Zehntausende Personen und Unternehmen betroffen

Im Landkreis Lörrach wurde ein erhebliches Datenleck aufgedeckt: Monatelang waren persönliche Daten von Grundbesitzern ungeschützt im Internet zugänglich. Dieses Datenleck betraf etwa 56.000 Privatpersonen und rund 960 Unternehmen, deren detaillierte Informationen – darunter geografische Lage und Größe der Flurstücke, volle Namen und in den meisten Fällen Geburtsdaten der Eigentümer – über einfache Google-Suchen und zwei Klicks einsehbar waren. Die Daten waren aufgrund einer fehlerhaften Einstellung, bei der der erforderliche Passwortschutz versehentlich aufgehoben wurde, öffentlich zugänglich.

Das Landratsamt Lörrach, das für die Verwaltung dieser Daten verantwortlich ist, reagierte Medienberichten zufolge erst auf das Problem, nachdem der Landesdatenschutzbeauftragte auf den Verstoß hingewiesen und der Südwestrundfunk (SWR) das Ausmaß des Lecks öffentlich gemacht hatte. Die Daten waren in einer internen Mitarbeiterversion des Geoportals des Landratsamts gespeichert und konnten durch die fehlerhaften Einstellungen auch mit Hilfe öffentlicher Suchmaschinen und Geoinformationssoftware gefunden werden.

Neben den Grundbesitzerdaten wurde ein zweiter Datensatz entdeckt, der aus dem Meldeportal für Starkregen- und Erosionsereignisse stammt und etwa 15 E-Mail-Adressen sowie teilweise Wohnadressen enthielt, wo Keller bei Starkregen überflutet worden waren. Dieses Leck blieb ebenfalls monatelang bestehen, trotz früherer Hinweise auf Datenschutzprobleme.

Darüber hinaus schreibt der SWR, Lörrach sei „nicht der einzige Fall, bei dem Unbefugte Zugriff auf verschiedene Daten interner Geoportale von Landkreisen haben.“ Dem SWR Data Lab seien mindestens fünf weitere Datenlecks bekannt.

Behörden warnen vor Identitätsdiebstahl

Die Datenpanne hat eine Welle der Besorgnis und Kritik ausgelöst, wobei das Landratsamt sich für das Leck entschuldigte und Maßnahmen ergriff, um ähnliche Vorfälle in der Zukunft zu verhindern.

Der Landesdatenschutzbeauftragte in Baden-Württemberg habe die Prüfungen, wie schwer die Datenlecks genau gewesen seien, noch nicht abgeschlossen, heißt es bei SWR.

Klar ist jedenfalls: Die Datenlecks stellen ein erhebliches Risiko dar, da sie für betrügerische Zwecke genutzt werden könnten, wie etwa Identitätsdiebstahl. Experten und Behörden warnen vor den möglichen Folgen und raten den Betroffenen zur Vorsicht, insbesondere im Hinblick auf unbekannte Anrufer und E-Mail-Kontakte.

Anspruch auf Auskunft und Schadensersatz?

Auf der Grundlage von Art. 15 DSGVO können Nutzer zunächst Auskunft gegenüber dem Landkreis Lörrach verlangen, ob sie betroffen sind. Erteilt dieser dann keine oder eine unvollständige Auskunft, besteht wahrscheinlich bereits deshalb ein Schadensersatzanspruch aus Art. 82 (Datenschutzgrundverordnung) DSGVO. Daneben kommen weitere Pflichtverletzungen in durch die höchstwahrscheinlich mangelnde Sicherung der Daten sowie die zu späte Reaktion Betracht. Dies könnte höchstwahrscheinlich Schadensersatzansprüche zur Folge haben.

Hierzu gibt es bereits ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH): Es kann bereits einen „immateriellen Schaden“ darstellen, wenn Sie als eine vom Datenleck betroffene Person befürchten, dass ihre personenbezogenen Daten durch Dritte missbraucht werden. Unternehmen, die Kundendaten nicht ausreichend gegen Hackerangriffe gesichert haben, haben es infolge des EuGH-Urteils außerdem sehr schwer, sich zu entlasten. Sie müssen nachweisen, dass sie „in keinerlei Hinsicht“ verantwortlich ist. Dies ist praktisch kaum möglich. 

Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine dementsprechende Höhe erreichen müsse. In unserem Beitrag “Erfolgreiche Urteile der Kanzlei WBS.LEGAL” erhalten Sie Einblick in gewonnene Verfahren unserer Kanzlei im Facebook-Datenskandal.

akl/ahe