Meldungen über Datendiebstahl oder Sicherheitslücken nehmen immer weiter zu. Mittlerweile wird wöchentlich ein neuer Skandal bekannt. Am 27.12.2024 ist das Volkswagen-Datenleck bekannt geworden, mit welchem ein gigantische Datenschutzlücke aufgezeigt wurde.
Dabei waren laut einem ersten Spiegel-Bericht Bewegungsdaten von hunderttausenden E-Auto-Besitzern, insbesondere der Marken VW (ID.3 und ID.4) Skoda und SEAT, weitgehend ungeschützt frei im Internet zugänglich. Die Daten seien über einen ungeschützten Cloud-Speicher der VW-Softwaretochter Cariad bei Amazon Web Services (AWS) gespeichert worden und hätten präzise GPS-Positionen, Batterieladestände und Inspektionsstatus der Fahrzeuge umfasst. Insgesamt sollen etwa 800.000 E-Autos weltweit betroffen sein, davon rund 300.000 in Deutschland. Besonders brisant ist, dass durch die Kombination dieser Daten mit persönlichen Informationen, die über die Volkswagen-App erfasst wurden, detaillierte Bewegungsprofile einzelner Personen erstellt werden könnten. Dies betrifft unter anderem Politiker, Führungskräfte aus der Wirtschaft und Sicherheitsbehörden, wie der Spiegel berichtet. So seien beispielsweise die Daten von 35 E-Autos der Hamburger Polizei einsehbar gewesen.
Der Chaos Computer Club (CCC) soll das Datenleck entdeckt und Volkswagen informiert haben. Cariad soll umgehend reagiert und die Sicherheitslücke geschlossen haben. Das Unternehmen spricht von einer Fehlkonfiguration und betont, dass keine Hinweise auf einen Datenabfluss durch Unbefugte vorliegen. Dennoch wirft der Vorfall Fragen zum Datenschutz und zur Datensicherheit bei Volkswagen auf.
Juristisch betrachtet könnte dieser Vorfall Ansprüche der betroffenen Personen nach Artikel 82 der Datenschutz-Grundverordnung (DSGVO) begründen, der bei Datenschutzverstößen Schadensersatz für materielle und immaterielle Schäden vorsieht.
Der Europäische Gerichtshof (EuGH) hatte bereits mit Urteil vom 04.05.2023 in der Rechtssache C-300/21 klargestellt, dass es nach der sog. Datenschutzgrundverordnung, die VO (EU) 2016/679, ab einem gewissen Grad an Erheblichkeit Schadensersatz zu leisten ist, wenn Verbraucher Schaden durch einen Datenschutz-Verstoß erleiden. Der Bundesgerichtshof (BGH) hat sich daran mit Urteil in der Sache VI ZR 10/24 vom 18.11.2024 angeschlossen und zu einem Fall des sog. Data-Scraping entschieden. Dabei konnten u.U. nur Daten wie Namen, Rufnummer und E-Mailadresse ermittelt werden.
Hier sollen jedoch laut der Presseberichterstattung ganze Bewegungsprofile über einen langen Zeitraum nicht hinreichend abgesichert abrufbar gewesen sein, was deutlich schwerer zu gewichten sein dürfte und daher auch hohe Schadensersatzansprüche im vierstelligen Euro-Bereich auslösen könnte.
Haben oder hatten auch Sie einen Volkswagen ID.3 oder ID.4 oder ein verwandtes Modell von Seat oder Skoda? Dann wenden Sie sich an mich unter
+4921731629220 oder per E-Mail
um Ihre rechtlichen Perspektiven zu erfahren. Eine kurze Ersteinschätzung ist kostenlos. Sollten Sie über eine Rechtsschutzversicherung verfügen, so ist häufig sogar eine Erstberatung kostenlos. Sodann kann ermittelt werden, ob und in welcher Höhe ein Schadensersatzanspruch besteht.
(dieser Beitrag wurde auch unter dem Einsatz von KI erstellt)