Tulip - Datenleck

Sind Sie vom Datenleck bei Tulip / brand on fire betroffen?

rauten-rand

Dann haben Sie Anspruch auf Schadensersatz!

Was bei Tulip / brand on fire vorgefallen ist:

Wie der Spiegel berichtet gab es bei Tulip und der von Tulip beauftragten Werbeagentur brand on fire aus Hamburg ein massives Datenleck mit mehreren 10.000 betroffenen Personen. Die Werbeagentur brand on fire veranstaltet für seine Kunden unter anderem Gewinnspiele und Geld-zurück-Aktionen (GzG). Durch eine Fehlkonfiguration eines Backup-Servers standen nun personenbezogene Daten über einen längeren Zeitraum ungeschützt zum Abruf bereit. Da die Agentur Aktionen für unterschiedliche Firmen durchgeführt hat, sind von diesem Datenschutzvorfall laut Spiegel-Angaben insgesamt Kunden von neun Unternehmen (u. a. Elisabethen Quelle und der Kekshersteller Leibniz) betroffen. Betroffen von dem Datenleck sind auch Kunden, die sich bei Cashback-Aktionen von Tulip (Danish Crown Foods Germany GmbH) angemeldet hatten. Dies betrifft einerseits Teilnehmer der „Gratis Testen Aktion 2023“ sowie offenbar auch Teilnehmer einer vorherigen Cashback-Aktion aus der Vorweihnachtszeit im Jahr 2022.

Betroffene der Datenpanne bei Tulip haben eine E-Mail folgenden Inhalts erhalten:

"Liebe*r Teilnehmer*in,

wir müssen Dich heute leider informieren, dass dem von uns mit der technischen Abwicklung beauftragte Dienstleister bei der Sicherung der Daten der „Gratis Testen Aktion 2023“ ein gravierender Fehler unterlaufen ist:

Deine personenbezogenen Daten wie

- Vor und Nachname
- Geburtsdatum
- IBAN
- E-Mail Adresse
- IP.Adresse

wurden außerhalb der Abwicklungssoftware auf einem Backup-Server zum Schutz gegen Datenverlust zusätzlich abgespeichert und dieser Backup-Server war, wie sich am 07.07.2023 herausgestellt hat, nicht ausreichend abgesichert.

So standen Deine Daten für einige Zeit theoretisch ungeschützt im Internet. Das Datenleck wurde sofort nach Bekanntwerden geschlossen und die Datenpanne auch bereits der Aufsichtsbehörde gemeldet. Nach jetzigem Stand der Ermittlungen hat außer der Person, die den Fehler aufgedeckt hat, niemand auf die Daten zugegriffen und sind sie entsprechend auch nicht Heruntergeladen worden.

Für die Nachlässigkeit in der Absicherung des Backups und das menschliche Versagen bitten wir vielmals um Entschuldigung. Auch wenn wir nach jetziger Sachkenntnis davon ausgehen, dass die Daten nicht Heruntergeladen wurden und somit auch kein Schaden entstanden ist, bitten wir Dich trotzdem sicherheitshalber in der Zukunft auf etwaig unberechtigte Lastschriftverfahren zu achten. Diese können theoretisch mit fremden Bankdaten eingerichtet werden, allerdings hat man immer auch ein Jahr Zeit ein unberechtigtes Lastschriftverfahren zu widerrufen.

Bei Fragen kannst Du uns dazu gerne unter dieser E-Mail-Adresse erreichen.

Herzliche Grüße

Dein TULIP-Team"

Ausweislich im Internet kursierender Screenshots ist die Aussage, dass die Daten nicht heruntergeladen wurden, falsch. Betroffene des Datenlecks konnten zudem die Behauptung von Tulip widerlegen, dass die Datenbank "max. vier unberechtigten Zugriffen ausgesetzt" gewesen sei, da bereits ein Betroffener allein häufiger mit mehr IP-Adressen auf die Daten zugegriffen hat.

Welche Daten geleakt wurden:

Folgende Daten sind nach aktuellem Stand vom Datenleck bei Tulip / brand on fire betroffen:

protectra-raute
Vor- und Nachname
protectra-raute
Geburtsdatum
protectra-raute
E-Mail-Adresse
protectra-raute
IBAN
protectra-raute
IP-Adresse

Was Sie tun können:

Unser Formular ausfüllen, dann kümmern wir uns um Ihren Schadensersatz gegen einen prozentualen Anteil im Erfolgsfall in Höhe von 25 % des durchgesetzten Anspruchs (Erfolgshonorar). Sie tragen also keinerlei Kostenrisiko.

Wie das funktioniert:

Sie verkaufen uns Ihr Problem, indem Sie das folgende Formular ausfüllen.

Wir kümmern uns um die Durchsetzung Ihrer Rechte, indem wir diese gebündelt geltend machen.

Je mehr wir wissen, desto konkreter können wir Ihren Schadensersatzanspruch vortragen. Daher bieten wir optional an, als Bote für Sie tätig zu werden, um etwa Auskunft darüber zu erlangen, wer konkret für den Verlust Ihrer Daten verantwortlich ist, welche Ihrer Daten davon betroffen sind oder wie es zu der Preisgabe Ihrer Daten gekommen ist.

