Der Europäische Gerichtshof (EuGH) hat am Donnerstag seine Rechtsprechung zum Ausgleich von Schäden auf Basis der Datenschutz-Grundverordnung (DSGVO) erneut präzisiert. Ein Arbeitssuchender hat demnach bei einem Datenschutzverstoß des potenziellen Arbeitgebers prinzipiell Anspruch auf Schadenersatz und Schmerzensgeld, auch wenn er keinen materiellen Schaden nachweisen kann. Ausgelöste negative Gefühle können ausreichen.

Hintergrund des Falls: Ein Bewerber, der sich bei der Berliner Quirin-Privatbank Online-Karrierenetzwerk beworben hatte, erhielt eine unerwartete Benachrichtigung. Auslöser: Eine Mitarbeiterin des Finanzinstituts hatte über den Messenger-Dienst des Netzwerks eine vertrauliche Nachricht an den Jobsuchenden an eine dritte Person geschickt, die der Bewerber kannte. Die Nachricht enthielt vertrauliche Informationen über die Gehaltsverhandlungen des Bewerbers, insbesondere die Ablehnung seiner Gehaltsvorstellungen und ein neues Gehaltsangebot. Sie war eigentlich nicht für Außenstehende bestimmt.

Der Dritte, ein ehemaliger Kollege des Bewerbers, leitete die Nachricht an ihn weiter, um herauszufinden, ob er auf Jobsuche war. Daraufhin reichte der Arbeitssuchende Klage gegen die Quirin-Bank ein. Er forderte von ihr, die Verarbeitung seiner Bewerbungsdaten einzustellen, um weitere unbefugte Offenlegungen zu verhindern. Zudem verlangte er Schadensersatz für den immateriellen Schaden, den er erlitten hatte.

Dieser Schaden entstand ihm zufolge, weil er sich Sorgen machte, dass die vertraulichen Informationen von der dritten Person aus der Branche an frühere oder potenzielle Arbeitgeber weitergegeben werden könnten. Der Bewerber befürchtete zudem einen Wettbewerbsnachteil und fühlte sich durch die Offenlegung seiner gescheiterten Gehaltsverhandlungen gedemütigt. Der Bundesgerichtshof (BGH) verwies den Fall an den EuGH zur Klärung von Fragen zur DSGVO.

Gefühlter Kontrollverlust gilt

Die Luxemburger Richter haben mit ihrem am Donnerstag verkündeten Urteil in der Rechtssache C-655/23 nun entschieden: Negative Gefühle wie Sorge, Ärger oder der Eindruck des Kontrollverlusts über die eigenen Daten können einen immateriellen Schaden darstellen. Eine finanzielle Entschädigung ist möglich, wenn der Kläger nachweisen kann, dass er diese negativen Gefühle tatsächlich empfunden hat.

Bei der Höhe der Entschädigung darf laut dem EuGH nicht berücksichtigt werden, wie schwerwiegend das Verschulden der Bank war. Auch eine leichtfertige Fahrlässigkeit reicht also aus. Zudem darf dem Beschluss zufolge das Schmerzensgeld nicht gekürzt oder ersetzt werden, nur weil der Kläger eine gerichtliche Anordnung erwirkt hat, dass die Bank den Verstoß künftig unterlassen muss.

DSGVO-Schadenersatzklagen dürften zunehmen

Weiter stellte der Gerichtshof fest: Es gibt im EU-Recht keinen speziellen Rechtsanspruch darauf, eine Wiederholung des Datenlecks gerichtlich zu unterbinden, falls der Kläger nicht die Löschung seiner Daten fordert. Dennoch können Mitgliedstaaten wie Deutschland solche Unterlassungsklagen in ihrem nationalen Recht vorsehen. Die ausdrückliche Verneinung eines europäischen datenschutzrechtlichen Unterlassungsanspruchs überrascht den Wirtschaftsprofessor Alexander Golland, da der EuGH einen solchen in mehreren Google-Urteilen 2014 und 2019 noch bejaht habe.

Bislang war nicht ganz klar, ob ein reiner immaterieller Schaden ohne konkrete finanzielle oder körperliche Nachteile für eine Klage ausreicht. Der EuGH hat nun hervorgehoben, dass genau diese Art von Benachteiligung einen Anspruch auf Entschädigung begründen kann. Das Urteil senkt so weiter die Hürde für Betroffene, Schadensersatzansprüche durchzusetzen. Es reicht der Nachweis, dass der Verstoß größere Sorgen oder Ärger ausgelöst hat.

