Im dritten Quartal 2024 kam es beim deutschen Brillendiscounter Brillen.de zu einem massiven Sicherheitsvorfall, bei dem rund 3,5 Millionen Kundendatensätze ungeschützt im Internet zugänglich gewesen sein sollen. Betroffen waren Kundendaten aus Deutschland, Spanien und Österreich, darunter Namen, Adressen, E-Mails, Rufnummern, Geschlechtsangaben, Geburtsdaten sowie detaillierte Bestellinformationen inklusive Zahlungsbeträgen, Rechnungsnummern und mehr. Rund 2,4 Millionen Datensätze stammen aus Deutschland. Die Ursache des Vorfalls war eine fehlende Authentifizierung, was auf einen Konfigurationsfehler zurückzuführen war, der es externen Dritten ermöglichte, auf die Daten zuzugreifen.

Reaktion von Brillen.de

Brillen.de wurde nach Entdeckung umgehend über das Leck informiert. Daraufhin sei zwar nach zwei Tagen der Datenzugang gesperrt worden, doch weder der Hinweisgeber Cybernews sei informiert worden, noch habe der Datenschutzbeauftragte von Brillen.de sowie die zuständige Datenschutzbeauftragte des Landes Brandenburg bis zur medialen Berichterstattung Kenntnis über den Vorfall gehabt. Inzwischen hat das Unternehmen reagiert und betonte in einer öffentlichen Stellungnahme, dass die Sicherheitslücke umgehend geschlossen worden sei und keine Hinweise darauf vorliegen würden, dass Daten entwendet wurden. Informationen darüber, wie lange die Daten abrufbar waren und ob diese in der Zwischenzeit von Suchmaschinen indiziert wurden, ist derzeit noch ungewiss. Auch bleibt unklar, ob alle betroffenen Kunden vollständig informiert wurden und welche weiteren Maßnahmen zur Verhinderung zukünftiger Vorfälle umgesetzt wurden.

---

Datenleck bei Twitter (X): Jetzt prüfen, ob dir Sofort-Entschädigung zusteht. Ohne Kosten, ohne Rechtsschutzversicherung.

Jetzt E-Mail-Adresse eingeben und sofort herausfinden, ob du vom Datenleck betroffen bist:

---

Rechtliche Implikationen

Für Unternehmen wie Brillen.de bedeutet ein solcher Vorfall weitreichende rechtliche Konsequenzen, insbesondere im Rahmen der DSGVO. Gemäß Art. 33 und 34 DSGVO müssen Unternehmen innerhalb von 72 Stunden nach einem Datenschutzvorfall die zuständigen Aufsichtsbehörden und gegebenenfalls betroffene Personen informieren. Versäumnisse oder Verzögerungen können zu hohen Bußgeldern führen, die sich prozentual am Jahresumsatz orientieren.

Nach Art. 15 DSGVO ist zudem jeder potenziell Betroffene zunächst immer berechtigt, Auskunft darüber zu verlangen, ob seine Daten von der Sicherheitslücke betroffen waren. Erteilt das Unternehmen dann keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen im Zusammenhang mit dem Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.

Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse.

Der Europäische Gerichtshof (EuGH) hat die Rechte von Verbrauchern in Sachen immaterieller Schadensersatz nach der Datenschutzgrundverordnung (DSGVO) in den letzten Monaten mehrfach massiv gestärkt. 

Ebenfalls wichtig (was der EuGH bereits in einem vorherigen Urteil betonte): Unternehmen, die unsauber mit Daten umgegangen sind, können den Schadensersatz nicht ‘drücken’ mit der Begründung, ihnen sei nur ein geringes Verschulden für einen Hack bzw. ein Leak anzulasten. Denn die Schwere des Verstoßes sei irrelevant für die Höhe des Schadensersatzes.

Schließlich zeigt sich in der Urteilsbegründung auch, dass ein DSGVO-Verstoß, der nur zu einem geringen immateriellen Schaden führt, dennoch regelmäßig einen Anspruch auf Schadensersatz begründet. In diesem Fall würde er dann einfach nur geringfügiger ausfallen – was ja völlig logisch ist.