Vodafone Datenklau – Rechte und Pflichten Betroffener

Das Düsseldorfer Telekommunikationsdienstleistungsunternehmen Vodafone GmbH wurde Opfer einer Datenentwendung in großem Umfang. Offenbar machen in den letzten Jahren regelmäßig große Datendiebstaehle medienwirksam die Runde. Im Jahre 2010 war die poolworks (Germany) Ltd. von einem Übergriff auf Daten aus dem sozialen Netzwerk SchülerVZ betroffen. Die Sony Computer Entertainment Europe Ltd. musste Ende 2011 einen Angriff auf das Playstation-Network verzeichnen. Die Panne beim Mobilfunkanbieter Vodafone ist somit kein Einzelfall. Dennoch sorgt die Meldung für ein gravierendes Medien-Echo. Dies erscheint – ob des Ausmaßes des Datendiebstahls – auch wenig verwunderlich.

Sind meine Daten vom Vodafone Datenklau betroffen?

Nach Unternehmensinformationen wurden Stammdaten von etwa 2 Millionen derzeitigen und/oder ehemaligen Vodafone Kunden von einem Vodafone Server entwendet.

Ob ein Kunde vom Datenklau betroffen ist, kann auf der Vodafone Internetseite unter der URL https://www.vodafone.de/privat/hilfe-support/kundeninformation-sind-meine-daten-betroffen.html geprüft werden.

Betroffene Kunden des Unternehmens werden zudem per Brief auf den Vorfall hingewiesen. In dem Schreiben heißt es u.a.: „Vodafone Deutschland war kürzlich Ziel eines kriminellen Angriffs auf einen seiner Server. Der Täter verschaffte sich Zugang zu Stammdaten von 2 Millionen Personen. Konkret waren dies Name, Adresse, Geburtsdatum, Geschlecht, Bankleitzahl und Kontonummer. Vollkommen geschützt blieben Kreditkartendaten, Passwörter, PIN-Nummern, Mobilfunknummern oder Verbindungsdaten. Leider muss ich Ihnen mitteilen, dass Sie zu den betroffenen Personen gehören. Unabhängige Sicherheitsexperten haben uns bestätigt, dass es für den Täter kaum möglich ist, sich mit den gestohlenen Daten direkten Zugriff auf Bankkonten zu verschaffen.“

Welche Nachteile drohen Kunden durch den Datenklau bei Vodafone?

Weiterhin wird in dem Schreiben darauf hingewiesen, dass der Angriff auf die Serverinhalte offenbar im Zusammenhang mit einem Insider koordiniert worden sein soll und im Verborgenen der Vodafone IT-Infrastruktur stattfand. Das Unternehmen gibt im Fortgang an, den Übergriff auf die Daten nach Entdeckung unverzüglich gestoppt und zur Anzeige gebracht zu haben.

Der in der Praxis am häufigsten zu beobachtende Nachteil dürfte die Verwendung der Daten für Werbezwecke (inForm von Webeanrufen etc.) sein. Zwar bietet die Gesetzesänderung des Gesetzes gegen den unlauteren Wettbewerb vom 04.08.2009 mittlerweile einen recht effektiven Schutz gegen unerwünschte Werbemaßnahmen, doch nicht jeder Werbende hält sich an diese Bestimmungen, obwohl diese ausdrücklich geschäftliche Handlungen untersagen, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, was insbesondere für Werbung gilt, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht. Man sollte aber nicht vergessen, dass man es bei Werbenden, die auf Datenerhebungen Dritter zugreifen, ohne deren Erhebungslegitimität zu hinterfragen, mit jemandem zu tun hat, der Daten bereits auf unlauteren Wegen erlangte. Dieser wird sich – offenbarte er ja bereits eine in datenschutzrechtlicher Hinsicht zu maßregelnde Verhaltensweise – nur in seltenen Fällen an die Lauterbarkeitsregeln halten.

Das zweithäufigste Risiko droht seitens sogenannter Phishing- bzw. Pharming- Attacken auf die Kunden aus den entwendeten Datenbeständen. Hierbei werden Personen gezielt per E-Mail oder via Schadsoftware auf betrügerische Internetseiten gelockt und dort zur Eingabe sensibler Daten angehalten. Insbesondere vor der Eingabe von Passwörtern sollte die Zielseite penibel auf Auffälligkeiten hin geprüft werden. Anhaltspunkte für einen Missbrauch liefert oft die URL und das Identitätszertifikat bzw. die Betreibervalidierung, die zumeist im Browserfenster neben der URL bereitgehalten wird. Auch der Seitenquelltext vermittelt Anhaltspunkte über etwaige verdächtige Aktivitäten auf einem Internetauftritt.

