Das Projektmanagement-/Verwaltungs-Tool Trello – (webbasierte Projektmanagement-Anwendung) – mit dem Projekte verwaltet werden können, ist von einem Hackerangriff betroffen. Nach zahlreichen Medienberichten wurden mehr als 15 Mio. Daten von Nutzerinnen und Nutzern erbeutet und im Darknet geleakt.

Have-I-Been-Pwned (Whistleblower-Dienst) hat kurz nach dem Leak Zugriff auf die Daten erlangt und in seine Have-I-Been-Pwned-Datenbank mit aufgenommen. Nutzer können über – Have-I-Been-Pwned – nachprüfen, ob Sie betroffen sind.

Die Daten wurden im Darknet zum Kauf angeboten. Die geleakten Daten sollen E-Mail-Adressen, Namen und Nutzernamen enthalten.

Mit den Daten und dem Wissen über die Datenherkunft kann ein deutlich gezielteres Phishing durch unbefugte Dritte erfolgen.

Kurz und knapp

  • Datenleck bei Trello – 15 Mio. Nutzerdaten betroffen
  • Prüfung Betroffenheit über Have-I-Been-Pwned
  • Ansprüche auf Auskunft-/Unterlassung und Schadensersatz
  • Auskunftsanspruch nach Art. 15 DSGVO für Trello Nutzerinnen
  • Schadensersatzanspruch bereits, wenn befürchtet wird, dass Daten von Dritten missbraucht werden könnte.
  • Vorsicht vor Pishing-Mails mit Trello-Bezug

Das Trello-Datenleck

Trello ist ein beliebtes Online-Tool, um (agile) Projekte zu organisieren und um somit die Arbeit im Team zu erleichtern.

Trello ist durch den Hackerangriff und des Datenlecks betroffen. Nach Medienberichten sind 15 Mio. Nutzerdaten gehackt worden.

Folgende Daten von Trello-Nutzern sind betroffen,

  • Benutzer-E-Mail-Adressen,
  • Benutzernamen,
  • vollständige Namen und andere Kontoinformationen

Mit dem aktuellen Fall wird wieder veranschaulicht, wie wichtig der Schutz personenbezogener Daten ist und welche Pflichten die Unternehmen treffen.

Das Trello-System wurde nicht direkt gehackt. Mittels Scraping (Datenerfassungstechnik mittels automatisierter Internetsuche aus öffentlichen Quellen) wurden die Daten erbeutet. Die Daten sollen nach Angeben eines Users auf X (Twitter) im Darknet zum Kauf angeboten werden. Der User hat sogar einen Screenshot gepostet, wodurch der Hack bestätigt wird.

Der Betreiber von Have-I-Been-Pwned, Troy Hunt, bestätigte, dass die Daten am 16.01.2024 von Hacker erlangt wurden.

Was können Trello Nutzer tun?

Grundsätzlich stehen den Trello-Nutzerinnen und Nutzern folgende Ansprüche zu,

  • Auskunfts- und Unterlassungsanspruch
  • Schadensersatzanspruch

Nach Art. 15 DSGVO können Nutzerinnen und Nutzer zunächst Auskunft gegenüber Trello verlangen, ob sie betroffen sind.

Wird die Auskunft durch Trello nicht, nicht richtig oder unvollständig erteilt, kann sich allein daraus bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben.

Zudem besteht nach Art. 82 DSGVO ein allgemeiner Anspruch auf Schadensersatz.

Urteil des EuGH v. 14.12.2023 entscheidend

Der EuGH hat mit dem Urteil vom 14.012.2023 – Rechtssache C-340/21 entschieden, dass es bereits einen „immateriellen Schaden“ darstellen kann, wenn eine von einem Hackerangriff betroffene Person befürchtet, dass ihre personenbezogenen Daten durch Dritte missbraucht werden.

Dem Urteil lag folgender Ausgangsfall zu Grunde:

Im Juli 2019 veröffentlichten die bulgarischen Medien die Nachricht, dass unbefugte Dritte Zugang zum Netzwerk der nationalen Agentur für Einnahmen in Bulgarien – kurz NAP – erlangten und personenbezogene Daten von Millionen von Bürgern im Steuer- und Sozialversicherungsbereich im Internet veröffentlichten.

Zahlreiche Personen verklagten die Behörde und verlangten nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) Ersatz des ihnen entstandenen immateriellen Schadens.

Sie befürchteten den Missbrauch ihrer Daten durch Dritte.

Das bulgarische Gericht wollte vom EuGH wissen, wann eine Person, deren personenbezogene Daten nach Hackerangriff im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann. Der EuGH hat für die betroffenen Personen, den die Verbraucher entschieden.

Besteht ein Anspruch auf Schadensersatz

Nach Art. 82 DSGVO haben Betroffenen einen Anspruch auf Ersatz des Ihnen entstanden materiellen und immateriellen Schadens. Art. 82 Abs. 1 DSGVO besagt:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Der Schadensbegriff des Art. 82 Abs. 1 DS-GVO ist ein europarechtlicher Begriff, bei dessen Ausfüllung nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden darf.

