Ende Mai 2024 sind nach eigenen Angaben der Hackergruppe „ShinyHunters“ über 1,5 Terabyte an Kundendaten durch einen Cyberangriff ins Darknet geflossen. Betroffen sind die rund 400 Kundenunternehmen des kalifornischen Cloudanbieters Snowflake, der unter anderem auch Verträge mit Adobe, Mastercard, EA, Canva und HP unterhält.

Bisher meldeten die amerikanische Ticketvertriebsplattform Ticketmaster sowie die spanische Bank Santander, dass Kundendaten kompromittiert worden sind. Im Falle von Ticketmaster sind etwa 560 Millionen Kunden betroffen, bei Santander etwa 30 Millionen aus Chile, Spanien und Uruguay. Zu den offengelegten Daten gehören Namen, E-Mailadressen, Telefon-, Kreditkarten- und Kundennummern und Kontostände, die zum Teil über 20 Jahre zurückreichen.

Zuletzt bot ShinyHunters die Daten im „BreachForum“ zum Verkauf an. Für die Ticketmaster-Daten verlangte die Gruppe 500.000 Dollar, für die gestohlenen Santander-Bankdaten wiederum 2 Millionen Dollar. Die Echtheit der Angebote ist allerdings noch nicht gänzlich erwiesen.

---

Datenleck bei Twitter (X): Jetzt prüfen, ob dir Sofort-Entschädigung zusteht. Ohne Kosten, ohne Rechtsschutzversicherung.

Jetzt E-Mail-Adresse eingeben und sofort herausfinden, ob du vom Datenleck betroffen bist:

---

Schwachstellen bei Snowflake

Nach aktuellen Informationen gelang der Angriff über den gemeinsamen Cloud-Computing Dienstleister Snowflake. Durch das Einschleusen von Schadprogrammen hatte ShinyHunters mehrere Login-Daten von Snowflake Mitarbeitern ausgelesen, für die keine ausreichende Multi-Faktor-Authentifizierung (MFA) bestand. Für das Auslesen der Login-Daten war nach Angaben der Gruppe zuvor ein Trojaner in das System eines weiteren IT-Dienstleister namens EPAM eingeschleust worden, der als „Partner“ von Snowflake dessen Analyse-Tools an Kunden weiterempfiehlt.

Sowohl Snowflake als auch EPAM bestreiten, die ausschlaggebende Schwachstelle in diesem kolossalen Datenleck gewesen zu sein. Laut einer Stellungnahme von Snowflake sei nicht das eigene System, sondern einzelne Kundenkonten für die Sicherheitslücke verantwortlich. Santander und Snowflake arbeiten für die Aufklärung eng mit den Behörden zusammen.

Auskunfts- und Schadensersatzansprüche möglich

Durch den Verkauf der Daten in Hackerforen sind persönliche Daten besonders stark gefährdet. Das Risiko für gezieltes Phishing und Identitätsdiebstahl ist in solchen Fällen besonders hoch. Umso wahrscheinlicher ist es damit, dass Betroffene in der EU Ansprüche aus der DSGVO durchsetzen können.

Nach Art. 15 DSGVO ist jeder potenziell Betroffene zunächst immer berechtigt, Auskunft darüber zu verlangen, ob seine Daten von dem Angriff betroffen waren. Erteilt das Unternehmen dann keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen im Zusammenhang mit dem Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.

Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse.

Der Europäische Gerichtshof (EuGH) hat die Rechte von Verbrauchern in Sachen immaterieller Schadensersatz nach der Datenschutzgrundverordnung (DSGVO) in den letzten Monaten mehrfach massiv gestärkt. So entschied er erst im Juni 2024, dass für einen Anspruch auf immateriellen Schadensersatz nach der DSGVO Betroffene nicht nachweisen müssen, dass ihre Daten tatsächlich illegal weitergegeben wurden bzw. dass ein Datendiebstahl auch tatsächlich zu Identitätsdiebstahl bzw. -betrug geführt hat (Urt. v. 20.06.2024, Rs. C-590/22). Wie schon in vorherigen Urteilen betonte der EuGH, dass allein die Befürchtung, es könne zu solchen Vorfällen kommen, reichen könne, um einen Schaden anzunehmen. Und ein solcher Schaden begründet nun einmal regelmäßig einen Anspruch auf Schadensersatz!

Ebenfalls wichtig (was der EuGH bereits in einem vorherigen Urteil betonte): Unternehmen, die unsauber mit Daten umgegangen sind, können den Schadensersatz nicht ‘drücken’ mit der Begründung, ihnen sei nur ein geringes Verschulden für einen Hack bzw. ein Leak anzulasten. Denn die Schwere des Verstoßes sei irrelevant für die Höhe des Schadensersatzes.

Schließlich zeigt sich in der Urteilsbegründung auch, dass ein DSGVO-Verstoß, der nur zu einem geringen immateriellen Schaden führt, dennoch regelmäßig einen Anspruch auf Schadensersatz begründet. In diesem Fall würde er dann einfach nur geringfügiger ausfallen – was ja völlig logisch ist.