Worum es hier rechtlich geht
Der Beitrag ordnet ein öffentlich bekannt gewordenes Datenleck im Umfeld von Ticketmaster, Santander und Snowflake ein. Für Unternehmen, Datenschutzverantwortliche und streitnahe Datenschutzlagen ist der Fall vor allem deshalb relevant, weil er typische Folgefragen zu Auskunft, Schadensersatz, Betroffenenkommunikation und dokumentierten Schutzmaßnahmen bündelt. Die breitere rechtliche Einordnung dieser Pflichten und Reaktionslinien finden Sie im Datenschutzrecht.
Für wen das relevant ist
Relevant ist der Beitrag für Unternehmen mit datenintensiven Geschäftsmodellen, Verantwortliche für Datenschutz und Incident Response sowie für Personen, die nach einem Datenleck ihre Auskunfts- und Ersatzansprüche prüfen.
Welche Kernfrage sich stellt
Im Kern geht es darum, welche Folgen ein öffentlich gewordenes Datenleck für Betroffene und Verantwortliche hat und wann aus einem Sicherheitsvorfall Ansprüche aus Art. 15 und Art. 82 DSGVO erwachsen können.
Was Sie mitnehmen
Der Fall zeigt, wie eng technische Zugangssicherung, Betroffenenrechte, Auskunftsprozesse und die spätere Darlegung eines materiellen oder immateriellen Schadens zusammenhängen.
Das Wichtigste in Kürze
- Ein Datenleck dieser Größenordnung ist nicht nur ein IT-Sicherheitsvorfall, sondern regelmäßig auch ein Fall für Auskunft, Betroffenenkommunikation und spätere Anspruchsprüfung.
- Für einen Schadensersatzanspruch nach Art. 82 DSGVO genügt nicht jeder bloße Verstoß; erforderlich bleibt ein materieller oder immaterieller Schaden.
- Die Befürchtung eines missbräuchlichen Datengebrauchs kann nach der EuGH-Rechtsprechung einen immateriellen Schaden darstellen, wenn sie auf dem konkreten Verstoß beruht und nicht nur theoretisch bleibt.
- Für Unternehmen entscheidet sich die Belastbarkeit der eigenen Position häufig an dokumentierten Schutzmaßnahmen, sauberer Incident-Kommunikation und belastbaren Antworten auf Auskunftsersuchen.
Aktueller Stand
Der Fall wird heute nicht mehr nur als isoliertes Einzelereignis gelesen. Die Angriffe auf Ticketmaster und Santander werden inzwischen als Teil einer größeren Angriffswelle auf Snowflake-Kundeninstanzen eingeordnet. Für die praktische Rechtsbewertung älterer Beiträge ist deshalb weniger die Schlagzeile als vielmehr die dokumentierte Zugriffssicherung, die Reaktion auf den Vorfall, die Betroffeneninformation und der Umgang mit späteren Auskunfts- und Schadensersatzforderungen entscheidend.
Schneller Einstieg
Fast 600 Millionen Datensätze von Ticketmaster und der spanischen Bank Santander sind betroffen
Fast 600 Millionen Datensätze der amerikanischen Kartenverkaufsplattform Ticketmaster und der spanischen Bank Santander sind betroffen von einem Cyberangriff von Ende Mai 2024. Die Hackergruppe „ShinyHunters“ selbst hat sich zu dem Hackangriff bekannt. Das Datenleck sei zurückzuführen auf eine Sicherheitslücke bei der gemeinsamen Cloud-Datenplattform Snowflake. Betroffen sind ca. 400 Kundenunternehmen des kalifornischen Cloudanbieters, darunter auch Unternehmen wie Adobe, Mastercard, EA, Canva und HP.
Nach eigenen Angaben haben die Hacker durch Einschleusen von Schadprogrammen mehrere Login-Daten ausgelesen, für die keine Multi-Faktor-Authentifizierung erforderlich gewesen sei. Für das Auslesen sei ein Trojaner in das System eines weiteren IT-Dienstleisters „EPAM“ eingeschleust wurden.
Die beiden Dienstleister weisen jedoch jegliches Verschulden von sich. Das Datenleck sei nicht auf eine Schwachstelle in ihren Systemen zurückzuführen. Stattdessen sollen die Hacker die Anmeldedaten eines ehemaligen Snowflake-Mitarbeiters, für die wohl keine Zwei-Faktor-Authentifizierung notwendig war, gestohlen und sich somit Zugriff auf die sensiblen Daten verschafft haben.
Dadurch sind 1,5 Terabyte an personenbezogenen Daten der Kunden ins Darknet gelangt und wurden dort im „BreachForum“ zum Verkauf angeboten. Für die Daten von Ticketmaster verlangten die Hacker 500.000 Dollar, für die Satander-Bankdaten lag das Angebot bei 2 Millionen Dollar. Die Daten können Namen, E-Mailadressen, Telefon-, Kreditkarten- und Kundennummern und Kontostände der Kunden, die bis zu 20 Jahre zurückgehen, enthalten.
Was bedeutet dies für die betroffenen Personen?
Die abgegriffenen personenbezogenen Daten sind durch den Verkauf in das sog. Darknet gelangt, sodass das Risiko für gezieltes Phishing und Identitätsdiebstahl deutlich gesteigert wird. Damit könnten beispielsweise Geschäfte zulasten der betroffenen Personen getätigt werden. Aufgrund dessen sollten Betroffene prüfen, ob sie aus der Datenschutz-Grundverordnung (DSGVO) unter anderem Auskunftsansprüche und Schadensersatzansprüche geltend machen.
