing und Identitätsdiebstahl deutlich gesteigert wird. Damit könnten beispielsweise Geschäfte zulasten der betroffenen Personen getätigt werden. Aufgrund dessen sollten Betroffene prüfen, ob sie aus der Datenschutz-Grundverordnung (DSGVO) unter anderem Auskunftsansprüche und Schadensersatzansprüche geltend machen.
Aus Art. 15 DSGVO ergibt sich der Auskunftsanspruch der Betroffenen. Ihnen steht es zu, Auskunft darüber zu erlangen, ob die sie betreffenden personenbezogenen Daten durch den Cyberangriff in die Hände von Kriminellen gelangt sind. Falls das Unternehmen keine Auskunft oder eine unvollständige Auskunft erteilt, könnten weitere Ansprüche denkbar sein, etwa auch Schadensersatzansprüche aus Art. 82 DSGVO. Darüber hinaus könnten andere Pflichtverletzungen, die mit dem Datenleck in Verbindung stehen, u.a. Ansprüche begründen.
Der Gerichtshof der Europäischen Union (EuGH) entschied im Juni 2024 in einem anderen Fall (Urt. V. 20.06.2024, Rs. C-590/22), dass der Betroffene nicht nachweisen muss, dass es tatsächlich zu einem Identitätsdiebstahl gekommen ist:
„Der Gerichtshof hat entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann.“
Voraussetzung für die Geltendmachung von Schadensersatz ist aber nach Art. 82 Abs. 1 DSGVO, dass bei den Geschädigten ein materieller oder immaterieller Schaden entstanden ist.
Hierzu und insgesamt zu Datenschutzfragen beraten und vertreten wir Sie.
"Datenleck bei Santander und Ticketmaster"