Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » Datenkatastrophe: Nutzerdaten von Onlineshops jahrelang ungeschützt im Netz
Datenkatastrophe :

Nutzerdaten von Onlineshops jahrelang ungeschützt im Netz

Wie so vieles, ist auch das Internet Fluch und Segen zugleich. Es vereinfacht vieles in unserem Leben, zum Beispiel durch Online-Shopping. Jedoch geben wir dabei im Netz viele Daten preis, mitunter auch sehr sensible. Nun wurde durch aktuelle Recherchen aufgedeckt, dass über eine Millionen Datensätze von Nutzern aus Online-Shops jahrelang und geschützt im Internet zu finden waren. Doch wer haftet für solche Datenlecks?

Name, Anschrift, Telefonnummer, Bankverbindung. Im Internet geben wir teilweise sehr sensible Daten an. Nun wurde aufgedeckt, dass viele dieser Daten schon seit mehreren Jahren im Internet zu finden sind. Vermutlich sind über 700.000 Nutzer und über eine Millionen Datensätze betroffen. Die Daten stammen von Plattformen von Kaufland, Mediamarkt, Otto, idealo, Hood, Crowdfox, Tyre24 und Check24.

Diese Seiten bieten online Marktplätze an, auf denen auch externe Händler ihre Produkte anbieten können. Dazu stellen die Anbieter auf ihren Plattformen Schnittstellen zur Verfügung, über die sogenannte Schnittstellen-Dienstleister die Warenwirtschaftssysteme der Händler mit der Plattform verbinden. Während dieses Prozesses verarbeiten die Schnittstellen-Dienstleister, von denen es circa ein Dutzend in Deutschland gibt, die Bestelldaten der Kunden. Das nun bekannt gewordene Datenleck stammt von einem dieser Dienstleister, dessen Daten ungeschützt waren.

Wer haftet für die Panne?

Rechtlich ist es klar, dass solche Datenlecks Folgen haben. Artikel 34 der Datenschutzgrundverordnung (DSGVO) regelt die Informationspflicht. Demnach muss der Verantwortliche die betroffenen Kunden unverzüglich über die Datenpanne informieren müssen. Ebenso haben die Kunden nach Art. 15 DSGVO das Recht, Auskunft darüber zu verlangen, ob sie betroffen sind. Vorliegend verhält es sich so, dass die Datenschutzlücke schon im Sommer 2021 aufgedeckt wurde, bisher aber niemand darüber informiert wurde. Ein Verstoß gegen die unverzügliche Informationspflicht liegt also vor. Jedoch muss man sich auch fragen, wem diese Pflicht denn obliegt.

Hier erscheint die Dreieckskonstellation zwischen Plattform, Händler und Schnittstellen-Dienstleister problematisch. Denn Kaufland, als Plattformbetreiber, bezieht die Stellung, dass sie nicht datenschutzrechtlich verantwortlich seien. Schließlich sei der Shop, der den Marktplatz zur Verfügung stellt, nicht Vertragspartner des Käufers.

Verantwortlicher im Sinne der DSGVO ist jeder, der allein oder gemeinsam über die Verarbeitung von Daten entscheidet. Das bedeutet, dass theoretisch auch mehrere Unternehmen verantwortlich sein können. Das ist auch logisch, denn gerade bei solchen Prozessen können schließlich mehrere Akteure auf die Daten zugreifen. Dass die Händler und auch die Schnittstellen-Dienstleister die persönlichen Daten verarbeiteten liegt wohl auf der Hand. Ob auch die Plattformbetreiber selbst Verantwortliche sind, müsste noch geklärt werden.

Gefahren für die Betroffenen

Unabhängig davon, welche Akteure in diesem Ablauf Verantwortliche waren – dadurch, dass die betroffenen Kunden noch nach Monaten nicht über das Datenleck informiert wurden, liegt ein erheblicher und schwerwiegender Datenschutzverstoß vor. Denn schon die Verletzung der Informationspflicht kann einen Schadensersatzanspruch gemäß Art. 82 DSGVO auslösen. In der Vergangenheit haben die deutschen Gerichte den Klägern hohe Schadensersatzansprüche bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt.

Das ist auch angesichts der großen Gefahr von Datenschutzverstößen richtig. Daten, die so offen im Netz aufgefunden werden können, werden häufig auch weiter geteilt oder im Darknet sogar verkauft. Betrüger können die Daten dann für Phishing-Mails und SMS nutzen. Diese können gefährlich echt wirken, wenn der Kriminelle den richtigen Namen, die Handynummer oder sogar Kontodaten des Betroffenen kennt. Zudem kann durch solche Datenlecks auch stets Identitätsdiebstahl drohen.

ses