Datenleck und Rechtsschutzversicherung: Schadensersatz erhalten

Gerade in den letzten Jahren wurden zahlreiche Datenlecks insbesondere bei großen, international tätigen Konzernen bekannt. Erwähnenswert sind hier insbesondere die Datenpannen bei Facebook beziehungsweise Meta, Deezer und dem sozialen Karrierenetzwerk LinkedIn. 

All diese Unternehmen sind auch in Deutschland aktiv und fallen damit – wie auch in anderen EU-Staaten – unter die Regelungen der Datenschutz-Grundverordnung. Wer von einem Datenleck betroffen ist, hat nach Artikel 34 DSGVO umfangreiche Auskunftsansprüche gegen das jeweilige Unternehmen. Kommt der jeweilige Konzern seinen Auskunfts- und Pflichten zur Schadensbegrenzung nicht nach, besteht ein Anspruch auf Schadensersatz nach Artikel 82 DSGVO. 

Der Haken:

Viele Anbieter setzen Schadensersatzansprüche aufgrund von Datenlecks nur mit einer Rechtsschutzversicherung der Betroffenen durch. Fehlt es an einer solchen Police oder wurde sie zu spät abgeschlossen, ist eine Vertretung häufig nicht möglich. 

Werfen wir zunächst aber einen Blick auf die drei größten und bekanntesten Datenlecks der vergangenen Jahre!

Die Facebook-Datenpanne: Mehr als 530 Millionen Userdaten im Internet veröffentlicht 

Im April 2021 wurde das Facebook-Datenleck weltweit bekannt. Hacker haben hierbei rund 530 Millionen Nutzerdaten durch das sogenannte Scraping, eine Schwachstelle in der Suchfunktion des sozialen Netzwerks, abgegriffen. Betroffen sind auch rund 6 Millionen Menschen aus Deutschland, die ihre Daten im Facebook-Account hinterlegt haben. 

Die tatsächliche Datenpanne bestand allerdings darin, dass auch die nicht öffentlich dargestellten Informationen in fremde Hände gelangten. So kamen Kriminelle, die User beispielsweise durch perfide Betrugsmaschen um ihr Geld bringen wollten, über das Darknet an Handynummern und E-Mail-Adressen, verbunden mit dem Namen der Userin oder des Users. Betroffene erhalten seitdem gefälschte SMS vom Zoll, Anrufe aus dem Ausland oder Werbe-Mails. 

Facebook muss Betroffene nach Artikel 34 DSGVO umfassend über das Datenleck und die individuellen Auswirkungen informieren. Dieser Verpflichtung ist der Konzern, das zeigen zahlreiche Fälle, überwiegend nicht nachgekommen. So haben beispielsweise die Landgerichte Stuttgart, München und Chemnitz den Meta-Konzern zur Zahlung von Schadensersatz nach Artikel 82 DSGVO verurteilt. 

Das Deezer-Datenleck: bedeutendes Partnerunternehmen gehackt 

Im Jahr 2019 wurden zahlreiche Userinnen und User des Musik-Streamingdienstes Deezer ebenfalls Opfer einer Datenpanne. Hacker griffen die sensiblen Daten von einem Partnerunternehmen, das unter anderem Name, Anschrift, Geburtsdatum und Kontaktinformationen speicherte, ab. So gelangten rund 230 Millionen Datensätze in falsche Hände. Die Folgen für die Betroffenen sind mit denen des Facebook-Datenlecks vergleichbar. 

Auch Deezer kommt seinen Informationspflichten nach Artikel 34 DSGVO nur unzureichend bis gar nicht nach. Hieraus resultiert ein Anspruch auf Schadensersatz nach Artikel 82 DSGVO, den zahlreiche Gerichte Usern bereits zugesprochen haben. 

LinkedIn-Datenpanne – wie 93 % der Userdaten ins Darknet gelangten

Auch das Karrierenetzwerk LinkedIn wurde im Jahr 2021, konkret im Juni dieses Jahres, Opfer von Angriffen. Die Hacker nutzten eine Schwachstelle in verschiedenen Schnittstellen, sogenannten APIs, gezielt aus, um rund 93 % der Daten sämtlicher User auf der ganzen Welt abzugreifen. Auch diese sensiblen Informationen wurden im Darknet veröffentlicht und insbesondere an Kriminelle weiterverkauft. 

Schadensersatzforderungen fallen in der Regel unter das allgemeine Zivilrecht, auch wenn sie den Daten- oder Verbraucherschutz betreffen. Die meisten Rechtsschutzversicherungen leisten daher auch bei einem Datenleck, es gibt aber eine wesentliche Einschränkung. Denn nach den jeweiligen Versicherungsbedingungen muss die Versicherung regelmäßig bereits bestanden haben, als es zu dem entsprechenden Vorfall kam.

Dies bedeutet im Umkehrschluss:

Wird die Rechtsschutzversicherung erst nach Eintritt des Datenlecks abgeschlossen, sind die entsprechenden Streitigkeiten nicht vom Versicherungsschutz umfasst.

„Alte“ Rechtsschutzversicherungen sind im Hinblick auf Datenlecks und -pannen daher mitunter Gold wert. Selbst wenn Sie die Police bislang nie benötigt haben, kann sie nun eine echte Hilfe werden. Denn die meisten Anbieter, die ihre Kunden bei Datenpannen verteidigen, setzen eine entsprechende Versicherung voraus. Diese muss im Vorfeld eine Deckungszusage erteilen, also schriftlich bestätigen, dass sie die anfallenden Verfahrenskosten übernehmen wird. 

Viele Betroffene haben allerdings keine Rechtsschutzversicherung abgeschlossen oder sich erst nach Bekanntwerden der Datenlecks zum Abschluss entschieden. Sie können von einem Großteil der Anbieter nicht vertreten werden.

Mit helpcheck kann Ihnen das nicht passieren. Wir übernehmen die Vertretung bei Datenlecks auch dann, wenn Sie keine Rechtsschutzversicherung abgeschlossen haben. Dabei überprüfen unsere Partneranwälte für Datenschutz- und Zivilrecht zunächst die Rechtslage. Bestehen realistische Erfolgsaussichten, setzen wir Ihre Ansprüche nach der DSGVO vor Gericht durch.