Zuvor urteilte der EuGH etwa schon 2023: Allein der Umstand, dass nach einem Cyberangriff auf Unternehmen oder Behörden eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, ihre personenbezogenen Daten könnten durch Dritte missbräuchlich verwendet werden, stellt einen immateriellen Schaden dar. Bereits zuvor bestätigte der Gerichtshof, dass die DSGVO keine Erheblichkeitsschwelle für Schadenersatz vorgibt und breite Ansprüche möglich sind. 2024 arbeitete der EuGH heraus: Ein Datenschutzverstoß ist grundsätzlich nicht weniger schwerwiegend als eine Körperverletzung.

(mki)

Das als Cloud- und On-Premises-Lösung verfügbare CMS Sitecore Experience Manager (XM) und Sitecore Experience Platform (XP) ist von einer kritischen Schwachstelle betroffen. Angreifer können ohne vorherige Anmeldung Schadcode einschleusen und ausführen. Offenbar wird die Lücke bereits im Internet angegriffen.

Sitecore beschreibt das Problem in einer Sicherheitsmitteilung. Es handelt sich um eine Schwachstelle des Typs „Deserialisierung nicht vertrauenswürdiger Daten“, durch die Angreifer Schadcode einschleusen können, der zur Ausführung gelangt (CVE-2025-53690 / EUVD-2025-26629, CVSS 9.0, Risiko „kritisch„). Mandiant hat einen aktiven Angriff auf eine sogenannte „ViewState Deserialisation“ im Sitecore-CMS untersucht und dabei die Sicherheitslücke entdeckt. In Anleitungen zur Einrichtung von Sitecore aus dem Jahr 2017 und davor wurde ein Beispiel-Machine-Key genutzt – den dadurch offengelegten ASP.NET-Machine-Key haben Angreifer zur Ausführung von Code aus dem Netz missbraucht, erklären die IT-Forscher.

Es handelt sich damit um eine verwundbare Konfiguration von Sitecore, die Kunden betrifft, die eine anfällige Sitecore-Version mit dem Beispiel-Key in den öffentlichen Anleitungen ausgestattet haben; insbesondere SItecore XP 9.0 und Active Directory 1.4 und jeweils frühere Versionen hebt Mandiant hervor. Den genauen Angriffsverlauf erörtern die IT-Sicherheitsforscher in der Analyse, dort nennen sie auch einige Indizien für eine Infektion (Indicators of Compromise, IOCs).

Verwundbare Versionen

Als potenziell anfällig nennt Sitecore in der Sicherheitsmitteilung Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) und Managed Cloud. Wer mit diesen Software-Paketen die Installationsanleitungen für XP 9.0 und AD 1.4 oder früher zusammen mit dem Sample-Machine-Key eingesetzt hat, der etwa mit der Zeichenkette „BDDFE367CD…“ anfängt und einen Validation Key „0DAC68D020…“ nutzt, sollte umgehend handeln.

Sitecore empfiehlt dann, die Umgebung auf verdächtiges oder anormales Verhalten zu untersuchen, die Machine-Keys in der „web.config“-Datei zu ersetzen, zudem sicherzustellen, dass alle System--Elemente der „web.config“ verschlüsselt sind, Zugriff auf die „web.config“ auf Admins beschränken und anschließend das regelmäßige Austauschen statischer Machine-Keys umsetzen.

Zuletzt wurden Angriffe auf Sitecore CMS Ende 2021 bekannt. Auch da waren Angriffe aus dem Netz ohne vorherige Authentifizierung möglich gewesen sein, jedoch erreichte der Schweregrad der Schwachstelle lediglich die Einstufung „hoch“, und nicht wie jetzt „kritisch“.

(dmk)

Sieben Microsoft-Mitarbeitende besetzten in der vergangenen Woche vorübergehend das Büro von Microsoft-Vizechef Brad Smith auf dem Firmengelände nahe Seattle. Die Aktivist:innen der Gruppe „No Azure for Apartheid“ stellten die Möbel um und klebten pro-palästinensische Banner an die Fenster.

Die Demonstrierenden forderten Microsoft auf, sämtliche Verträge mit dem israelischen Militär und der israelischen Regierung aufzukündigen. Außerdem solle der Konzern sämtliche Verbindungen zur Tech-Industrie in Israel offenlegen.

