Ein großes Datenleck bei Santander und Ticketmaster wurde aufgedeckt. Rund 590 Millionen Datensätze wurden geleakt, darunter Namen, Mailadressen, Postanschriften, Kreditkartendaten, Kundenummern oder Kontostände. Der Leak betraf teilweise auch Daten, die bis zu 20 Jahre in die Vergangenheit reichen. 560 Millionen der Daten stammen von Ticketmaster- und 30 Millionen Daten von Santander-Kund:innen aus Chile, Spanien und Uruguay.
Die Hackergruppe „ShinyHunters“ veröffentlichte das Datenleck und bot die Daten zum Verkauf an: Eine halbe Million forderte die Gruppe für die Ticketmaster-Daten und 2 Millionen für die Santander-Daten. „ShinyHunters“ gelangte an die Daten durch ein Leck beim Cloudanbieter Snowflake, welchen neben den betroffenen Unternehmen auch Firmen wie Adobe, HP oder Mastercard nutzen. „ShinyHunters“ schleuste Schadprogramme bei Snowflake ein und konnte durch das Auslesen von Mitarbeiter-Login Informationen, bei denen es keine Multi-Faktor-Authentifizierung gab, die Daten stehlen.
Santander und Snowflake arbeiten nun eng mit den Behörden zusammen, um die Ursache des Datenlecks zu untersuchen und zu lösen. Betroffene können ggf. Schadensersatz geltend machen.
Schadensersatz nach einem Datenleck
Die Datenschutz-Grundverordnung hat in Art. 82 festgelegt, dass Betroffene von Datenschutz-Verstößen Anspruch auf Schadensersatz haben – dies beginnt schon bei einer unvollständigen oder nicht ordnungsgemäßen Auskunft bis hin zu Datenlecks.
Dabei hat der EuGH bereits geurteilt, dass man als betroffene Person nicht zwingend nachweisen muss, dass bei einem Datenleck mit den gestohlenen Daten beispielsweise ein Identitätsdiebstahl erfolgt ist – die Befürchtung, dass dies passiert, reiche nach Ansicht des Gerichts aus (Urt. Vom 20.06.2024, Rs. C-590/22).
Wichtig ist aber hierbei, dass die Betroffenen den entstandenen Schaden, sei er materiell oder immateriell, nachweisen können, also z.B. psychische Belastung oder Ängste. Schadensersatz hat in der DS-GVO keine Bagatellgrenze, d.h. die Summe kann je nach Höhe des Schadens auch sehr klein ausfallen oder – wenn eine Abschreckungswirkung erzielt werden soll – auch eben sehr hoch.
(Bild: Chatchanan – stock.adobe.com)