Nahezu alle deutschen Medien haben am Wochenende über das angebliche WhatsApp-Datenleck berichtet: Die Daten von 6 Millionen deutschen WhatsApp-Nutzern samt ihrer Handynummern werden gerade in einschlägigen Foren für 2000 EUR zum Kauf angeboten. Rechtsanwalt Christian Solmecke von WBS.LEGAL klärt auf.

Sie heißen Heidi, Laura, Daniel, Nico & Louis und tauchen genau in dieser Reihenfolge in einem Datensatz auf, der angeblich sechs Millionen deutsche WhatsApp-Nutzer samt ihrer Handynummern zeigen soll. Der Datensatz wird in einschlägigen Foren gerade für 2000 € zum Kauf angeboten. Nahezu alle deutsche Medien haben am Wochenende darüber berichtet. Das Problem nur: Es gibt kein WhatsApp-Datenleck!

Warum? Weil genau diese Heidi, Laura, Daniel, Nico & Louis in der gleichen Reihenfolge auch in einem (tatsächlichen) WhatsApp-Facebook-Datenleck von April 2021 auftauchen. Offenbar haben Scherzbold oder windige Betrüger sich das Facebook-Datenleck aus dem Darknet heruntergeladen, um viele Informationen (die nur bei Facebook verfügbar sind) gekürzt und schön verpackt als neues „WhatsApp-Datenleck“ angeboten.

Über das Forum, in dem die aktuellen Daten zum Kauf angeboten werden, sind wir mit dem vermeintlichen Hacker in Kontakt getreten. Er hat uns ein Sample von hunderten Datensätzen aus dem angeblichen WhatsApp-Datenleck zur Verfügung gestellt. Das Erstaunliche: Die Reihenfolge der Betroffenen ist komplett identisch mit der Reihenfolge der Opfer aus dem Facebook-Datenleck von April 2021.

Einzig und allein ist auffällig, dass ab und an Namen fehlen, ansonsten sind sämtliche Daten gleich. Die Betroffenen sind (das ergaben Stichproben) Nutzer von WhatsApp, das ist allerdings angesichts der gigantischen Marktabdeckung von WhatsApp bei den Messenger-Diensten kaum verwunderlich.

„Es liegt also der Schluss nahe, dass ein WhatsApp-Datenleck schlicht nicht existiert und es sich bei der massiven Berichterstattung vom Wochenende um eine gigantische Zeitungsente handelt“, so Rechtsanwalt Christian Solmecke von der Kölner Medienrechtskanzlei WBS.LEGAL.

Hier zwei geschwärzte Datenbank-Auszüge, die aufzeigen, dass es sich um die identischen Datensätze handelt, die aktuell lediglich „bereinigt“ wurden.

Was allerdings real existiert, ist das Facebook-Datenleck. Das hat nicht zuletzt das gestern gegen den Meta-Konzern verhängte Bußgeld in Höhe von 265 Millionen € seitens der irischen Datenschutzbehörden gezeigt. Die Aufsichtsbehörde sah es als erwiesen an, dass Meta nicht sorgsam mit den Daten seiner Kunden umgegangen ist und das Scraping und Abrufen von Millionen Kundendaten und Handynummern hätte verhindern können.

„Genau diesen Vorwurf machen wir dem Meta-Konzern schon seit den ersten Klagen, die wir Ende letzten Jahres losgeschickt haben. Mittlerweile vertreten wir über 10.000 Mandanten gegen Meta, die vom Facebook-Datenleck betroffen sind und haben mehr als 3000 Klagen an allen über 100 Landgerichten in Deutschland eingereicht. Aktuell gibt es für unsere Mandanten drei Gerichtsentscheidungen die ihnen einen Schadenersatz in Höhe von 1000 € zugesprochen haben. Neben dem Bußgeld der irischen Datenschutzbehörden ist dieser Schadenersatz, der sich aus Art. 82 DSGVO ergibt, die richtige Konsequenz, um den Betroffenen des Datenlecks hier zu ihrem Recht zu verhelfen. Klar ist: Ob allein der Datenschutzverstoß (aus dem oft ein großes Unwohlsein der Betroffenen folgt) schon zu einem Schadenersatz führt, ist höchstrichterlich noch nicht geklärt worden. Diese Fragen hängen gerade beim Europäischen Gerichtshof. Wir sind allerdings zuversichtlich, dass den ersten Gerichtsentscheidungen in Deutschland weitere Landgerichte folgen werden. Die von den irischen Behörden verhängten Bußgelder unterstützen uns in unserer Auffassung, dass Facebook hier inhaltlich Fehler gemacht hat und den Betroffenen zum Schadenersatz verpflichtet ist“, erläutert Anwalt Solmecke.