Aus Art. 15 DSGVO ergibt sich der Auskunftsanspruch der Betroffenen. Ihnen steht es zu, Auskunft darüber zu erlangen, ob die sie betreffenden personenbezogenen Daten durch den Cyberangriff in die Hände von Kriminellen gelangt sind. Falls das Unternehmen keine Auskunft oder eine unvollständige Auskunft erteilt, könnten weitere Ansprüche denkbar sein, etwa auch Schadensersatzansprüche aus Art. 82 DSGVO. Darüber hinaus könnten andere Pflichtverletzungen, die mit dem Datenleck in Verbindung stehen, u.a. Ansprüche begründen.
Der Gerichtshof der Europäischen Union (EuGH) entschied im Juni 2024 in einem anderen Fall (Urt. v. 20.06.2024, Rs. C-590/22), dass der Betroffene nicht nachweisen muss, dass es tatsächlich zu einem Identitätsdiebstahl gekommen ist:
„Der Gerichtshof hat entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann.“
Voraussetzung für die Geltendmachung von Schadensersatz ist aber nach Art. 82 Abs. 1 DSGVO, dass bei den Geschädigten ein materieller oder immaterieller Schaden entstanden ist.
Hierzu und insgesamt zu Datenschutzfragen beraten und vertreten wir Sie.
Was daraus praktisch folgt
Nach einem öffentlich bekannt gewordenen Datenleck stehen typischerweise drei Schritte im Vordergrund: die eigene Betroffenheit klären, die Antwort des Unternehmens auf ein Auskunftsersuchen prüfen und mögliche Folgeschäden oder belastbare Missbrauchsrisiken dokumentieren.
Für Unternehmen mit eigener Incident-Lage ist entscheidend, ob Zugriffe, Schutzmaßnahmen, Meldeentscheidungen, Betroffeneninformation und interne Kommunikationswege belastbar dokumentiert wurden. Wenn nicht die Rolle als Betroffene, sondern eine eigene Melde- und Reaktionslage im Raum steht, ist die operative Sofortstruktur über Hilfe bei Datenpanne die naheliegende Anschlussroute.
FAQ zum Fallkontext
Reicht schon die bloße Sorge vor Datenmissbrauch für Art. 82 DSGVO aus?
Nicht jede abstrakte Sorge genügt. Nach der EuGH-Linie kann aber die konkrete Befürchtung einer missbräuchlichen Verwendung personenbezogener Daten einen immateriellen Schaden darstellen, wenn sie auf dem feststehenden Verstoß beruht und nicht nur theoretisch behauptet wird.
Welche Rechte sollten nach einem solchen Datenleck typischerweise zuerst geprüft werden?
Im Ausgangspunkt sind Auskunft nach Art. 15 DSGVO, eine belastbare Information über den Umfang der Betroffenheit und anschließend mögliche Ansprüche auf Ersatz materieller oder immaterieller Schäden zu prüfen.
Was ist für Unternehmen in vergleichbaren Fällen der häufigste Fehler?
Häufig problematisch sind unklare Zuständigkeiten, lückenhafte Dokumentation, schwache Antworten auf Betroffenenanfragen und eine zu späte Verzahnung von Technik, Datenschutz und Kommunikation.
Zuständige Rechtsanwälte bei ITMR
Jean Paul P. Bohne, LL.M., MM
Fachanwalt für IT-Recht sowie Fachanwalt für Urheber- und Medienrecht, zudem mit ausgewiesener Datenschutz- und IT-Compliance-Expertise. Fachlich besonders passend für Datenpannen, Betroffenenrechte und komplexe digitale Konfliktlagen.
Andreas Buchholz
Fachanwalt für IT-Recht und forensisch erfahren in Datenschutz-, IT- und Prozesslagen. Besonders naheliegend, wenn aus einer Datenpanne Auskunftskonflikte, Anspruchsschreiben oder streitige Folgefragen entstehen.
Quellen und Vertiefung
Offizielle Quellen
- Live Nation / Ticketmaster: SEC-Filing zum unbefugten Zugriff vom Mai 2024
- Banco Santander: Statement zum unbefugten Zugriff auf eine bei einem Drittanbieter gehostete Datenbank
- Mandiant / Google Cloud: Einordnung der Kampagne gegen Snowflake-Kundeninstanzen
- Ticketmaster: Information zum Data Security Incident
- EuGH, Urt. v. 20.06.2024, C-590/22
Weiterführende Einordnung
- DSGVO Entscheidungen Übersicht: Schadensersatzanspruch nach Art. 82 DSGVO
- Der Beitrag vertieft die EuGH-Linie zu Schaden, Kausalität und Reichweite von Art. 82 DSGVO und ist als Anschlusslektüre für diesen Fall naheliegend.
Fazit und praktische Folgen
Der Fall Ticketmaster / Santander bleibt ein prägnantes Beispiel dafür, wie schnell ein technischer Sicherheitsvorfall zu einem datenschutzrechtlichen Mehrfrontenfall werden kann. Für Betroffene geht es um Transparenz, Reichweite des Datenabflusses und die belastbare Prüfung von Ersatzansprüchen. Für Unternehmen geht es um Zugangssicherung, Incident-Dokumentation, Betroffenenkommunikation und die Frage, wie sich Art.-15- und Art.-82-Konstellationen im Ernstfall sauber bewältigen lassen.
Für die systematische Einordnung von Datenpannen, Betroffenenrechten, Meldepflichten und streitigen Anschlussfragen ist das Datenschutzrecht die passende Vertiefung.
„Datenleck bei Santander und Ticketmaster“