Seit ungefähr Mitte des Jahres 2022 ist es publik geworden. Es wurden durch einen Hacker ungefähr 5,4 Millionen Twitter Nutzerdaten von Privatpersonen und Unternehmen, welche unter anderem Telefonnummern, E-Mail-Adressen und weitere sensible Daten im Bezug auf einzelne Personen beinhalten, erbeutet und sogar öffentlich geteilt. Zugang verschaffte sich der Hacker zu diese sensiblen und personenbezogenen Daten der Nutzer des sozialen Netzwerks Twitter über eine unsichere Schnittstelle, API, welche anscheinend veraltet war und seitens des Plattformbetreibers fälschlicherweise nicht aktualisiert wurde. Das Unternehmen Twitter teilte zwar zu Beginn des Jahres, im Januar 2022 mit, dass diese Schnittstelle „gefixt“ wurde, gab jedoch auch zu, dass diese vorher noch ausgenutzt wurde.
Ursprünglich versuchte der Hacker noch im Juli diesen Jahres eben diese erbeuteten Twitter Nutzerdaten in einem Forum für 30.000,00 Dollar zu verkaufen, teilte diese jedoch anschließend doch öffentlich zugänglich im Netz. Im Detail lag die Problematik dieses Twitter Datenskandals wohl darin, dass über die bereits genannte Twitter API Telefonnummern und E-Mail Adressen willkürlich durchprobiert werden konnten, um im Anschluss die dazugehörige, passende Twitter-ID herausgefunden werden konnte. Auf diesem Wege hat der dafür verantwortliche Hacker im vergangenen Jahr diese Twitter Nutzerdaten auch im Detail einer Twitter-ID, d.h. dem Twitter Account, zuordnen können.
Es ist ebenfalls bekannt, dass auch weitere Twitter Nutzerdaten in geschlossenen Netzwerken ausgetauscht bzw. geteilt wurden, in welcher Größenordnung jedoch nicht. Demnach ist jedoch davon auszugehen, dass noch weitaus mehr Nutzer des sozialen Netzwerks Twitter von diesem Datenskandal betroffen sind und somit befürchten müssen, dass sie sich deren sensible, personenbezogene Daten nun im Besitz von zwielichtigen Netzwerken mit kriminellen Ambitionen befinden. Eigentumsdiebstahl, Datendiebstahl, Identitätsdiebstahl oder sogar Plünderungen von Bankkonten drohen den betroffenen Personen im schlimmsten Fall, daher ist es ratsam sich durch die Beauftragung eines Rechtsanwalts Gewissheit zu verschaffen, ob die persönlichen Daten abgegriffen wurden und wenn ja, dagegen vorzugehen.
Konkret handelt es sich um folgende Twitter Nutzerdaten:
Scraping, oft auch als Screen Scraping oder Web Scraping bezeichnet, stellt eine Funktion dar, bei der mit Hilfe eines Skriptes Informationen einer Webseite oder Online-Diensten z.B. Social Media Plattformen ausgelesen und gespeichert werden. Google verwendet derartige Methoden beispielsweise auch mit Hilfe von Bots, welche Webseiten „crawlen“, um diese im Anschluss zu indexieren. Größtenteils ist diese Praxis natürlich auch im Sinne der Betreiber von Webseiten und Plattformen, da durch eine solche Indexierung mehr Umsatz oder eine höhere Reichweite erreicht werden kann. Allerdings kann scraping, sollte es missbräuchlich eingesetzt werden, auch großen Schaden anrichten.
Im Falle des groß publik gewordenen Facebook Scraping Skandals machten sich die Angreifer eine Funktion der Plattform zu Nutze mit Hilfe derer der Nutzer sein Telefonbuch hochladen konnte, so dass Freunde und Bekannte direkt im Profil angelegt bzw. identifiziert wurden. Hier nutzten die Angreifer eben diese Kontaktimport-Funktion um Sets von Benutzerprofilen abzufragen und die erhaltenen sensiblen personenbezogenen Daten über das öffentliche Profil zu extrahieren.
