„Schon wieder stehen hunderte Millionen Nutzerdaten eines großen Tech-Unternehmens im Netz: Dieses Mal betrifft es den in 180 Ländern vertretenen Musik-Giganten und Spotify-Konkurrenten Deezer. Hacker haben die Informationen Mitte 2019 bei einem Dienstleister von Deezer gestohlen und verkaufen diese nun im Darknet.
Bemerkt hat Deezer das Leck angeblich erst am 8. November 2022. In einem sehr versteckten Support-Artikel will Deezer die Schuld auf Dritte abschieben und verharmlost den Schaden: Das Datenleck sei bei einem Partnerunternehmen entstanden, mit dem man nicht mehr zusammenarbeite. Man habe bislang keinen Datenmissbrauch bemerkt, solle aber sicherheitshalber sein Passwort ändern, schreibt Deezer auf Englisch.
Bereits diese versteckte und unzureichend oberflächliche Information ist ein Skandal – offenbar wollte das Unternehmen die Gefahr von Schadensersatzklagen gering halten. Doch dem setzte Deezer noch einen obendrauf, indem es erst nach Veröffentlichung der geleakten Daten im Januar 2023 ab Februar 2023 begann, einige seiner Kunden über den Datenklau zu informieren. Abgesehen davon, dass auch die in diesem Schreiben enthaltenen Informationen irreführend sind, hat nur ein Bruchteil unserer Mandanten dieses überhaupt erhalten.
Daher möchten wir einmal aufklären, wie die Rechtslage wirklich aussieht und welche Ansprüche betroffenen Verbrauchern zustehen.“
1. Kann Deezer sich damit herausreden, der Schaden sei bei einem Dritten entstanden?
„Wir gehen erst einmal davon aus, dass Deezer selbst die Daten bei sich nicht ausreichend gesichert hat. Doch selbst wenn der Schaden – wie in beiden Schreiben behauptet – ‚nur‘ beim Partnerunternehmen entstanden ist, so kann Deezer sich deshalb nicht herausreden. Denn Deezer muss als Verantwortlicher nach der Datenschutzgrundverordnung (DSGVO) sicherstellen, dass all seine Vertragspartner, die im Rahmen einer sog. Auftragsverarbeitung personenbezogene Daten von Deezer-Kunden verarbeiten, ebenfalls DSGVO-konform arbeiten. Deezer hätte es insbesondere verhindern müssen, dass einzelne Personen unverschlüsselten Zugang auf die Back-ups bekommen, und sicherstellen müssen, dass auch bei Vertragspartnern entsprechende Standards eingehalten werden. Kommt es bei einem Auftragsverarbeiter zum Datenleck, ist Deezer als Verantwortlicher hier also auch angreifbar.“
2. Was können Betroffene von Deezer verlangen?
„Betroffene haben deshalb gegen Deezer verschiedene Ansprüche. Diese machen wir bereits außergerichtlich für unsere aktuell über 2000 Mandanten geltend:
- Auf der Grundlage von Art. 15 Datenschutzgrundverordnung (DSGVO) können Betroffene zunächst von Deezer Auskunft u.a. darüber verlangen, welche Daten genau vom Datenleck betroffen sind. Erteilt Deezer keine oder eine unvollständige Auskunft, kann sich bereits daraus ein Anspruch auf ‚immateriellen Schadensersatz‘ aus Art. 82 DSGVO ergeben, eine Art Schmerzensgeld wegen des DSGVO-Verstoßes.
- Zusätzlich besteht unabhängig davon ein Schadensersatzanspruch gegen Deezer, weil der Dienst unserer Auffassung nach mehrfach gegen die DSGVO verstoßen hat: Zum einen waren die Daten technisch bzw. organisatorisch (bei Deezer selbst oder dem Auftragsverarbeiter) nicht ausreichend gesichert (Art. 32 DSGVO i.V.m. Art. 5, 24, 25 DSGVO). Zum anderen wurden die Kunden nicht ausreichend über das Datenleck informiert (Art. 34 DSGVO). Unsere Kanzlei wird versuchen, für Betroffene mindestens 1000 Euro Schadensersatz dafür zu erstreiten, dass die sensiblen Daten ins Netz gelangt sind.
- Der Schadensersatzanspruch betrifft nicht nur aktuell bereits bezifferbare Schäden. Wir lassen darüber hinaus für unsere Mandanten auch feststellen, dass Deezer alle zukünftigen Schäden zu ersetzen hat.
- Schlussendlich können Betroffene von Deezer verlangen, in Zukunft eine rechtswidrige Datenverarbeitung zu unterlassen."