Letztlich werden Datensätze mit Kontodaten aber auch für Warenbetrügereien genutzt. So wird bei einem Internetdienstleister eine Bestellung unter Angabe der Kontoinhaberdaten des Vodafone Kunden aufgegeben. Die Ware lässt sich der Besteller an eine eigens hierfür eingerichtete Lokalität senden. Sollten in diesem Zusammenhang Kontobelastungen für einen Vodafone Kunden entstehen, obgleich dieser die Bestellungen nicht veranlasst hat, so sollte dieser seine Bank kontaktieren, um eine Rückbuchung zu veranlassen. Die vielerorts geläufigen Fristen von 6 Wochen für die Veranlassung einer solchen Rückbuchung findet keine Anwendung auf eine Lastschriftabbuchung vom Konto des Bankkunden, in die der Kunde zuvor keine Einwilligung erteilt hat. Bei einem solchen widerrechtlichen Lastschrifteinzug gelten die mit der EU-Zahlungsdiensterichtlinie im Jahre 2009 eingebrachten Sonderbedingungen für den Lastschriftverkehr. Hiernach gilt gegenüber der Bank eine Frist zur Rückbuchung von 13 Monaten ab dem Zeitpunkt der nicht legitimierten Abbuchung, wobei diese Frist erst dann zu laufen beginnt, wenn das Kreditinstitut den Konteninhaber über die Abbuchung in Kenntnis setzt. Gegenüber dem Abbuchenden kann der Konteninhaber sogar den Zeitrahmen der regelmäßigen Verjährungsfrist für seine Rückerstattungsansprüche ausschöpfen.

Außerdem könnten Versuche gestartet werden, per Lastschriftverfahren auf die Konten der Kunden direkt zuzugreifen, um diese zu erleichtern. Dies ist in der Praxis eher seltener anzutreffen, da der Lastschriftempfänger eine Bezugs-Bankverbindung angeben müsste, die unter falschen Kontoinhaberdaten angelegt werden müsste, da die Bankverbindung ansonsten die direkte Identifizierbarkeit des Betrugsinitiatoren eröffnen würde.

Was sollten vom Vodafone Datenklau Betroffene beachten?

Beschwichtigend liest sich der Hinweis in dem Schreiben, in dem es heißt: „Es ist sehr unwahrscheinlich, mit den erlangten Stammdaten einen Schaden anzurichten. Dies ist Tätern nur mit höchstpersönlichen Zusatzdaten möglich.“

Dessen ungeachtet sollten Betroffene einige Maßgaben zur Vermeidung von Nachteilen beachten. Ratsam ist, die eigenen Kontoaktivitäten regelmäßig zu prüfen. Auf dem Computersystem des Anwenders sollte stets eine aktuelle Antiviren-Software sowie alle notwendigen Betriebssystem- und Programmupdates installiert sein. Vom Öffnen von E-Mail Anhängen unbekannter Versender sollte Abstand genommen werden.

Sobald ein Betroffener Kenntnis von Fremdaktivitäten (etwa durch den Erhalt von Rechnungen oder Abbuchungen von seinem Bankkonto) erlangt, sollte er mit dem bestimmungsgemäßen Zahlungsempfänger in Kontakt treten. Bei dem Anbieter kann für das bestimmte Konto unter Umständen eine Sperre eingetragen werden, sodass eine wiederholte Anmeldung unter Verwendung der Nutzerdaten des Vodafone Kunden ausgeschlossen ist. Zudem sollte eine Strafanzeige gegen Unbekannt erstattet werden, schließlich ist auch ein versuchter Betrug unter Strafe gestellt.

Welche Rechte hat ein Vodafone Kunde als vom Datenklau Betroffener?

Zahlreiche Kundendaten aus dem Vodafone Datenbestand sind solche, bei denen die Kunden bereits keine Bestandskunden mehr sind. Vielmehr waren die Kunden einmal Vertragspartner von Vodafone, die Verträge sind aber inzwischen beendet worden. Ganz generell sollten Vertragsnehmer also stets nach Vertragsbeendigung gegenüber dem Unternehmen auf der Löschung ihrer Daten beharren. Der Löschungsantrag kann sich freilich nicht auf alle Daten erstrecken. Nach den gesetzlichen Bestimmungen aus § 257 HGB und § 147 AO ist ein Kaufmann verpflichtet, Geschäftsunterlagen über einen Zeitraum von 6 bzw. 10 Jahren lang aufzubewahren, wobei die Aufbeahrungsfrist zum Ende des Kalenderjahres beginnt, in welchem die Belege erfasst bzw. erstellt wurden. Der Löschungantrag des ehemaligen Kunden eines Dienstleisters hat sich insoweit auf Online-Zugangsdaten zu beschränken.

Immer öfter wird auch die Frage aufgeworfen, ob unter diesem Datenklau Vodafone Kunden ein Sonderkündigungsrecht zufällt. Diese auch unter der Bezeichnung „außerordentliche Kündigung“ geläufige einseitige Beendigung eines Schuldverhältnisses eröffnet unter bestimmten Voraussetzungen die vorzeitige Lösung aus einem Mobilfunkvertragsverhältnis. Im Gegensatz zur ordentlichen Kündigung ist diese Kündigungsform nicht fristgebunden. Allerdings findet die außerordentliche Kündigung nur in besonderen Ausnahmefällen rechtliche Akzeptanz. Nach dem Gesetz kann ein Dauerschuldverhältnis nur aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist aufgekündigt werden. Ein wichtiger Grund in diesem Sinnen liegt aber nur dann vor, wenn dem kündigenden Teil unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zur vereinbarten Beendigung oder bis zum Ablauf einer Kündigungsfrist nicht zugemutet werden kann. Hierfür bedarf es auf Seiten des Mobilfunkanbieters einiger eklatanter Vertragspflichtverletzungen. So ist nach der Rechtsprechung ein Sonderkündigungsrecht etwa dann angezeigt, wenn ein Telekommunikationsdienstleistungsunternehmen trotz wiederholter Leistungsaufforderung durch den Kunden nicht nachbessert und so dem betroffenen Vertragspartner nicht nur zeitweilig ein Telefonieren sowie der Empfang von SMS und die Nutzung des mobilen Internetzugangs verwehrt bleibt. Infolgedessen bedarf es einer hinreichenden Eklatanz im Hinblick auf Nachlässigkeiten des Mobilfunkunternehmens, um sich vorzeitig aus einem geschlossenen Vertragsverhältnis zu lösen. Die Überschreitung der Eklatanzschwelle muss – nach diesseitiger Rechtsauffassung – unter dem Vodafone Datenklau nachhaltig in Zweifel gezogen werden. Kurzum, ein Sonderkündigungsrecht ist dem Kunden, dessen Daten auf dem betroffenen Server gespeichert waren, nicht zuzugestehen. Die Fortsetzung des Vertragsverhältnisses bis zur vereinbarten Beendigung des Vertrages kann dem vom Datenklau benachteiligten Kunden durchaus zugemutet werden. Jeder Vertragspartner muss sich schließlich grundsätzlich auf die Einhaltung von Verträgen verlassen dürfen, denn die gesamte Kalkulation eines Vertragsangebotes basiert auf dem gegenseitigen Vertrauen auf die Vertragstreue der Parteien. In diesem Zusammenhang darf man nicht vergessen, dass der Datenklau nicht durch Vodafone initiiert oder begünstigt wurde, sondern – nach den Presseinformationen – vielmehr alles daran gesetzt wurde, derartige Datenpannen zu vermeiden. Vodafone hat zudem der Ausuferung des Datenmissbrauchs entgegen gewirkt.

Hätte Vodafone diese Pflicht nicht wahrgenommen, könnte sich eine andere Rechtslage ergeben und zwar nicht nur in vertraglicher Sicht. Denn generell kann sich jeder Bundesbürger, der einen Datenschutzverstoß vermutet an den zuständigen Landesbeauftragten für Datenschutz und Informationsfreiheit als zuständige Aufsichtsbehörde wenden.

Schadensersatzansprüche von betroffenen Vodafone Kunden scheiden ebenfalls aus. Denn eine Pflicht zum Schadensersatz wird allein durch eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten und einem daraus resultierenden Schaden eines Betroffenen begründet. bereits hieran ermangelt es zugrunde liegend. Denn es gibt keine Anhaltspunkte für einen unzulässigen oder unrichtigen Umgang mit den Vodafone anvertrauten Daten. Darüber hinaus scheidet eine Schadensersatzpflicht ohnehin dann aus, wenn die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. Nach den bisherigen Erkenntnissen bestehen hieran keine Zweifel.

Welche Pflichten treffen ein Unternehmen wie Vodafone im Falle des Datendiebstahls?

Zunächst hat ein Unternehmen grundsätzlich einen internen Datenschutzbeauftragten zu bestellen, sobald personenbezogene Daten automatisiert verarbeitet werden und überdies 10 oder mehr Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Der Beauftragten für den Datenschutz muss dabei die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen.

Darüber hinaus muss im Falle einer Datenverarbeitung, Datenerhebung oder Nutzung die nach den Umständen des Einzelfalles gebotene Sorgfalt beachtet werden. Dies bedingt die Organisation und technische Umsetzung von Sicherheitsmaßnahmen gegen eine Datenentwendung und die Schaffung der Voraussetzung zur Erfüllung der Maßgaben zur Ausführung der Vorschriften des BDSG, insbesondere der in der Anlage zu diesem Gesetz genannten Anforderungen. Erforderlich sind aber nur solche Maßnahmen, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Im Falle des Aufdeckens eines Datenlecks ist dieses unverzüglich zu schließen und der von dem Datenleck Betroffene ist in angemessener Weise über den Umstand der Datenentwendung und ggf.  über eigene Schutzmaßahmen zu informieren. Darüber hinaus ist ein datenverarbeitendes Unternehmen gut beraten, im Falle des Erkennens eines Datenmißbrauchs neben den Strafverfolgungsbehörden auch den Landesdatenschutzbeauftragten über den Hergang zu informieren.