Das „Scrapen“ von öffentlich zugänglichen Daten ist per Definition nicht illegal, sofern keine technischen Schutzvorrichtungen dafür überwunden werden müssen. Allerdings ist ebenso nicht unerheblich was im Anschluss mit den erhaltenen Daten gemacht wird. Denn werden beispielsweise Bilder, Artikel oder sonstige Datensätze abgegriffen und im Anschluss ohne Erlaubnis publiziert, stellt dies einen klaren Verstoß gegen das Urheberrecht dar. Ebenfalls ist zu erwähnen, dass natürlich auch das Verwenden dieser Datensätze im Sinne von Phishing Kampagnen einen klaren Rechtsverstoß darstellt.
Prekär wird es in diesem Zusammenhang dann allerdings für den Plattform- oder Webseitenbetreiber, da dieser laut DSGVO unmissverständliche und klare Vorgaben bezüglich des Sammelns und Speichern von personenbezogenen Daten zu befolgen hat. Es muss seitens des Betreibers ein rechtmäßiger Grund bestehen oder bedarf einer ausdrücklichen Zustimmung des Nutzers, um dessen sensible personenbezogene Daten zu Sammeln und zu Speichern. Zudem darf auch dies nur in einem Umfang geschehen, wie es zur Erfüllung der vorgesehenen Funktion nötig ist und nicht mehr. Außerdem schließen viele Betreiber von sozialen Netzwerken Scraping von vornherein in ihren Geschäftsbedingungen aus.
Angeblich soll es in der Vergangenheit wohl noch ein weitaus umfangreicheres Datenleck bezüglich gestohlener Twitter Nutzerdaten gegeben haben. Bei diesem handelt es sich sogar um mehr als 17. Millionen Nutzerkonten und die damit verbundenen sensiblen personenbezogenen Daten, welche in Hackerkreisen in Umflauf gekommen sind.
Bereits im Jahr 2016 wurde über Twitter bekannt, dass über ein Datenleck zum damaligen Zeitpunkt mindestens 32 Millionen Twitter Accounts und dazugehörige Passwörter von einem Hacker erbeutet wurden, welcher zum damaligen Zeitpunkt versuchte diese Zugangsdaten im Darknet zu verkaufen. Die kompletten gestohlenen Datensätze umfassten damals E-Mails, Benutzernamen, sowie dazugehörige Passwörter. Twitter blieb zum damaligen Zeitpunkt nichts anderes übrig, als sämtliche betroffenen Nutzerkonten zu sperren, bis diese nach separierter Benachrichtigung des Betreibers über den Vorfall, ihr Passwort zurücksetzten und neu anlegten. Auch hier blieb fraglich, wer für diesen Fall bzw. diese Sicherheitslücke seitens des Plattformbetreibers verantwortlich war.
Die Gefahr für denjenigen dessen personenbezogene Daten in einem solchen Szenario erbeutet wurden besteht darin, dass zu Unrecht erbeuteten Datensätze an weitere Dritte vertrieben oder mit diesen geteilt werden können. Diese könnte die persönlichen Daten eines Nutzers, beispielsweise die Telefonnummern und E-Mail Adresse für Phishing-Angriffe verwenden oder gar um nach Möglichkeit im schlimmsten Fall Identitätsdiebstahl im Internet damit betreiben.
Phishing ist eine Bezeichnung, abgeleitet vom englischen Begriff „fishing“, bedeutet Angeln, die den Versuch eines Angreifers beschreibt durch das Versenden von Spam E-Mails, fingierte Webseiten oder Direktnachrichten auf das Handy des Opfers, um an dessen persönliche Daten zu gelangen. Diese Methode hat das Ziel mit Hilfe der erlangten / erbeuteten Daten des Opfers Eigentumsdiebstahl, Datendiebstahl, Identitätsdiebstahl und als schlimmste Folge sogar eine Plünderung des Kontos der betroffenen Person zu begehen. Viele Angreifer nutzen die Daten des Opfers auch beispielsweise um PayPal, eBay oder Amazon konnten in ihre Gewalt zu bringen und damit Käufe zu lasten des Opfers zu tätigen.
