Viele Plattformen sind von großen Datenlecks betroffen. Nun wurde berichtet, dass der Messengerdienst WhatsApp von einem Datenleck betroffen war und 6 Millionen Telefonnummern geklaut und im Darknet zum Verkauf angeboten wurden. Doch stimmt das überhaupt?

Was genau passiert ist und was Sie dagegen tun können, erfahren Sie auf unserem Blog!

Handynummern für 2000 EUR zum Kauf angeboten!

Verschiedene Medien berichten, dass es Ende November zu einem extrem großen Datenleck bei WhatsApp kam, weil Daten, insbesondere die Handynummern, für 2000 EUR im Darknet zum Kauf angeboten worden. 

In den vergangenen Jahren häufen sich die Meldungen über Datenlecks bei Unternehmen. Oftmals fallen dabei Daten durch sog. Scraping in die Hände der Datendiebe. 

Was ist Scraping?

Beim sog. „Scraping“ (engl. scraping = kratzen/abschürfen) werden Daten von Webseiten extrahiert und gespeichert, damit diese dann analysiert und verwertet werden. Mit dem Begriff „Scraping“ bezeichnet man also technische Verfahren zum Auslesen von Texten aus Computerbildschirmen und Webseiten, die dabei relevante Informationen gezielt extrahieren.

Scraping benutzen zB. auch Reiseportale, wenn man verschiedene Reiseanbieter bei einer Suchmaschine vergleicht. Hier werden zwar keine Passwörter bekannt gegeben, aber dennoch kann mit den Daten Missbrauch betrieben werden. Beispielsweise erhalten viele Nutzer nun Phishing E-Mails oder SMS, wodurch man auf manipulierte Webseiten weitergeleitet wird. Rechtliche Fragen werden vor allem dann aufgeworfen, wenn die Daten in den Arbeitsspeichern vervielfältigt und sogar weiterverwendet werden.

Angeblicher Datenklau – jedoch alte Facebook-Daten 

Nun stellt sich aber schon nach ein paar Tagen heraus, dass es sich bei den Daten um die Daten aus dem Datenleck von Facebook aus dem Jahr 2021 handelt. Zu dem Thema berichteten wir auch hier über das erste Gerichtsurteil, wonach den Betroffenen Nutzern ein Schadenersatzanspruch i.H.v. 1000 EUR zugesprochen wurde. 

Betrüger nutzen Daten zweimal 

Betrüger boten die Daten ein zweites Mal und ohne die Datensätze zu verändern, erneut im Darknet zum Verkauf an. Das flog jedoch schon nach kurzer Zeit auf. Weiterhin werden die Daten der Betroffenen also missbraucht. Soweit es sich um veraltete Kontaktdaten der Betroffenen handelt, können die Opfer des Datenlecks aufatmen. Für alle anderen heißt es, dass jedenfalls keine neuen Daten auf den einschlägigen Seiten kursieren. 

Facebook-Datenleck: Konzern ging nicht sorgsam mit den Nutzerdaten um 

Mittlerweile steht fest, dass der „Meta-Konzern“ nicht sorgsam genug mit den Daten der Nutzer umgegangen ist. Die irische Datenschutzbehörde hat daher gegen Facebook ein Bußgeld i.H.v. 264 Millionen Euro verhängt. 

Ziehen sich Unternehmen aus der Verantwortung?

Oftmals ziehen sich Unternehmen bei Datenlecks aus der Verantwortung. Das Ausmaß der Folgen wächst Unternehmen nämlich schnell über den Kopf. Wir beraten Sie bei Ihren unternehmerischen Meldepflichten, damit Sie als Unternehmen souverän mit einer Datenpanne umgehen können. 

Sobald eine Datenschutzverletzungen i.S.d. Art. 4 Nr. 12 DSGVO vorliegt, ist der für die Datenverarbeitung Verantwortliche zur Meldung gem. Art. 33, 34 DSGVO verpflichtet. Eine Meldepflicht besteht bereits, wenn eine hinreichende Kenntnis der Verletzung vorliegt und eine sinnvolle Information der Behörde bereits möglich ist.

Art. 33 Abs. 3 DSGVO

Die anzugebenden Informationen sind in Art. 33 Abs. 3 geregelt. Demnach muss zumindest eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze, sowie den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen. 

Die Unternehmensleitung bzw. die im Unternehmen verantwortliche Stelle muss schnellstmöglich die internen Stellen und die Aufsichtsbehörde informieren. Zeitgleich muss eine Benachrichtigung an die betroffenen Personen über Ausmaß und Umfang der verletzten Daten erfolgen.

Rechtstipp: Wir raten Ihnen intern, falls vorhanden, den Datenschutzbeauftragten, die Personalabteilung, den Compliance-Officer und die Arbeitnehmervertretung zu unterrichten. Die Presseabteilung muss mit dem Unternehmen eng zusammenarbeiten und sollte juristischen Rat einholen. Hierfür steht unser hierfür spezialisiertes Team gerne schnell und unkompliziert Seite. Melden Sie sich bei uns! 

Fazit 

Das Datenleck bei WhatsApp gab es also nie. Das Datenleck bei Facebook ist aber real. Betroffenen könnte ein Schadensersatzanspruch gegen Facebook zustehen. 

Sie sind betroffen von einem Datenskandal oder vermuten, dass Ihre Daten von einem Unternehmen nicht gesetzeskonform verarbeitet sind? Sprechen Sie uns kostenlos und unverbindlich an und wir helfen Ihnen weiter.

Lesen Sie auch unseren Beitrag zum Thema: „Vorgehen bei Datenpannen“