Verivox-Datenleck: Geschädigte haben Anspruch auf DSGVO-Schadenersatz
Das Vergleichsportal Verivox bietet Vergleiche in den Bereichen Strom und Gas, Internet/Telefon sowie Kredite & Versicherungen. Jetzt gab es einen Hackerangriff auf Verivox. Betroffene eines Datenabflusses haben unter Umständen Anspruch auf Schadenersatz nach Artikel 82 DSGVO.
Jetzt DSGVO-Schadenersatz prüfen lassen!
Man sei „Opfer einer Cyber-Attacke geworden“, erklärt Verivox auf seiner Internetseite in einer Information für Nutzerinnen und Nutzer. Zur Übermittlung von Informationen an seine Partner habe Verivox die Dateiübertragungssoftware MOVEit Transfer genutzt. MOVEit Transfer habe am 31. Mai 2023 mitgeteilt, dass eine „kritische Schwachstelle“ in der Software entdeckt worden sei. Diese habe „den unautorisierten Zugriff auf das Dateisystem des entsprechenden Servers ermöglicht“.
„Kritische Sicherheitslücke“ und „entwendete Daten“
Verivox habe daraufhin umgehend die MOVEit-Softwareumgebung bei Verivox vom Netz genommen. Bei einer anschließenden Überprüfung sei festgestellt worden, dass zuvor „unerlaubt personenbezogene Daten über diese kritische Schwachstelle entwendet wurden“.
Namen, Adressen, Bankverbindungsdaten betroffen
Laut Verivox sind „vor allem personenbezogene Daten, die eine E-Mail-Adresse enthalten, betroffen“. Konkret betreffe dies „Name, Adresse, E-Mail-Adresse“. In bestimmten Fällen seien außerdem Bankverbindungsdaten betroffen. Hier gehe es um „Name, Adresse, E-Mail-Adresse, IBAN“.
Man arbeite „mit Hochdruck daran, den Sachverhalt vollumfänglich aufzuklären“, heißt es bei Verivox. Dies werde aber „noch einige Zeit beanspruchen“. Um die Sache zumindest zu beschleunigen, hat Verivox nach eigenen Angaben sogar externe Forensiker eingeschaltet.
Verivox gehört zum Medienkonzern ProSiebenSat.1 Media SE, genauer zu dessen Digitalsparte, in der verschiedene Online-Unternehmen gebündelt sind. Zur Verivox-Gruppe gehört auch die Telekommunikations-Deal-Plattform Preis24.de.
Schwachstelle erlaubte unautorisierten Zugriff
Verivox-Nutzer haben die Möglichkeit, sich zu registrieren und ein persönliches Kundenkonto zu nutzen. Es handelt sich dabei um ein Zusatzangebot, welches Nutzern erlaubt, Strom-, Gas-, Versicherungs-, Telekommunikations- und sonstige laufende Verträge, die über Verivox oder Verivox-Partnerwebseiten abgeschlossen wurden, zu verwalten. Der Service „Mein Konto“ gibt Überblick über Kosten, Fristen und Laufzeiten. Die seit Juli 2020 geltenden Nutzungsbedingungen von „Mein Konto“ sehen vor, dass Nutzer in die Nutzung ihrer Daten zu Werbezwecken sowie zur werblichen Ansprache einwilligen.
Auskunftsanspruch gegen Verivox nach Artikel 15 DSGVO
Unabhängig von dem Vorfall haben Betroffene stets grundsätzlich nach Artikel 15 DSGVO Anspruch darauf, von Unternehmen Auskunft über zu ihrer Person gespeicherten Daten zu verlangen. Auskunft gegeben werden muss auch über die Verarbeitungszwecke von Daten oder die mögliche Weitergabe von Daten an Dritte. Eine verspätete Auskunft nach Artikel 15 DSGVO kann Schadenersatz nach Artikel 82 DSGVO auslösen, wie wir auf unserer Themenseite zum DSGVO-Schadenersatz näher erläutern.
Schadenersatzanspruch bei immateriellem Schaden
Wer sich bei Verivox registriert hat, sollte zunächst sein Passwort ändern. Verivox empfiehlt Betroffenen außerdem, Kontobewegungen und Kreditkartenabrechnung regelmäßig genau zu beobachten und die eigene Bank zu informieren, über den Vorfall, aber auch im Falle verdächtiger Aktivitäten. Verivox rät darüber hinaus, Internetportale wie „Have I Been Pwned“ oder den Identity Leak Checker des Hasso-Platter-Instituts zu nutzen, um anhand der eigenen E-Mail-Adresse festzustellen, ob persönliche Zugangsdaten bei bekannten Datenleaks, beispielsweise im Darknet, veröffentlicht wurden. Dies erfordert von Betroffenen allerdings die Übermittlung der E-Mail-Adresse an das jeweilige Internetportal.
Jetzt DSGVO-Schadenersatz prüfen lassen!
Darüber hinaus sollten Betroffene prüfen, ob im individuellen Fall personenbezogene Daten abgeflossen sind. Anspruch auf Schadenersatz haben Betroffene nicht nur bei Vorliegen eines materiellen Schadens, sondern auch im Falle eines immateriellen Schadens.