Datenleck bei Klarna: Das sollten Betroffene wissen

Fehler in der Software führten bei Klarna zu einem enormen Datenleck: Ende Mai waren für etwa eine halbe Stunde Kundenkonten mit personenbezogenen Daten für Dritte einsehbar. Die Folgen für den Zahlungsanbieter sind noch nicht absehbar, die Datenschutzbehörden müssen darüber entscheiden. Betroffene Kunden können aber bereits jetzt gegen die Datenschutzverletzung durch Klarna vorgehen.

Das Wichtigste in Kürze

• Etwa 9.500 Konten waren im Mai 2021 von dem Klarna-Datenleck betroffen.
• Fremde Personen hatten beim Login Einblick in die Konten anderer Nutzer.
• Es konnten Adressen, Telefonnummern, Informationen über getätigte Zahlungen und ggf. Bankverbindungen eingesehen werden.
• Kunden haben nun ein Auskunftsrecht, um zu erfahren, ob sie vom Datenleck bei Klarna betroffen sind.
• Betroffenen Kunden können einen Anspruch auf Schadensersatz haben.

Offen einsehbare Kundenkonten: Was ist passiert?

Am 27. Mai 2021 erlebten Nutzer des schwedischen Zahlungsanbieters eine große Überraschung: Bei jedem Login wurden ihnen andere, fremde Profile angezeigt. Neben dem Namen des Nutzers konnten auch sensible Daten wie Adressen, Telefonnummern sowie Informationen über getätigte Zahlungen eingesehen werden. Medien berichteten, dass auch Bankverbindungen sichtbar waren, Klarna dementierte das in seiner Stellungnahme. Mit jedem neuen Login gelangten die Nutzer auf ein neues Profil. Eine gezielte Abfrage von Profildaten sei laut dem Unternehmen aber nicht möglich gewesen.

Der Zahlungsanbieter hat weltweit etwa 90 Millionen Kunden. Sicherheit wird bei Klarna ernst genommen, bisher operierte das Unternehmen in Sachen Datenschutz tadellos. Zunächst hieß es, dass von dem Datenleck bei Klarna 90.000 Nutzer betroffen wären. Später korrigierte das Unternehmen die Betroffenenzahl weit nach unten. Demnach sind 9.500 Kundenkonten betroffen, ausgenommen sind dabei Zahlungsdienste, die Händlerschnittstelle sowie die Klarna Card. Trotzdem handelt es sich um eine massive Datenschutzverletzung, weshalb Betroffene einen Anspruch auf Schadensersatz haben.

Wie kam es zum dem Datenleck bei Klarna?

Ursache für das Datenleck war anscheinend eine Kette von Handlungen. Zunächst wurde ein technisches Update eingespielt und anschließend führte ein menschlicher Fehler zu der Datenpanne. Klarna erklärt dazu in seiner Stellungnahme: „Leider hat eine unzureichende Risikobewertung eines Subsystems dazu geführt, dass ein Bedienungsfehler ohne angemessene Qualitätssicherungen in unsere Live-Systeme eingeführt werden konnte“. Da die Ursache schnell gefunden war, konnte der Fehler umgehend behoben werden. Bis zur Behebung des Software-Fehlers war das Einloggen über die App nicht mehr möglich.

Was können Betroffene tun?

Ein solches Datenleck ist ein klarer Verstoß gegen die europäische Datenschutzgrundverordnung (DSGVO). Klarna meldete den Datenschutzverstoß laut eigenen Angaben folgerichtig den zuständigen Behörden, das Ergebnis steht noch aus. Betroffene Nutzer können nun aber bereits ihre Rechte gemäß der DSGVO geltend machen.

Bin ich betroffen? Auskunft einholen

Um herauszufinden, ob man zu den betroffenen Nutzern gehört, deren Daten fremden Personen zugänglich waren, kann das Unternehmen angefragt werden. Gemäß Art. 15 DSGVO muss Klarna darüber Auskunft geben, ob die anfragende Person zu den betroffenen Nutzern gehört.

Nächster Schritt: Schadensersatz einfordern

Wenn Sie zu den betroffenen Nutzern gehören, können Sie gemäß Art. 82 Abs. 1 DSGVO Schadensersatz verlangen. Es ist empfehlenswert, sich mit einem Fachanwalt für Datenschutz über das Vorgehen zu besprechen. Denn noch ist nicht klar, was die langfristigen Auswirkungen des Klarna-Datenlecks sind und wie die Datenschutzbehörden mit der Datenpanne umgehen. Erste Informationen zu Ihren Optionen erhalten Sie in einem unverbindlichen Gespräch mit einem KLUGO Partner-Anwalt. Vereinbaren Sie gern einen zeitnahen Termin und lassen Sie sich beraten.