Zum Inhalt springen

Datenleck bei Clubhouse: and another one

Bei der audiobasierte Social-Network-App Clubhouse hat es ein massives Datenleck gegeben. Möglicherweise wurden 3,8 Milliarden Handynummern durch Hacker abgegriffen. Betroffene können Schadenersatzforderungen nach DSGVO geltend machen.

Besonderheit bei Clubhouse

Die App ist so programmiert, dass sie auf das Telefonbuch ihrer Nutzer zugreift. Dies zog schon länger die Kritik nicht nur von Datenschützern, sondern auch der Medien auf sich. Wegen dieses Vorgehens ist auch das Ausmaß der Datenpanne, wenn sich diese bewahrheitet (wonach es aussieht), so gigantisch: Es geht nicht nur um die Handynummern der unmittelbaren Nutzer von Clubhouse, sondern um alle ihre Kontakte, die auf ihrem Smartphone vermerkt waren. 

Wie ist die Datenpanne aufgeflogen?

Das Leck hat ein Schweizer Sicherheitsforscher bemerkt. Er ist häufiger im Darknet unterwegs und stieß dort in einem Forum auf ein Verkaufsangebot für 3,8 Milliarden Handynummern von Nutzern der Clubhouse-App und ihrer weiteren Kontakte. Wie im Darknet üblich wurde das Angebot auktioniert. Die Daten werden also an den Höchstbietenden gehen. Die Kriminellen verbrämen auch ihre Aktion mit einem moralischen Impetus, wie das neuerdings üblich zu sein scheint. Sie behaupten, dass sie mit ihrem Hack und dem Verkauf der Handynummern nur auf den mangelnden Datenschutz bei Clubhouse hinweisen wollen. Bei solchen Aussagen winken die Behörden ab. Es stimmt zwar, die Clubhouse-Methode des Zugriffs auf das Telefonbuch der Nutzer ist mehr als fragwürdig. Doch die Betroffenen lassen sich schließlich freiwillig darauf ein. Den Kriminellen, so viel steht fest, geht es schlicht und ergreifend ums Geld.

Welche Verantwortung trägt Clubhouse?

Zunächst einmal sind die Betreiber solcher Angebote zur Einhaltung des Datenschutzes verpflichtet, und zwar nicht nur laut DSGVO, sondern nach den Gesetzen praktisch sämtlicher Staaten. Die DSGVO bestimmt allerdings explizit, dass die Betreiber auch in technischer Hinsicht Sorge für den Datenschutz tragen müssen. Sie können also allein schon deshalb in Haftung genommen werden, weil der Hack gelungen ist. Dieser Punkt wiegt umso schwerer, weil eben Clubhouse alle Telefonnummern in den Kontaktlisten seiner Nutzer sammelt, und zwar nicht nur bei der ersten Anmeldung, sondern kontinuierlich.

Hierfür gleicht die App regelmäßig alle Daten ihrer Nutzer mit dem bisherigen Stand ab. Wenn neue Telefonnummern bei einem Nutzer hinzukommen, werden diese der Clubhouse-Datenbank hinzugefügt. Damit begeben sich die Betreiber der App allerdings auf dünnes Eis. Jeder Betroffene kann sie auf Schadenersatz verklagen, auch wenn er selbst kein Clubhouse-Nutzer ist, sondern nur mit einem solchen bekannt und in dessen Kontaktliste geführt ist. Sammelklagen dürften alsbald folgen. Wir vertreten Sie, falls Sie zu den Betroffenen gehören. Wenn Sie dies nur vermuten, ist Clubhouse verpflichtet, Ihnen Auskunft darüber zu geben, ob Ihre Telefonnummer in der dortigen Datenbank geführt wird.

Sind die Daten wirklich echt?

Danach sieht es aus. Der Hacker hat zur Verifikation ein Sample mit 83,5 Millionen japanischen Telefonnummern veröffentlicht, die sich als echt herausstellten. Auch die Clubhouse-Betreiber geben das Datenleck zu, auch wenn sie einen kriminellen Hack verneinen.

Kontaktieren Sie uns umgehend, wenn Sie zum Betroffenenkreis gehören. Die Chancen auf Schadenersatz sind sehr hoch.

Björn Wrase

Björn Wrase

RA Björn Wrase: Anwalt für AI/KI- & IT-Recht, Medien- und Urheberrecht, Wettbewerbsrecht, Markenrecht und DatenschutzView Author posts