Klarna: Datenleck beim Zahlungsanbieter

 Am 27. Mai 2021 teilten Nutzer des Zahlungsdienstleisters Klarna auf Twitter und dieser selbst auf seiner Webseite mit, dass es zu einem Datenleck gekommen war. Die Nutzer berichteten, dass sie nach ihrem Login in den Accounts anderer Nutzer landeten und dort deren Namen und Bankdaten einsehen konnten. Klarna selbst kommunizierte einen technischen Fehler mit nachfolgenden Störungen im System.

Welche Daten lagen für Fremdnutzer offen?

Wer in einem anderen Account landete, sah dort

  • den Namen des anderen Nutzers,
  • dessen Adresse,
  • Telefonnummern, 
  • Bankdaten und
  • Einkäufe.

Da sich die fehlgeleiteten Nutzer Sorgen um ihre eigenen Daten machten, versuchten einige von ihnen, ihre Kreditkartendaten auf Webseite von Klarna vorläufig zu löschen, doch das funktionierte auch nicht. Der Zahlungsanbieter entschuldigt sich pflichtgemäß und arbeitete an der Behebung des Fehlers, die ihm nach einer reichlichen halben Stunde gelang. Das Leck war am 27.05.2021 um 10:50 Uhr aufgetreten. Die Ursache war nach Angaben von Klarna ein neues Update, das einen Fehlzugriff auf etwa 90.000 von 87 Millionen Konten verursachen konnte (etwas über 0,1 %). Nicht alle dieser 90.000 Kunden hatten in dieser Zeit Zugriff, sondern nur rund 9.500. Diese aber bemerkten die Fehlleitung und waren entsetzt.

Stellungnahme von Klarna

Klarna betonte, dass es sich um rein zufällige Fehlleitungen gehandelt habe. Es gab also keine persönliche, regionale oder sonstige Verbindung zwischen den betroffenen Nutzern gab. Auch betonte das Unternehmen, es seien keine Bank- oder Kreditkartendaten sichtbar gewesen. Dem widersprechen viele Nutzer auf Twitter. Klarna ging es offenkundig darum, sich an die DSGVO-Standards gehalten zu haben. Gleichzeitig teilte der Zahlungsdienstleister mit, dass der Fehler auf menschlichem Versagen beruht habe.

Dieses Statement hat einen juristischen Hintergrund. Unternehmen sind nach der DSGVO verpflichtet, personenbezogene Daten zu schützen und den Datenschutz auch durch ihre technischen Systeme sicherzustellen. Wenn es sich also um kein menschliches Versagen, sondern um einen Systemfehler gehandelt haben sollte, drohen der Firma hohe Sanktionen nach den Richtlinien der DSGVO. Allein schon die Tatsache, dass es ein Datenleck mit dem Abfluss personenbezogener Daten gab, rechtfertigt unabhängig von der Ursache ein Bußgeld.

Es steht daher mit Stand vom 31.05.2021 Aussage gegen Aussage. Die Nutzer behaupten, es seien sehr wohl sensible personenbezogene Daten sichtbar gewesen.

Welche Rechtsfolgen drohen Klarna?

Im Januar 2021 hatte das LG Frankfurt eine Klage gegen Mastercard verhandelt. Hier hatte es ebenfalls ein Datenleck gegeben. Die Frankfurter Richter stellten fest, dass sich daraus ein Schadenersatzanspruch betroffener Kunden nach Artikel 82 DSGVO ergeben kann. Allerdings nicht ergeben muss: Voraussetzung ist immer der Eintritt eines tatsächlichen Schadens. Diesen muss der Kläger beweisen. Im Fall von Mastercard wurde ein betroffener Kunde nach dem Datenleck zum Opfer von Spam. Da er nicht beweisen konnte, dass der Spam auf dem Datenleck bei Mastercard beruht hatte, wurde seine Klage abgewiesen (LG Frankfurt, Urteil vom 18.01.2021, Az.: 2-30 O 147/20). Das bedeutet: Wenn durch das Datenleck bei Klarna niemand nachweislich geschädigt

Auskunft und Schadensersatz fordern

Sofern Sie bzw. Ihre Daten vom Datenleck betroffen sind, können nach der DSGVO Schadensersatz- bzw. Schmerzensgeldansprüche geltend gemacht werden.

Ob Sie von dem Datenleck betroffen sind, erfahren Sie von dem Zahlungsanbieter direkt. Die DSGVO räumt einen Auskunftsanspruch ein. Jeder Kunde von Klarna kann zur Auskunft auffordern. Es ist dann insbesondere mitzuteilen, ob die Daten des einzelnen Betroffenen Gegenstands des Datenlecks waren. Ist dies der Fall, stehen nach der DSGVO ebenfalls Schmerzensgeldansprüche zu.

Sofern Sie Hilfe im Umgang mit dem Zahlungsanbieter haben, sprechen Sie uns gern an. Nutzen Sie unsere kostenfreie Erstberatung.