Datenschutz-verstoß bei Ledger – Was Sie jetzt wissen müssen

14. August 2021

Gastbeitrag unseres Kooperationsanwaltes Michael Kissler für Bank- und Kapitalmarktrecht.

Die französische Firma Ledger SAS hat im letzten Jahr mit erheblichen Datenschutzverstößen zu kämpfen gehabt. Bereits am 25.06.2020 drangen Hacker in die E-Commerce- und Marketing-Datenbanken von Ledger ein und veröffentlichten die gestohlenen Kundendaten im November 2020 auf RaidForums, einer Seite zum Austausch gestohlener Daten. Der Fall wird durch die französischen Behörden und Ledger selbst untersucht, es spricht aber vieles dafür, dass die veröffentlichten Daten den Datenbanken von Ledger entsprechen. Die bisher bekannten gestohlenen und veröffentlichten Daten umfassen dabei:

  • Über 1 Million E-Mail-Adressen
  • 272.000 Hardware-Wallet-Bestellungen
  • Physische Wohnadressen und Telefonnummern
  • Transaktionsdaten von Online-Bestellungen

Diese Daten können von Betrügern für Phishing-Angriffe verwendet werden und es nicht lange gedauert, bis Betrüger aktiv wurden. Vom Leak betroffene Personen haben legitim aussehende E-Mails erhalten, in denen sie aufgefordert wurden, eine neue Version der Ledger-Software herunterzuladen oder ihnen sogar Gewalt angedroht wurde.

Ledger gibt an, am 14 Juli 2020 über das Datenleck informiert worden zu sein und am 17. Juli 2020 die Behörden informiert zu haben. Die Firma teilte mit, dass Kundengelder und Vermögenswerte nicht betroffen seien und diese Datenverletzung keine Verbindung oder Auswirkungen auf die Hardware-Wallets, die App oder (Kunden-)Gelder habe und die Kryptowerte sicher seien. Allerdings hat Ledger nach eigenen Angaben zunächst nichts von dem wahren Ausmaß des Hacks gewusst und hat die Zahlen fünf Monate später von 9.500 auf über eine Million betroffene Personen korrigiert – und womöglich sind noch mehr Daten betroffen.

Nachdem es in der Folgezeit ein wenig ruhiger um Ledger wurde, wurde dem Unternehmen am 23. Dezember 2020 von Shopify, ihrem E-Commerce Dienstleister, ein erneutes Datenleck gemeldet. Dabei wurden Transaktionsdaten von Bestellungen von April und Juni desselben Jahres gestohlen. Darüber wurden die Behörden, insbesondere die französische Aufsichtsbehörde für Datenschutz “CNIL”, am 26. Dezember 2020 informiert.

Besonders pikant ist, dass eine Vielzahl an Kryptowerten, insbesondere Bitcoin und Ethereum, mittlerweile mehrere Allzeithöchststände erreicht haben. Dadurch steigt nicht nur der Wert der möglicherweise zu Hause gelagerten Wallets, sondern auch der Grad an öffentlicher Wahrnehmung und Bekanntheit von Kryptowerten und ihrem Wert – und ihre Bekanntheit bei Kriminellen. Hacker drohen bereits damit, die privaten Schlüssel zu stehlen, die für den Zugriff auf die Kryptowährungen erforderlich sind, wenn kein Lösegeld gezahlt wird.

Eine gute Organisation ist Pflicht

Ledger hat das massive Datenleck erst spät entdeckt und die betroffenen Kunden noch später informiert. Das spricht dafür, dass in dem Unternehmen organisatorische Fehler gemacht worden sind, sowohl hinsichtlich der IT-Sicherheit, als auch hinsichtlich der Pflichten gegenüber den Kunden. Anders lässt sich nicht erklären, wieso trotz der Sensibilität der Daten erst nach dem Datenleck der ISO 27001 Standard erfüllt werden soll und die Kunden erst so spät informiert wurden. Für Ledger spricht, dass sie momentan vieles tun, um den Fall aufzuklären und mit den französischen Behörden zusammenarbeiten. Aber das Kind ist leider bereits in den Brunnen gefallen – und die Kunden sehen sich einem erheblichen Risiko ausgesetzt.