Jetzt Ansprüche geltend machen

Mit Beauftragung zur Durchsetzung Ihrer Schadensersatzansprüche gegen Tulip / brand on fire stehen wir als Partner an Ihrer Seite. Wir führen Sie Schritt für Schritt durch den gesamten Fall bis nötigenfalls zur gerichtlichen Durchsetzung mit regelmäßiger Berichterstattung und sind telefonisch für Sie erreichbar.

Die bei der Bestellung erhobenen Daten verwenden wir zur Vertragsdurchführung, nämlich zur Information über Ihre laufenden Angelegenheiten, aber auch zur Information über Entwicklungen in anderen Fällen im Bereich des Verbraucherrechts und Datenschutzrechts. Der Verwendung Ihrer E-Mail-Adresse zur Information abseits Ihres konkreten Falls können Sie jederzeit widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Beauftragung gegen Erfolgshonorar (Abtretung zur Einziehung):

FAQs - Datenleck

Sie haben Fragen?
Wir haben Antworten.

Die Missbrauchsgefahr eines Datenlecks hängt von den geleakten Daten ab. Abhängig von den veröffentlichten Daten ist mit erhöhtem Spampotential bei Veröffentlichung der E-Mail-Adresse, Missbrauch von geleakten Passwörtern, Trojaner-Mails, Social Engineering und Phishing-Attacken zu rechnen. Die Gefahren sind umso höher, je mehr Daten dem Absender zur Verfügung stehen. Es besteht in Folge eines Datenschutzvorfalls das konkrete Risiko von finanziellen Schäden, das sich etwa durch den Missbrauch von Kreditkartendaten oder einen Identitätsdiebstahl mit einem Eingehungsbetrug zu Lasten des Betroffenen realisieren kann. Sofern Standortdaten betroffen sind, können die geleakten Daten zudem dazu verwendet werden, um Bewegungsprofile der Betroffenen zu erstellen. Es steigt schließlich das Risiko Opfer von Erpressungen oder Drohungen zu werden, insbesondere soweit sensible Daten betroffen sind. Gerade im Bereich der besonderen Kategorie personenbezogener Daten wie der politischen Gesinnung, Gewerkschaftszugehörigkeit, sexuellen Orientierung oder den Gesundheitsdaten besteht zuletzt ein erhöhtes Interesse, selbst zu entscheiden, wer Details hierüber erfährt.

Mit der Unterstützung von Protectra, die die Ansprüche der Betroffenen gebündelt geltend macht. Besonders erfreulich für Betroffene: Nach Art. 82 Abs. 4 DSGVO haften der Verantwortliche und in die Verarbeitung gegebenenfalls einbezogene Auftragsverarbeiter als Gesamtschuldner für Verstöße. Nach Art. 82 Abs. 3 DSGVO ergibt sich zudem eine erhebliche Erleichterung für die Anspruchsdurchsetzung, da der Verantwortliche einen ordnungsgemäßen Umgang mit personenbezogenen Daten beweisen muss:

"Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist."

Neben dem Auskunfts- und Unterlassungsanspruch steht Betroffenen ein Schadensersatzanspruch nach Art. 82 DSGVO zu. Danach sind materielle Schäden (denkbar zum Beispiel Aufwand für einen Tausch der Mailadresse) wie auch immaterielle Schäden zu ersetzen. Hierunter sind pauschale Abgeltungen für spürbare Nachteile durch objektiv nachvollziehbare, mit gewissem Gewicht einhergehende Beeinträchtigungen von persönlichkeitsbezogenen Belangen zu fassen.

Zunächst einmal gewährt die DSGVO in Art. 82 Abs. 1 und das BDSG in § 83 Abs. 2 eine Entschädigung auch für immaterielle Schäden. Wenn auch die Rechtsprechung hierzu noch in den Kinderschuhen steckt, sind bei der Höhe der Entschädigung Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, die getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, Umfang der Zusammenarbeit mit Aufsichtsbehörden zur Abhilfe oder zur Minderung von nachteiligen Auswirkungen und die Kategorien von betroffenen personenbezogenen Daten zu berücksichtigen. Die Entschädigung soll dabei auch abschreckende Wirkung haben. Der OGH Wien sprach dem Kläger in seinem Urteil vom 23.06.2021 einen Schadensersatz in Höhe von 500,00 Euro zu.

Sobald es Neuigkeiten gibt, informieren wir Sie über den Stand Ihres Verfahrens. Darüber hinaus bitten wir Sie von Anfragen abzusehen. Es ist gerade in einem relativ neuen Rechtsgebiet ohne ständige Rechtsprechung nichts Ungewöhnliches, dass der Abschluss einer Instanz viel Zeit (auch bis über ein Jahr) in Anspruch nimmt.

Protectra, unsere Gegner oder die Rechtsschutzversicherung

Nach oben scrollen
WordPress Double Opt-in by Forge12