Der Öko-Investor Thomas Lloyd ist in das Visier von Cyberkriminellen geraten. Laut einem Bericht des Handelsblatts vom 16. Oktober 2024 veröffentlichte die Hackergruppe „Cactus“ 2,4 Terabyte an hochsensiblen Daten im Darknet. Darunter befinden sich Daten von Zehntausenden deutschen Investoren, die in die Fonds von Thomas Lloyd investiert haben.
Der Vorfall betrifft neben geschäftlichen Informationen auch vertrauliche Unterlagen von Mitarbeitern, darunter Gehalts- und Gesundheitsdaten. Die Kanzlei Dr. Stoll & Sauer sieht in dieser schweren Datenpanne mögliche Schadensersatzansprüche für betroffene Investoren und Mitarbeiter und bietet umfassende rechtliche Beratung an. Die Kanzlei empfiehlt Betroffenen des Datenlecks die Erstberatung im kostenlosen Online-Check.
Handelsblatt: Hat Lloyd Behörden nicht nach 72 Stunden informiert?
Die Zahl der Datenlecks und Cyberattacken nimmt täglich zu. Verbraucher erhalten verdächtige SMS oder E-Mails, während Kriminelle versuchen, mit verschiedenen Tricks und Softwareattacken an hochsensible Daten zu gelangen. Datenlecks können auch für Unternehmen gravierende Auswirkungen haben – von Umsatzeinbußen bis hin zu Rufschädigungen. Die fortschreitende Digitalisierung erhöht das Risiko von Cyberangriffen, was die Bedeutung des Verständnisses der gängigsten Datenlecks und ihrer Folgen sowie die Notwendigkeit geeigneter Präventionsmaßnahmen unterstreicht. Jetzt hat es den Öko-Investor Thomas Lloyd erwischt.
Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was nach Medienberichten bisher bekannt geworden ist:
- Zu den veröffentlichten Daten gehören private Fotos von Mitarbeitern, die offenbar auf ihren Dienstrechnern gespeichert waren, aber auch weitaus kritischere Dokumente wie Personalausweise, Arbeitsverträge, ärztliche Atteste und Krankmeldungen.
- Besonders brisant: Einige Dateien sind mit „Passwords“ überschrieben, was die Gefahr von Identitätsdiebstahl und finanziellen Schäden erheblich erhöht.
- Zusätzlich wurden auch Daten über die Biomassekraftwerke auf den Philippinen und Geschäftsbeziehungen von Thomas Lloyd veröffentlicht, die das Unternehmen zusätzlich in die Krise stürzen könnten.
- Thomas Lloyd, der in Deutschland rund 27.000 Anleger betreut, gerät laut Handelsblatt-Bericht nicht nur wegen des Datenleaks unter Druck. Der Öko-Investor verwaltet insgesamt rund eine Milliarde Euro in Fonds, die in asiatische Biomassewerke und Solaranlagen investieren. Doch Belege für den Erfolg dieser Geschäfte fehlen weitgehend, wie das Handelsblatt berichtet. Die betroffenen Fonds der CTI-Reihe verzeichneten zuletzt hohe Verluste. Laut dem Bericht haben die Hacker nun detaillierte Informationen über diese Fonds sowie über Kontodaten, Steuerunterlagen und Anlagevolumina der Investoren ins Darknet gestellt.
- Der Vorfall ist nicht das erste Mal, dass Thomas Lloyd zum Ziel von Cyberkriminellen wurde. Bereits im April 2023 wurde das Unternehmen Opfer eines Cyberangriffs, bei dem die Hackergruppe „Black Basta“ Teile der Server verschlüsselte. Damals wurde eine Lösegeldforderung gestellt, doch es konnte nicht zweifelsfrei geklärt werden, ob Daten entwendet wurden. Dieser Vorfall wurde den Datenschutzbehörden jedoch nicht gemeldet, was nun rückblickend Fragen aufwirft.
- Aktuell prüfen Datenschutzbehörden in Deutschland die Geschehnisse. Wie das Handelsblatt berichtet, hat Thomas Lloyd die zuständige Behörde in Niedersachsen nach dem aktuellen Datenleak nicht innerhalb der vorgeschriebenen 72-Stunden-Frist informiert, was nach der Datenschutz-Grundverordnung (DSGVO) erhebliche Bußgelder zur Folge haben könnte.
Fazit der Kanzlei Dr. Stoll & Sauer zum Lloyd-Datenleck
- Der aktuelle Vorfall zeigt, wie weitreichend die Auswirkungen eines Cyberangriffs sein können, wenn unzureichende Sicherheitsvorkehrungen getroffen wurden. Investoren, deren Daten in die falschen Hände gelangt sind, müssen sich nun nicht nur um ihre Anlagen, sondern auch um die Sicherheit ihrer persönlichen Informationen sorgen. Betroffene haben unter Umständen Anspruch auf Schadensersatz, und Dr. Stoll & Sauer empfiehlt dringend, rechtliche Schritte zu prüfen.
- Für betroffene Investoren und Mitarbeiter ist die Lage ernst. Die veröffentlichten Daten könnten leicht missbraucht werden, insbesondere für Identitätsdiebstahl und andere kriminelle Aktivitäten. Kriminelle könnten sich Zugang zu Bankkonten verschaffen oder vertrauliche Informationen aus den veröffentlichten Dokumenten für illegale Zwecke nutzen.
- Dr. Stoll & Sauer rät allen Betroffenen dringend, ihre rechtlichen Möglichkeiten zu prüfen. Bei einem derartigen Datenleck besteht die Möglichkeit, Schadensersatzansprüche gegen das Unternehmen geltend zu machen. Die Kanzlei empfiehlt Betroffenen des Datenlecks die Erstberatung im kostenlosen Online-Check. Mehr Infos zum Thema Datenleck gibt es auf der Website der Verbraucherkanzlei Dr. Stoll & Sauer.
Zwei Facebook-Verfahren vor dem Bundesgerichtshof
Von einem Cyberangriff betroffene Verbraucher sollten sich die Konsequenzen eines Datenlecks und Datendiebstahls bewusst vor Augen führen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Das kann sogar zum Diebstahl der Identität führen. Damit können beispielsweise Geschäfte zulasten der Verbraucher getätigt werden. Stehen den Nutzern Schadenersatzansprüche zu? Eine einheitliche Rechtsprechung zum Thema Datenleck gibt es in Deutschland bisher nicht. Der Bundesgerichtshof (BGH) beschäftigt sich erstmals am 11. November 2024 in zwei Verfahren mit dem Thema.
Der BGH muss Leitlinien für die unteren Instanzen vorlegen. Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken. Auch diese werden in die Entscheidungen zu den vorliegenden Verfahren einfließen.
- Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind.
- Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.
- Art. 82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
- Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.
Die Verbraucherkanzlei Dr. Stoll & Sauer empfiehlt daher Verbrauchern, die eventuell von einem Datenleck betroffen sind, eine kostenlose Erstberatung im Online-Check. Hier prüft die Kanzlei die mögliche Betroffenheit und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen. Die Kanzlei hat bereits im Fall eines Datenlecks bei Facebook vor Landgerichten Schadensersatzansprüche in Höhe von 3000 Euro durchgesetzt.
(vp/Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH)