Eines der größten Flugtracking-Unternehmen der Welt hat seine Nutzer vor einem möglichen Datenverlust gewarnt. Hintergrund ist laut Medienberichten ein interner Konfigurationsfehler.
Der Flugtracking-Dienst Flightaware aus Houston, Texas (USA) musste seinen Nutzern einen Datenschutzvorfall nennen. Dabei handelt es sich nach ersten Informationen um einen internen Fehler und keinen Angriff von externen Hackern. Am 25. Juli wurde der Meldung des Unternehmens nach ein „Konfigurationsfehler“ entdeckt, durch den versehentlich persönliche Informationen von Flightaware-Nutzerdaten offengelegt worden seien. Das Unternehmen ist auf Luftfahrt-Software und -Datendienste spezialisiert und betreibt eine Website, die Nutzern eine globale Verfolgung von Verkehrs- und Privatflügen ermöglicht. Eine Vielzahl der etwa 10 Millionen monatlichen sind nun von der Panne betroffen. Die Daten waren öffentlich einsehbar.
Zu den betroffenen Daten zählen nach Angaben des Unternehmens Benutzer-IDs, Passwörter und E-Mail-Adressen sowie – je nach Registrierung – auch vollständige Namen, Liefer- und Rechnungsadressen, IP-Adressen, Social-Media Konten, Telefonnummern, Geburtsjahre und die letzten vier Ziffern von Kreditkartennummern. Ob die hinterlegten Passwörter unverschlüsselt einsehbar waren, ist nicht bekannt. Außerdem sollen die Berufsbezeichnung und Branche, Pilotenstatus wie auch die Nutzeraktivitäten bei Flightaware abrufbar gewesen sein.
Erfasst sind wohl auch Informationen darüber, ob die Benutzer ein eigenes Flugzeug besitzen und Pilotenstatus genießen. Laut Medienberichten und der behördlichen Meldung durch Flightaware sollen zudem Sozialversicherungsnummern betroffen sein. Ob die Daten tatsächlich eingesehen oder ausgelesen wurden, ist nicht bekannt. Nach Angaben mehrerer Tech-Magazine soll Flightaware gegenüber der Datenschutzbehörde bereits das Jahr 2021 als Startpunkt der Panne benannt haben. Der Vorfall ist offenbar auf einen „Konfigurationsfehler“ zurückzuführen, der nach Entdeckung umgehend behoben worden sein soll.
Nutzer sollten jetzt in jedem Fall ihre Passwörter entsprechend ändern.
Datenleck bei Twitter (X):
Jetzt prüfen, ob dir Sofort-Entschädigung zusteht. Ohne Kosten, ohne Rechtsschutzversicherung.
Jetzt E-Mail-Adresse eingeben und sofort herausfinden, ob du vom Datenleck betroffen bist:
Was gilt, wenn man von einem Datenleck betroffen ist?
Auf der Grundlage von Art. 15 DSGVO können Nutzer Auskunft von der vom Datenleck betroffenen Plattform verlangen, ob sie vom Datenleck betroffen sind. Erteilt diese sodann keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen im Zusammenhang mit dem jeweiligen Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.
Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse.
Der EuGH hatte hierzu Ende 2023 in einem Urteil Spektakuläres entschieden, das die Rechte von Millionen von Verbrauchern in der EU enorm stärkt. Im Juni 2024 hatte er dann in zwei weiteren Urteilen direkt nachgelegt. Wurden die eigenen Daten infolge eines Hackerangriffs missbraucht, so stehen die Chancen, dafür immateriellen DSGVO-Schadensersatz zu erhalten, besser denn je. Denn zum einen reicht bereits die Befürchtung eines Datenmissbrauchs aus, um Schadensersatz zu erhalten. Und zum anderen können Unternehmen, deren Systeme gehackt wurden, praktisch kaum noch vortragen, dass sie daran keine Schuld tragen.
the/agr