Phishing wird seitens der Angreifer im Normalfall sehr generell gehalten, dies können Sie auch anhand der Formulierungen innerhalb der „Phishing-Mails“ leicht erkennen. Jedoch gibt es auch eine raffiniertere Form des Phishings, das sogenannte „Spear Phishing“. Bei dieser Methode werden die an das Opfer versandten Nachrichten anhand von bereits ausgelesenen Daten über diesen individuell angepasst, um so den Eindruck einer echten Nachricht hervorzurufen.
Es ist also stets ratsam bei jeder Form von Nachricht, welche einem zukommt, in der nach persönlichen Angaben gefragt wird, skeptisch zu sein.
Ganz klar, ja! Denn laut gängiger Rechtsprechung und der geltenden Datenschutzgrundverordnung, DSGVO, ist der Betreiber des sozialen Netzwerks, d.h. in diesem Fall Twitter, dafür verantwortlich entsprechende Sicherheitsvorkehrungen zu treffen und anzuwenden, um zu vermeiden, dass sensible, persönliche Daten von Twitter Nutzern auf die bereits beschriebene Art und Weise, durch Scraping, ausgelesen und abgespeichert werden können. Gemäß der DSGVO, Artikel 25 Absatz 1 und 2, ist der Verantwortliche Betreiber, Twitter, in der Pflicht Maßnahmen zu treffen, technischer und organisatorischer Natur um sicherzustellen, dass personenbezogene Daten nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
Des Weiteren stellt diese Verfehlung des sozialen Netzwerks Twitter einen Verstoß gegen den Artikel 5. Absatz 1e, sowie Absatz 1f, der DSGVO dar. Da diese „Grundsätze der Verarbeitung von personenbezogenen Daten“ besagen, dass personenbezogene Daten nur dann verarbeitet werden dürfen, wenn gewährleistet werden kann, dass diese nur für die Zwecke und den Zeitraum der Verarbeitung identifizierbar sind und nicht fortlaufend, dies geschieht zum Schutz der Rechte und Freiheiten der betroffenen Personen und darf nur zu Zwecken des öffentlichen Interesses, Archivzwecken, wissenschaftlicher und historischen Forschungszwecken, sowie statistischen Zwecken, aufgebrochen werden.
Artikel 5. Absatz 1f der DSGVO besagt, dass der Verarbeitende, dafür Sorge zu tragen hat, dass gespeicherte sensible personenbezogene Daten, so abgelegt und gespeichert werden, dass ein Schutz vor unbefugter, unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigte Zerstörung oder unbeabsichtigte Schädigung der betroffenen Person gegenüber gewährleistet werden kann.
Als potentiell betroffene Person dieses Twitter Datenskandals hat jeder die Möglichkeit nach Art. 15 DSGVO eine Auskunft gegenüber Twitters geltend zu machen. Eine betroffene Person kann also nach Art. 15 DSGVO von Twitter verlangen diesem Auskunft darüber zu erteilen ob dieser, somit auch seine hinterlegten sensiblen Daten von dem Datenleck betroffen sind. Wird im Anschluss seitens Twitters keine oder eine nur unvollständige Auskunft diesbezüglich erteilt entsteht für die betroffene Person ein Anspruch auf Schadensersatz nach Art. 82 DSGVO, den dieser Twitter gegenüber geltend machen kann.
Denn Fakt ist, dass in bereits sehr vielen dieser gleich gelagerten Fälle, wie dem Facebook Datenskandal oder auch des WhatsApp Datenskandals, deutsche Gerichte den Klägern hohe Schadensersatzansprüche basierend auf dem aus Art. 82 DSGVO resultierenden Schadensersatzanspruchs zugesprochen haben. Dies hat unter anderem auch den Hintergrund, dass derartige aus DSGVO-Verstößen resultierende Schadensersatzbeträge eine abschreckende Wirkung auf Plattform- und Webseitenbetreiber haben soll, so dass die geltende Datenschutzgrundverordnung, DSGVO, weiterhin, insbesondere von diesen, beachtet und eingehalten wird.
