Marketing-Börse PLUS - Fachbeiträge zu Marketing und Digitalisierung
print logo

Datenleck bei Otto, Media Markt, Idealo & Co.

Etliche sensible Daten waren über Jahre hinweg im Internet frei zugänglich. Betroffene Verbraucher haben Anspruch auf Schadensersatz.
Christian Solmecke | 09.02.2022
Datenleck bei Otto, Media Markt, Idealo & Co. © freepik / rawpixel
 

Ein enormer Datenskandal bei führenden deutschen Shopping- und Preisvergleichsanbietern wie Kaufland, Otto und Media Markt mit rund 700.000 betroffenen Endverbrauchern sorgte 2021 für Aufsehen. Etliche sensible Daten waren über Jahre hinweg im Internet frei zugänglich. Aus Sicht der Verbraucher ist seither kaum etwas passiert. Dabei haben Betroffene Anspruch auf Schadensersatz. Leider wissen viele der Geschädigten nicht, dass ein solcher gefordert werden kann. Der Kölner Medienanwalt Christian Solmecke klärt auf.

Mehr als eine Millionen Datensätze von Kunden renommierter Unternehmen wie Otto, Kaufland (früher REAL), Media Markt, Check24, Rakuten, Tyre24, Idealo, Hood und Crowdfox waren von dem Datenleck betroffen, welches bereits im Juni 2021 aufgedeckt wurde. Mail- und Postadressen, Bestellinformationen, Telefonnummern und teilweise sogar Bankverbindungen waren frei im Internet einsehbar.

Das Datenleck entstand durch einen schlecht gesicherter Händlerzugang des Gelsenkirchener Dienstleisters Modern Solution. Zu den Kunden von Modern Solution gehören Händler, die ihre Produkte auf verschiedenen Online-Marktplätzen anbieten wollen. Die Software bindet die Händler über eine Schnittstelle an verschiedene Marktplätze wie Otto oder Check24 an. Ein bekannter IT-Spezialist hatte per Zufallsfund aufdecken können, dass Kunden von Modern Solution auf dem Server des Dienstleisters die Datenbanken aller anderen Kunden und die Transaktionen von deren Endkunden einsehen konnten. Persönliche Daten von rund 700.000 Verbrauchern waren betroffen. Eine Verschlüsselung gab es nicht. Obendrein wurden Kundendaten seit Jahren nicht gelöscht.

Medienanwalt Christian Solmecke: „Passiert ist seither wenig. Niemand sah sich seither dazu veranlasst, die betroffenen Kunden zu informieren. Ein Unding vor dem Hintergrund, dass die Datensätze womöglich bereits im Darknet gehandelt und auf diesem Weg sensible Daten der Betroffenen für andere Zwecke missbraucht werden könnten. Kriminellen wäre es jedenfalls ein Leichtes gewesen, die Daten zu entwenden und für Betrugsversuche zu missbrauchen.

Nun nimmt das Thema wieder an Fahrt auf. Die Tagesschau und die SWR-Sendung PlusMinus kritisierten in aktuellen Beiträgen vor allem die katastrophale Aufarbeitung des Skandals.

Ein Daten-Desaster, welches einen klaren Verstoß gegen geltendes Datenschutzrecht darstellt. Ein skandalöser Vorgang! Schließlich besteht die Pflicht, Verbraucher über das massive Datenleck zu informieren.

Verbraucher haben Anspruch auf Auskunft und Schadensersatz

Solmecke weiter: Das Datenleck von Modern Solution stellt eine eindeutige Pflichtverletzung dar, woraus sich zu Gunsten der Verbraucher ein Schadensersatzanspruch aus Artikel 82 der Datenschutz-Grundverordnung (DSGVO) ergibt. Daneben kommen weitere Pflichtverletzungen von Modern Solution im Zusammenhang mit dem Datenleck in Betracht, die möglicherweise ebenfalls Schadensersatzansprüche zur Folge haben.

Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Artikel 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse. Das Arbeitsgericht Düsseldorf sprach einem Kläger wegen einer verspäteten Beantwortung eines Auskunftsanspruch nach Artikel 15 DSGVO 5000 Euro zu (ArbG Düsseldorf, Urteil vom 05.03.2020, Az. 9 Ca 6557/18). Ebenso urteilte das Arbeitsgericht Neumünster und sprach einem Kläger 1500 Euro zu (ArbG Neumünster, Urteil vom 11.08.2020, Az. 1 Ca 247/20).

Geschädigte Verbraucher konnten so regelmäßig Schadensersatzansprüche in vierstelliger Höhe geltend machen.“