Sammelklage Ledger Nach dem Cyberangriff auf Hardware-Wallets der Firma strebt eine Kanzlei eine Sammelklage gegen die Ledger SAS an

© Fotolia
Im vergangenen Juni wurden Kundendaten des Hardware-Wallet-Herstellers Ledger SAS gestohlen und im Internet veröffentlicht. Die Offenlegung personenbezogener Daten stellt einen schweren Verstoß gegen die Europäische Datenschutzgrundverordnung (DSGVO) dar, wie die Liechtensteiner Rechtsanwaltskanzlei Scheiber darlegt. Sie bereitet eine Form von Sammelverfahren gegen Ledger vor.

Ein Hack, der Wellen nach sich zieht

Hardware Wallets sind Speichermedien, die den Zugang zu Krypto-Konten auf internetfähigen Geräten durch personalisierte Schlüssel schützen, ihrerseits aber stets offline bleiben. Für Nutzer von Bitcoin, Ethereum, Litecoin, Dash etc. gelten sie als vertrauenswürdige Möglichkeit, die "virtuelle Geldbörse" vor Manipulationen zu schützen. Zu den beliebtesten Hardware-Wallets zählen die vom französischen Hersteller Ledger SAS aus Paris, die für hohe Sicherheit und Bedienerfreundlichkeit stehen - beziehungsweise standen.

Denn im Juni 2020 wurde eine Ledger-Datenbank gehackt und über eine Million E-Mail-Adressen mitsamt 300.000 personenbezogenen Kundendaten gestohlen. Im Dezember folgte die nächste niederschmetternde Botschaft für die Betroffenen: Die hochsensiblen Daten standen zum Download bereit auf Raidforums, einem Hacker-Forum. Neben den E-Mail-Adressen wurden persönliche Kontaktinformationen wie Namen, Adressen und Telefonnummern der Ledger-Kunden veröffentlicht.

Laut Ledger sind, Stand Februar 2021, keine Zahlungsdaten vom Hack betroffen, Kryptowährungen sollen nicht gestohlen worden sein. Dennoch handelt es sich bei dem Angriff um einen massiven Verstoß gegen den Datenschutz, für dessen Sicherheit Ledger verantwortlich zeichnet.

Zum Thema

Mit welcher rechtlichen Handhabe Betroffene gegen Ledger vorgehen können

Jeder Besitzer eines Hardware-Wallets von Ledger sollte prüfen, ob nicht auch er zu den knapp 300.000 vom Cyberangriff Betroffenen zählt. Etliche Kunden wurden von der Firma bereits per E-Mail kontaktiert. Doch hier ist Vorsicht geboten: Da die gestohlenen Daten öffentlich im Netz standen, ist wahrscheinlich, dass es zu Phishing-Versuchen, Erpressungen und anderen kriminellen Methoden kommen wird. Die Authentizität der E-Mail-Korrespondenz mit Ledger muss sorgfältig geprüft werden, sensible Daten wie Passwörter sollten keinesfalls preisgegeben werden.

Grundsätzlich aber dürfte die Offenlegung personenbezogener Daten über wahrscheinlich mehrere Wochen hinweg einen schweren Verstoß gegen die Europäische Datenschutzgrundverordnung (DSGVO) darstellen. Nach Artikel 82 der DSGVO hat jede Person, der wegen eines datenschutzrechtlichen Verstoßes ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegenüber dem Verantwortlichen, in diesem Fall also gegenüber der Ledger SAS.

Die Rechtsanwaltskanzlei Scheiber bietet ein Kontaktformular für das Sammelverfahren gegen Ledger an

Die Kanzlei Scheiber mit Sitz in Vaduz, Liechtenstein, besteht aus führenden Experten im Wirtschaftsrecht. Sie vertreten im Fall Ledger die Auffassung, Kunden sollten "aufgrund des gravierenden Datenschutzverstoßes (...) auf jeden Fall entschädigt werden". Jeder durch die Veröffentlichung seiner personenbezogenen Daten Betroffene kann gemäß DSGVO eine angemessene Entschädigung für den entstandenen sogenannten immateriellen Schaden verlangen. Die Höhe des Schadens richtet sich im Einzelfall nach den Auswirkungen auf den Geschädigten, der Kategorie der gestohlenen Daten, der Schwere und Dauer des Verstoßes sowie des Kreises und der Anzahl der Datenempfänger. In vergleichbaren Fällen haben Gerichte bereits bis zu 5.000 Euro zugesprochen.

Wenn Betroffene durch den Cyberangriff sogar einen materiellen Schaden erlitten haben, etwa durch einen Phishing-Angriff, ist zusätzlich der dadurch entstandene Verlust zu entschädigen. Für einen Kläger ist dabei vorteilhaft, dass die Ledger SAS unter Beweispflicht steht. Das Unternehmen müsste nachweisen, nicht für das Datenleck verantwortlich zu sein.

Für alle durch den Hackerangriff geschädigte Kunden von Ledger bietet die Kanzlei Scheiber auf einer eigens eingerichteten Webseite die unverbindliche Registrierung für ein Sammelverfahren an.