Bezüglich der Geltendmachung des Schadensersatzanspruchs als betroffene Person des Twitter Datenskandals ist es jedoch unabdinglich, sich juristische Unterstützung zur Durchsetzung Ihrer Ansprüche, in Form eines Rechtsanwalts mit Expertise im Datenschutzrecht, zu suchen. Denn in einem solchen Rechtsstreit mit einem Großkonzern wie Twitter wäre es nur fahrlässig und dem Ziel nicht dienlich, dies im Alleingang zu versuchen, wenn sie Erfolg haben möchten.
Zunächst muss nach Erhalt einer detaillierten Auskunft des Verantwortlichen, in diesem Fall Twitter, diese intensiv auf einen möglichen Pflichtverstoß gegen die „Grundsätze zur Verarbeitung personenbezogener Daten“, Art. 5 Abs. 1 DSGVO geprüft werden. Dabei ist relevant ob ersichtlich ist, dass das für die Verarbeitung verantwortliche Unternehmen die folgenden Kriterien Punkte erfüllt hat. Zusammenfassend wird die erteilte Auskunft auf die Rechtmäßigkeit, die Verarbeitung nach Treu und Glauben, die Transparenz, die Zweckgebundenheit, die Einhaltung der Datenminimierung und der Speicherbegrenzung, sowie der Richtigkeit, Integrität und Vertraulichkeit geprüft. Kann durch diese Prüfung durch den Rechtsanwalt festgestellt werden, dass die Daten der betroffenen Person nicht DSGVO-konform verarbeitet wurden, sieht es für das Unternehmen äußerst schlecht aus.
Hierbei ist auch zu erwähnen, dass wenn das Unternehmen Twitter dem Verlangen nach Auskunft nicht detailliert oder nicht innerhalb von einer Frist von 4 Wochen nachkommt, dies ebenfalls einen Verstoß gegen die DSGVO führt und somit einen Schadensersatzanspruch des Auskunftssuchenden per Gesetz rechtfertigt.
Zudem gilt es noch den Schaden im Anschluss zu beziffern, wenn feststeht, dass ein Schadensersatzanspruch besteht. Im Falle eines materiell entstandenen Schaden ist dies recht simpel, da dieser in voller Höhe als Schadensersatz von der Gegenseite zur Zahlung verlangt wird. Im Falle eines immateriellen Schadens gestaltet sich dies allerdings etwas komplizierter, denn in den meisten Szenarien wird dieser mit einem festen Satz von 5000,00 EUR angesetzt, sofern es keine Annahme gibt, die einen höheren Betrag rechtfertigen würden.
Es ist allerdings ebenfalls zu erwähnen, dass es auch in der Vergangenheit bereits Schadensersatz Zahlungen von 6.500,00 EUR – 12.500,00 EUR aufgrund von nicht verschlüsselter E-Mail Korrespondenz zwischen Unternehmen und Verbraucher, sowie nicht autorisiertem Verschicken von Newslettern an Personen, die diesem Erhalt / Aufnahme in den Verteiler nicht zugestimmt hatten.
Daher ist davon auszugehen, dass aufgrund des Nachweises dieser Datenpanne und des medial verbreiteten Eingeständnisses nicht ausreichender Sicherheitsmaßnahmen des Unternehmens Twitter, es durchaus möglich ist weitaus höhere Beträge jenseits der 5000,00 EUR zu fordern.
Unsere Aufgabe besteht darin, den betroffenen Personen Ihrem Recht zu verhelfen. Zunächst verlangen wir gemäß Art. 15 DSGVO für unsere Mandanten Twitter gegenüber eine Auskunft über sämtliche verarbeiteten personenbezogenen Daten unseres Mandanten, sowie einen Nachweis, dass diese nicht von einer unbefugten Person abgegriffen oder gespeichert wurde.