Konkret kritisieren sie, dass die israelische Armee Microsofts Cloud-Plattform Azure im Krieg in Gaza dazu nutzt, um Überwachungsdaten über die palästinensische Bevölkerung zu speichern. Damit mache sich Microsoft zum Komplizen an den anhaltenden Menschenrechtsverletzungen in dem Küstenstreifen.

Nur einen Tag nach der Protestaktion entließ der Tech-Konzern zwei Mitarbeitende, die sich an der Bürobesetzung beteiligt hatten. Zwei weitere Angestellte, die an einer vorangegangenen Aktion in der Microsoft-Zentrale teilgenommen hatten, müssen das Unternehmen ebenfalls verlassen.

Als Grund dafür gab der Konzern schwerwiegende Verstöße gegen die unternehmensinternen Richtlinien an. Die Demonstrationen auf dem Firmengelände hätten „erhebliche Sicherheitsbedenken aufgeworfen”.

Medienrecherchen als Auslöser der Proteste

Die Proteste hatte eine gemeinsame Recherche der britischen Tageszeitung The Guardian, der israelisch-palästinensischen Publikation +972 Magazine und des hebräischsprachigen Online-Mediums Sikha Mekomit ausgelöst. Die Medien hatten ihre Ergebnisse am 6. August dieses Jahres veröffentlicht.

Demnach nutze die Geheimdienst-Einheit „Unit 8200“ der israelischen Armee seit 2022 Microsofts Cloud-Angebot Azure, um Daten von Telefonanrufen im Westjordanland und im Gazastreifen im großen Stil zu speichern. Die quasi unbegrenzte Speicherkapazität der Cloud macht es der auf Überwachung spezialisierten Einheit möglich, eine riesige Menge an täglichen Anrufen aufzuzeichnen und die entsprechenden Daten über einen längeren Zeitraum zu horten.

Die Recherche basiert auf geleakten Microsoft-Dateien sowie auf Gesprächen mit Mitarbeitenden von Microsoft und des israelischen Militärs, darunter auch der „Unit 8200“. Ein Großteil der Überwachungsdaten wird der Recherche zufolge mutmaßlich in Microsoft-Rechenzentren in den Niederlanden und Irland gespeichert. Die Daten nutze das israelische Militär auch dazu, um Angriffsziele in Gaza auszumachen.

Microsoft will Vorwürfe klären

Gut eine Woche nach den Medienberichten leitete Microsoft eine Untersuchung der Vorwürfe durch eine externe Anwaltskanzlei ein. Die Untersuchung werde auf einer vorangegangenen Prüfung aufbauen, die keine Beweise dafür hervorgebracht habe, „dass Azure- und KI-Technologien von Microsoft dazu genutzt wurden, Menschen im Konflikt in Gaza anzugreifen oder zu schädigen“.

Das Unternehmen betont, die eigenen Nutzungsbedingungen würden eine Speicherung von Massenüberwachungsdaten untersagen. Zugleich schreibt der Konzern, nur begrenzt einsehen zu können, „wie Kunden unsere Software auf ihren eigenen Servern oder anderen Geräten nutzen“.

Die Gruppe „No Azure for Apartheid“ wies die angekündigte Untersuchung als „Verzögerungstaktik“ zurück. Sie kritisiert, dass Microsoft nicht auf ihre Forderung eingehe, Verträge mit der israelischen Armee zu beenden.

Auch Amazon und Google stellen Dienste für das israelische Militär bereit

Die Proteste gegen Microsofts Geschäftsbeziehungen mit Israel dauern bereits seit Monaten an.

Bereits im Mai dieses Jahres hatte Microsoft einen Mitarbeiter entlassen, der eine Rede von CEO Satya Nadella mit Zwischenrufen gestört hatte. Im April kündigte das Unternehmen zwei Mitarbeitenden, nachdem diese eine Feier zum 50-jährigen Firmenjubiläum unterbrochen hatten.

Microsoft ist nicht der einzige Tech-Konzern, dessen Belegschaft gegen die Zusammenarbeit mit dem israelischen Militär protestiert.

Seit Beginn des Krieges in Israel und Gaza am 7. Oktober 2023 nutze die israelische Armee nicht nur zivile Clouddienstleistungen von Microsoft, sondern auch von Amazon und Google, schreibt +972 Magazine. Demnach sei die Zusammenarbeit mit der Armee für die drei Unternehmen ein lukratives Geschäft. Das israelische Verteidigungsministerium gelte zudem als wichtiger strategischer Kunde, dessen Meinung als „Vorreiter“ auch für andere Sicherheitsbehörden großen Wert habe.