Der Begriff des Schadens soll nach Erwägungsgrund 146 S. 3 DS-GVO „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“

Wegen der in Erwägungsgrund 146 S. 3 DS-GVO geforderten weiten Auslegung sieht die Rechtsprechung und die Lit. bereits in dem unguten Gefühl der Ungewissheit, ob personenbezogene Daten Unbefugten bekannt geworden sind, einen erlittenen immateriellen Schaden.

Potenzielle Schäden sind deshalb zB Ängste, Stress sowie Komfort- und Zeiteinbußen und potenzielle Stigmatisierung, Diskriminierung, Rufschädigung und Verlust von Vertraulichkeit durch einen Negativeintrag bei einer Auskunftei, ohne dass dieser an Dritte übermittelt wird.

Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -Betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

Als (immaterieller) Schaden der Nutzerinnen und Nutzer von Trello stellt sich die mit dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar.

Dafür, dass darin ein (immaterieller) Schaden iSv Art. 82 Abs. 1 DS-GVO liegen kann, spricht nicht nur Erwägungsgrund 75 DS-GVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird.

Aufgrund des genannten Urteils des EuGH v. 14.12.2023 tragen die vom Angriff betroffenen Unternehmen, wie jetzt Trello oder auch Behörden die Beweislast dafür, dass ihre Schutzmaßnahmen (sog. TOM`s – technische und organisatorische Maßnahmen) geeignet waren, um den Hacker-/Cyberangriff zu verhindern und die Daten der betroffenen Nutzerinnen und Nutzer zu schützen.

Die Unternehmen wie Trello sind Verantwortliche im Sinne der DSGVO. Nach dem Urteil des EuGH tragen die Unternehmen oder Behörden die Beweislast für die Geeignetheit der Schutzmaßnahmen nach Art. 24 und 32 DSGVO der Verantwortliche, sprich Trello.

Wichtig

Unternehmen wie Trello oder Behörden können sich praktisch nicht mehr entlasten.

Zudem müssen Unternehmen oder Behörden nachweisen, dass sie für einen Schaden der Betroffenen nicht verantwortlich sind und dies ist schier unmöglich.

Wichtig

In der bisherigen Rechtsprechung wurde verlangt, dass ein konkreter auch (immaterieller) Schaden von den betroffenen Personen eines Datenlecks nachgewiesen werden musste.

Dies ist nun nicht mehr der Fall, da ein ungutes Gefühl oder die Befürchtung, mit den Daten könnten Dritte Missbrauch betreiben, nunmehr ausreicht, um einen Schadensersatzanspruch zu begründen.

Fazit:

  • Betroffene Nutzerinnen und Nutzer sollten Betroffenheit prüfen.
  • Anspruch auf Schadensersatz besteht bereits durch den Verlust der Daten-Kontrolle oder der Befürchtung von Datenmissbrauch.
  • Angst der Betroffenen vor Missbrauch reicht aus, um DSGVO-Schadensersatz zu begründen.
  • Deutsche Gerichte legen den Schadensbegriff im Lichte der EuGH-Rechtsprechung zunehmend weit aus, das bedeutet, das hohe Schadensersatzansprüche nach Art. 82 DSGVO zugebilligt werden.
  • Gerichte vertreten zunehmend die Ansicht, dass Schadensersatzansprüche eine abschreckende Wirkung haben sollten und somit die Höhe abschreckend sein soll.

LOIBL LAW – die Rechtskanzlei, Ihre Experten im Datenschutz- und Verbraucherrecht!

WIR beraten Sie, ob als Nutzerin oder Nutzer, ob als Unternehmen oder Verantwortlicher in allen Fragen und Angelegenheiten des Datenschutz- und Verbraucherrechts.

Wir bieten insbesondere Arbeitgebern und Unternehmen datenschutzrechtliche Prüfungen und bspw. Schulungen für Mitarbeiterinnen und Mitarbeiter an.

Wir beraten Sie bundesweit. Sie erhalten bei uns eine kostenlose Ersteinschätzung zu Ihrem Anliegen.

WIR handeln schnell, unkompliziert und lösungsorientiert. Unser Ziel, Ihre Rechte Sichern und schützen!

Sie können sich jederzeit unverbindlich unter 0991/38306131, per E-Mail mail@loibl-law.de oder WhatsApp-Business unter 099138306131 oder über die weiteren Kontaktmöglichkeiten auf unserer Website www.loibl-law.de mit der Online-Chat-Funktion melden.

Zudem sind wir auf verschiedenen Social-Media-Accounts und auf anwalt.de vertreten.

Ihr Team von LOIBL LAW!

Über uns

Herr Loibl hat die Kanzlei im August 2019 gegründet. Er hat sein Rechtswissenschaftliches Studium an der Universität Passau absolviert. Während des Referendariats am OLG München folgten Stationen bei der Staatsanwaltschaft Deggendorf, dem Landgericht Deggendorf.
Vor seinem Studium der Rechtswissenschaften war Herr Loibl bereits mehrere Jahre im Öffentlichen Dienst bei verschiedenen Behörden tätig.

Sie haben Fragen?

Reden Sie mit uns, wir helfen Ihnen und freuen uns auf Ihre Nachricht.

    drei × eins =