Sollte diese Auskunft nicht erfolgen, einen Pflichtverstoß nach Art. 5 Abs. 1 DGSVO darstellen oder im auch nur in Teilen unvollständig sein, werden wir auf schnellstem Wege mit unserer Mandantschaft gemäß Art. 82 DSGVO einen möglichst hohen und realistischen Schadensersatzanspruch formulieren. Im Anschluss werden wir zunächst den Versuch der außergerichtlichen Einigung mit der Gegenseite, dem Unternehmen Twitter, anstreben und im Falle des Scheiterns dieser Maßnahme, darauffolgend Klage beim zuständigen Gericht gegen Twitter einreichen.
Ein Beispiel zu ähnlich gelagerten Fällen wie Twitter sind Fälle wie der von Facebook, einem Unternehmen des Meta Konzerns, bei dem ebenfalls durch ein Datenleck im Frühjahr 2021 Accountdaten von Nutzern der social Media Plattform in Millionen Anzahl in einem Hacker-Forum auftauchten. Dieser Vorfall sorgte für Furore und zugleich auch für eine regelrechte Klagewelle seitens der betroffenen Personen.
Am 14. September 2022 hat nun das Landgericht Zwickau bezüglich derartiger Vorfälle eine Leuchtturmentscheidung getroffen, denn man hat dem Kläger, einem Geschädigten, dessen Daten in diesem Fall nachweislich abgeschöpft und extrahiert wurden zugesprochen und Facebook in diesem Verfahren zu 1000,00 EUR Schadensersatz verurteilt. Die Begründung für diese Entscheidung war, dass dem Nutzer ein immaterieller Schaden im Sinne der europäischen Datenschutzgrundverordnung entstanden ist (AZ: 7 O 334/22), da das Unternehmen diese sensiblen Daten nur unzureichend vor Hacker-Angriffen geschützt habe. Ein klares Beispiel und Nachweis, dass sich Verbraucher durchaus auch gegen solche Missstände auf Seiten der Großkonzerne wehren können.
Grundsätzlich ist hierzu zu sagen, dass wenn die betroffene Person Ihren Schadensersatzanspruch durch einen Rechtsanwalt geltend machen möchte, bezüglich des Kostenrisikos besser bedient ist wenn sie eine Rechtsschutzversicherung abgeschlossen hat. Wenn nicht, muss die betroffene Person, für die Kosten der Beauftragung des Rechtsanwalts zur Prüfung der Schadensersatzansprüche und anschließender außergerichtlichen, sowie gerichtlichen Durchsetzung dieser selbst tragen.
Hierbei ist ebenfalls zu erwähnen, dass der Mandant im besten Fall sogar vor Erstkontakt zum Rechtsanwalt schon einmal eine Deckungsanfrage bei seiner Rechtsschutzversicherung durch Vortrag des Sachverhaltes und der Bitte um Übernahme der Kosten zur Beauftragung eines Anwaltes stellt. Im besten Fall sogar bereits eine Deckungszusage der Rechtsschutzversicherung zur Übernahme der Rechtsanwaltskosten. Dies beschleunigt den Prozess der zeitnahen Bearbeitung des Mandats für den Rechtsanwalt enorm, da sich dieser so ausschließlich und fokussiert dem juristischen Sachverhalt widmen kann.
Hauptkanzlei – Kerpen
Herr Rechtsanwalt Patrick Baumfalk
Hauptstraße 147
50169 Kerpen
Deutschland
Zweigstelle – Witten
Herr Rechtsanwalt Patrick Baumfalk
Berliner Straße 4
58452 Witten
Deutschland
Unser Kooperationspartner in den USA, FL, Merritt Island, Spacecoast und Miami, USA:
Mr. Alexander Thorlton, Esq. – German American Real Estate & Immigration Law Center, LLC
Webdesign & SEO von Baumfalk Services