Die DSGVO sichert Ansprüche

Datenleck – was Betroffene wissen sollten

Ortenau (ag) Die Nachricht erschreckte auch Ortenauer. Das Softwareunternehmen OpenAI, das sich mit Künstlicher Intelligenz beschäftigt, informierte Nutzer im November über eine Sicherheitslücke. Diese entstand beim Analyse-Dienstleister Mixpanel, den OpenAI für seine API-Plattform nutzt. Sie wurde wohl behoben und es sollen keine sensiblen Daten in fremde Hände gelangt sein. Betroffen seien Nutzer der API-Plattform gewesen, nicht reguläre ChatGPT-Anwender. Aber möglicherweise konnten Angreifer in begrenztem Umfang Infos wie Name, E-Mail, grober Standort, Browser/OS, Referrer, User-/Organisations-IDs exportiert haben. Deshalb sollten diese Nutzer jetzt aufpassen, nicht auf Phishing-Mails hereinzufallen.

Pflichten

Die Guller-Redaktion nahm das zum Anlass, bei der Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH grundsätzlich nachzufragen: Welche Pflichten haben Unternehmen wie OpenAI bei einem Datenleck? "Sie müssen den Vorfall intern prüfen, Schutzmaßnahmen bewerten, der Datenschutzaufsicht melden und – bei erhöhtem Risiko – Betroffene informieren", heißt es seitens der Kanzlei. Umgekehrt hätten Betroffene das Recht auf Auskunft. "Sie können außerdem Löschung oder Einschränkung der Verarbeitung verlangen und sich bei der Aufsichtsbehörde beschweren – auch dann, wenn der Vorfall noch nicht vollständig aufgeklärt ist", so Dr. Stoll & Sauer. Sei gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen worden, gebe es Anspruch auf Ersatz materieller und immaterieller Schäden, wenn solche daraus entstanden seien: "Dazu können auch Angst vor Missbrauch, Kontrollverlust über eigene Daten und der Aufwand für Schutzmaßnahmen gehören – immer abhängig vom Einzelfall."
Zentrale Rechtsgrundlage sei die DSGVO. Sie regele die Meldepflichten bei Datenpannen und die Pflicht zu geeigneten Sicherheitsmaßnahmen. Bei Verstößen würden Bußgelder drohen, die bei groben Versäumnissen gerade für große Plattformanbieter sehr hoch ausfallen könnten.
Selbst wenn „nur“ eine E-Mail-Adresse betroffen ist, sei das juristisch kein Bagatellfall: "Auch eine E-Mail-Adresse ist personenbezogenes Datum im Sinne von Artikel 4 Nummer 1 DSGVO, sobald sie einer natürlichen Person zugeordnet werden kann. In Verbindung mit Name, Unternehmen oder Standort reicht das für zielgerichtete Phishing-Angriffe."

Passwort ändern

Seien Geschäfts-E-Mails betroffen, rät die Kanzlei: "Passwörter ändern, Zwei-Faktor-Authentifizierung aktivieren, Mitarbeitende gezielt vor Phishing warnen und verdächtige Mails an IT oder Security melden. Diese Schritte dienen auch dazu, die eigene Pflicht zur Sicherheit der Verarbeitung im Ernstfall nachweisbar zu erfüllen." Phishing-Opfer sollten Zugänge sichern, indem sie Passwörter ändern und die Mehr-Faktor-Authentifizierung aktivieren. Weiter gelte es, den Vorfall zu dokumentieren, den Anbieter zu informieren und Strafanzeige zu erstatten. Parallel dazu könnten sie ihre Rechte nach der DSGVO nutzen – etwa Beschwerde und Schadensersatzansprüche prüfen lassen. Phishing-Mails wirken, als würden sie von Bekannten, Behörden oder Institutionen kommen. Betrüger verwenden solche, um persönliche Daten, Passwörter, Bankinfos oder Zugangscodes zu erfahren. Oft werden Links und Anhänge genutzt. Phishing Mails