3. Bereits zahlreiche erfolgreiche Urteile in der vergleichbaren Sache Facebook-Datenleck
"Dass ein solches Vorgehen gegen den Verantwortlichen eines Datenlecks erfolgversprechend ist, zeigen die sich aktuell mehrenden erfolgreichen Urteile, die wir u.a. im Facebook-Datenleck für unsere derzeit über 14.000 Mandanten erstreiten – diese können Sie auf unserer Übersichtsseite abrufen:
Die Gerichte sprechen aktuell zwischen 300 und 1000 Euro Schadensersatz in diesen Fällen zu. Außerdem wird festgestellt, dass auch alle zukünftigen Schäden zu ersetzen sind.
Auch die Stiftung Warentest listet das Wichtigste zu den Verfahren auf und verweist auf unsere erfolgreichen Urteile."
Die wichtigsten FAQ zum Deezer-Datenleck
Wer ist betroffen?
229 Millionen Menschen weltweit und darunter über 14 Millionen aus Deutschland sind betroffen. Neben zahlenden Deezer-Kunden sind auch Daten von "Deezer Free"-Nutzern offengelegt worden. Viele Verbraucher wissen jedoch gar nicht, dass sie auch betroffen sein können, denn Vodafone-Kunden haben lange Zeit bei Vertragsverlängerungen oder Vertragsabschlüssen Deezer-Rabatte oder sogar lange Premiummitgliedschaften umsonst erhalten. Auch, wenn diese Deezer dann gar nicht genutzt haben, könnten ihre Daten nun dennoch geleakt worden sein.
Auf unserer Seite können Nutzer kostenfrei und schnell prüfen, ob auch ihre Datensätze veröffentlicht wurden. Nach Eingabe der E-Mail-Adresse, die möglicherweise bei der Deezer- bzw. Vodafone-Registrierung verwendet wurde, checkt das Tool in wenigen Sekunden, ob die Adresse betroffen ist. Bis jetzt haben bereits über 100.000 Personen unseren Service genutzt.
Welche Deezer-Daten wurden entwendet und veröffentlicht?
Im veröffentlichten Datenleck aus einem Back-up mit Stand Mitte 2019 sind der vollständige Name, Geburtsdatum, E-Mail-Adresse, Geschlecht, das Beitrittsdatum und die Nutzer-ID enthalten, ebenso geographische Standortdaten und IP-Adressen – und möglicherweise auch das Passwort.
Welche Gefahren drohen dadurch?
Christian Solmecke: „Das Missbrauchspotential dieser Daten ist meiner Einschätzung nach erheblich. Denn durch die Veröffentlichung der Daten sind betroffene Nutzer beliebte Opfer von Phishing-Mails, über die versucht wird, weitere Daten – wie etwa Zahlungsinformationen – abzugreifen. Betrüger können schließlich jetzt mit echten Vertragsinformationen täuschend echte Fake-Mails an Deezer-Kunden schreiben. Auch sog. ‚Social Engineering‘-Angriffe sind möglich: Man selbst oder Freunde könnten manipuliert werden, um an weitere Daten oder Geld zu kommen. Nicht zuletzt das Facebook-Datenleck hat gezeigt, wie real solche Gefahren sind. Außerdem sammeln Kriminelle alle im Netz verfügbaren Daten und kombinieren sie miteinander. Damit wächst mit jedem Datenleck das Risiko, dass die Daten, die ja letztlich nie wieder aus dem Netz verschwinden, für immer perfidere Betrugsversuche missbraucht werden.“
Die Kölner Kanzlei WBS.LEGAL hat sich auf die Beratung der Online- und Medienbranche spezialisiert. Insgesamt arbeiten in der Kanzlei 20 Anwälte. Rechtsanwalt Christian Solmecke hat in den vergangenen Jahren den Bereich Internetrecht/E-Commerce stetig ausgebaut. So betreut er zahlreiche Medienschaffende und Web-2.0-Plattformen.
Neben seiner Kanzleitätigkeit ist Christian Solmecke auch Geschäftsführer des Deutschen Instituts für Kommunikation und Recht im Internet (DIKRI) an der Cologne Business School (http://www.dikri.de). Dort beschäftigt er sich insbesondere mit den Rechtsfragen in Sozialen Netzen. Vor seiner Tätigkeit als Anwalt arbeitete Solmecke mehrere Jahre als Journalist für den Westdeutschen Rundfunk und andere Medien.
Wilde Beuger Solmecke Rechtsanwälte Partnerschaft mbB
Kaiser-Wilhelm-Ring 27-29
50672 Köln
Telefon: +49 (221) 9688813186
Telefax: +49 (221) 40067552
http://www.wbs-law.de
Pressereferent
Telefon: +49 (221) 951563-22
E-Mail: ?spies@wbs-law.de