Wer schnell überprüfen will, ob er vom Facebook-Datenleck betroffen ist, kann unseren Datenleck-Checker nutzen.

Checken Sie hier, ob Sie betroffen sind

Klicken Sie auf den folgenden Link und prüfen Sie dort zunächst ganz einfach, ob Sie betroffen sind:

Bitte geben Sie Ihre Mobilnummer im Internationalen Format an, beginnend mit +49, ohne Bindestriche und ohne Leerzeichen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

Was kann Ihnen als Betroffenen passieren?

Im aktuellen WhatsApp-Fall drohen Betroffenen einerseits ungebetene Kontaktaufnahmen, die brandgefährlich sein können. Anderseits können z.B. auch unseriöse Firmen die Daten für Marketingzwecke verwenden. Sollten Sie also Nachrichten von Unbekannt erhalten, ist derzeit daher dringend Vorsicht geboten. Dies gilt umso mehr, wenn die Nachrichten Links enthalten oder gar direkt um Geldüberweisungen gebeten wird. In diesen Fällen sollte Sie die Nummer umgehend blockieren und keinesfalls reagieren.

Kriminelle nutzen Datenlecks wie das aktuelle bei WhatsApp, um hochsensible personenbezogene Daten und generieren und E-Mails oder SMS zu versenden, um Schadsoftware auf Computern oder Handys zu installieren. Letztlich geht es den Kriminellen zumeist um das Abgreifen Ihres Geld. 

Eine ganz aktuelle umfassende Cybercrime-Studie des BKA kam zudem gerade erst zu dem Ergebnis, dass insbesondere im Deliktsbereich Cybercrime viele Menschen Opfer von Straftaten werden. Etwa 14 Prozent der Bevölkerung ab 16 Jahren ist in den zwölf Monaten vor der Befragung Opfer eines Cybercrimedeliktes wie etwa Waren- oder Dienstleistungsbetrug online oder dem Missbrauch persönlicher Daten bei der Nutzung des Internets geworden. Der Bericht zeigt deutlich, dass die Gefahren real sind und keinesfalls lapidar abgetan werden sollten.

Haftung für Datenleck

Grundsätzlich hat ein Datenverarbeiter bei einer Datenpanne die bußgeldbewehrte Pflicht, die Betroffenen zu informieren. Ob die betroffenen Nutzer von der Datenpanne informiert werden müssen, richtet sich nach Art. 34 DSGVO. In Art. 34 DSGVO ist vorgesehen, dass betroffene Personen von den Verantwortlichen (zB WhatsApp, Facebook) „unverzüglich“ von der Verletzung zu unterrichten sind. Dies gilt aber nur dann, wenn von der Verletzung „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ ausgeht. Die Informationspflicht ist zudem ausgeschlossen, wenn Unternehmen wie WhatsApp oder Facebook sofort Maßnahmen ergriffen haben, die die Sicherheit der Daten wieder herstellen. Ob die Voraussetzungen des Art. 34 vorliegen, wird nun zu prüfen sein.

Warum kann mir Schadensersatz zustehen?

Auf der Grundlage von Art. 15 der Datenschutzgrundverordnung (DSGVO) können Nutzer Auskunft gegenüber dem Verantwortlichen (z.B. WhatsApp, Facebook) verlangen, ob man vom Datenleck betroffen sind. Erteilt das Unternehmen keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen im Zusammenhang mit dem Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.

Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse.