Nach dem Datendiebstahl ist vor der Klagewelle

YAHOO US-Verbraucher klagen. Hiesige Nutzer haben es nicht so leicht. Das könnte sich ändern

Na, wo sind sie hin, die Daten? Foto: Lucas Jackson/reuters

BERLIN taz | Wenige Tage nachdem der US-Konzern Yahoo eingeräumt hat, dass Kriminelle 500 Millionen Kundendatensätzen abgegriffen haben, sind in den USA die ersten Klagen eingereicht worden. Die Kläger werfen dem Konzern mangelnden Schutz der persönlichen Daten und eine zu späte Information über den Diebstahl vor. Gemessen an der Zahl der betroffenen Nutzer ist der Datendiebstahl der größte, der bisher bekannt wurde.

Yahoo hatte am Donnerstag bekannt gegeben, dass Hacker bereits Ende 2014 eine halbe Milliarde Kundendaten gestohlen haben sollen. Dazu gehörten Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, verschlüsselt gespeicherte Passwörter, sowie – teils verschlüsselte, teils unverschlüsselte – Sicherheitsfragen und die dazugehörigen Antworten von Nutzern. Diese Fragen, etwa nach dem Lieblingstier, werden häufig verwendet, um vergessene Passwörter zurückzusetzen. Man gehe von einem Angriff mit staatlichem Hintergrund aus, schrieb Sicherheitschef Bob Lord in der Mitteilung, ohne die Vermutung näher zu begründen.

Spät entdeckt

Der New-Yorker Kläger kritisiert in seiner Klageschrift, die das IT-Portal Heise veröffentlicht hat, nicht nur einen mangelnden Schutz der persönlichen Nutzerdaten. Sondern ebenso, dass es nahezu zwei Jahre dauerte, bis das Unternehmen die Attacke entdeckte. Die Klage spricht hier von „grob fahrlässiger Nachlässigkeit“. Darüber hinaus gebe es Hinweise darauf, dass der Datenklau intern bekannt gewesen, aber in Hinblick auf den Verkauf an Verizon im Sommer dieses Jahres unter Verschluss geblieben sei. Eine Stellungnahme lehnte Yahoo gegenüber der Nachrichtenagentur Reuters mit Verweis auf das laufende Verfahren ab.

Lord betonte in seiner Mitteilung zwar, dass Konto- oder Kreditkartendaten nicht von dem Hack betroffen seien. Doch auch ohne derartige Informationen können Kriminelle Schaden anrichten – zum Beispiel mittels Identitätsdiebstahl. „Denkbar ist, dass die entwendeten Daten für einen Warenbetrug genutzt werden“, sagt der auf IT-Recht spezialisierte Anwalt Christian Solmecke. Dabei bestellen Betrüger Waren auf einen fremden Namen, lassen sich die Pakete an abweichende Adressen liefern, nur die Rechnung geht an das Opfer des Identitätsdiebstahls. Auch müssten Betroffene mit Phishing-Mails rechnen, mit denen Kriminelle versuchten, doch noch an die fehlenden Kontodaten zu kommen.

Solmecke rät Nutzern daher zu ein paar grundsätzlichen Maßnahmen: Passwörter ändern und in sozialen Netzwerken die Einstellung so setzen, dass die Profile nicht öffentlich einsehbar sind. Sonst werde es Kriminellen leicht gemacht, zusätzliche persönliche Informationen zu erhalten.

Grundsätzlich können auch Kunden aus Deutschland gegen Yahoo klagen – das Unternehmen wendet sich, etwa mit seiner hiesigen Domain, eindeutig an deutsche Nutzer. Laut Solmecke muss Yahoo auch für einen eventuellen Schaden haften: „Die schiere Masse der ­entwendeten Daten spricht schon dafür, dass Yahoo den Datendiebstahl zu vertreten hat, selbst wenn die Hintergründe derzeit noch unklar sind.“ Das Problem: Kunden müssten einen Schaden nachweisen. Dass ein leergeräumtes Konto oder ein Online-Betrug genau auf diesen Hack zurückgeht und nicht zum Beispiel auf einen auf anderem Wege eingefangenen Trojaner, dürfte ebenfalls schwierig zu beweisen sein.

Besser werden könnte das mit der Datenschutzgrundverordnung, deren Regelungen im Frühjahr 2018 wirksam werden. Sie sieht in Fällen von Datendiebstahl auch Schadenersatz für immaterielle Schäden vor. Wie viel die Gerichte Betroffenen zusprechen, wird sich allerdings erst zeigen. Svenja Bergt