Schadensersatz verlangen

Die Voraussetzung für Schadensersatz nach der Datenschutz-Grundverordnung ist ein Verstoß gegen das bestehende Datenschutzrecht. Schadenersatzklagen können dabei nicht nur in Frankreich, sondern auch am Heimatort der Betroffenen in Deutschland erhoben werden.

Mögliche Verstöße sind insbesondere:

  • Eine verspätete Meldung des Datenlecks bei der Aufsichtsbehörde und den betroffenen Personen: Hätte Ledger die betroffenen Personen sofort informiert, hätten diese sofort Sicherungsmaßnahmen ergreifen und sich bspw. besser gegen Phishing-Mails schützen können.
  • Unzureichende technische und organisatorische Maßnahmen: Wäre der aktuelle Stand der Technik eingehalten worden und die Daten der Kunden entsprechend gesichert gewesen, Hacker hätten die Daten nicht erlangt und preisgegeben und Ledger nicht die Kontrolle über die Daten verloren.

Für Forderung auf Schadensersatz existiert im Datenschutzrecht der Grundsatz, dass der Schadensbegriff weit ausgelegt wird und grundsätzlich jeder Nachteil erfasst wird. Dadurch erhalten die Betroffenen einen wirksamen Ersatz für ihre Nachteile, wie bspw. Identitätsdiebstahl oder finanzielle Verluste. Denkbar sind auch Folgeschäden wie Kosten für nun erforderliche Sicherungsmaßnahmen, schließlich wurde eine Vielzahl an Daten hochgeladen, inklusive der Wohnanschrift. Der Schadensersatz soll der Höhe nach wirksam abschreckend sein (vgl. AG Frankfurt am Main, Urteil vom 10.07.2020 – Az. 385 C 155/19). Wie hoch der Schaden ist, richtet sich immer nach dem konkreten Einzelfall. Bisher gab es bspw. 1.000,00 € für die einwilligungslose Facebook-Veröffentlichung eines Arbeitnehmerfotos durch den Arbeitgeber, bei der Vereitelung von Betroffenenrechten sogar Schadensersatz in Höhe von 5000,00 €. Kriterien, die für die Abwägung und Beurteilung von Bedeutung sind, sind insbesondere

  • die Finanzkraft des Schädigers,
  • die Bedeutung des verletzten Rechts bzw. des beeinträchtigten Belangs,
  • die Schwere der Rechtsverletzung oder
  • die Schwere der Schuld des Verantwortlichen am Schadenseintritt.

Bei einem finanzstarken Unternehmen wie Ledger, der Schwere und Vielzahl an Datenlecks und der offensichtlich unzureichenden Schutzmaßnahmen und verspäteten Information der Kunden ist zu erwarten, dass durch die Gerichte ein hoher Schadensersatz bei entsprechender Rechtsverletzung zugesprochen wird. Dabei ist auch eine Klage gegen Shopify oder andere Unternehmen, die Ihre Daten verarbeitet haben, denkbar.

Fazit

Die Auswirkungen des Ledger-Leaks können für Betroffene noch über Jahre hinweg spürbar sein und die Risiken sind mannigfaltig. Vom Leak betroffene Personen sollten jetzt die notwendigen Schritte ergreifen, um sich technisch und finanziell abzusichern und Ledger für ihre Probleme haftbar machen. Schließlich sollte ein Großteil des Sachverhaltes aufgrund der Kooperation Ledgers mit den Behörden unstreitig sein, was den Betroffenen in Prozessen gegen Ledger ungemein hilft. Gleichzeitig zeigt der Fall, wie wichtig eine moderne und sichere IT-Infrastruktur ist. Gerade die Bitcoin-Branche, die immer wieder Opfer von Hackern, Leaks und Scams war, sollte besonders vorsichtig sein. Abzuwarten bleibt, welche Hacks noch bekannt werden, wenn die Kurse der Kryptowährungen noch weiter steigen.

Wenn auch Sie betroffen sind, können Sie sich vertrauensvoll an uns wenden. Wir prüfen Ihren Fall und unterstützen Sie bei der Durchsetzung Ihrer Rechte.