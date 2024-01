Der Kosmetikkonzern Estée Lauder informiert Kunden derzeit schriftlich darüber, wer vom Datenleck im Sommer 2023 betroffen ist. Der Kanzlei Dr. Stoll & Sauer liegt ein solches Schreiben vom 5. Dezember 2023 vor.

Estée Lauder schreibt darin, dass sich zwischen dem 13. und 19. Juli 2023 ein unbefugter Dritter Zugang zu Unternehmenssysteme verschaffte. Dabei erlangte er von bestimmten Personen personenbezogene Daten. Die betroffenen Daten sind von Person zu Person unterschiedlich. Folgende Daten könnten durch das Datenleck bei Estée Lauder in falsche Hände gefallen sein: Name, Kontaktdaten (Telefonnummer, E-Mail, Faxnummer), Adressen und Bankkontodaten.

Estée Lauder hat nach eigenen Angaben eine sofortige Untersuchung eingeleitet, arbeitet dabei mit Cybersicherheitsexperten zusammen und hat die Sicherheitsbehörden eingeschaltet. Auch wurde zusätzliche Überwachungsmaßnahmen ergriffen, um die Sicherheit weiter zu schützen.

Des Weiteren empfiehlt Estée Lauder den Kunden aufgrund des Datenlecks, Vorsichtsmaßnahmen zu ergreifen. Ungewöhnliche Aktivitäten auf Konten und Kreditkarten sollten den Bankinstituten umgehend gemeldet werden. Unaufgeforderte Mitteilungen, die persönliche Daten betreffen, sollten kritisch hinterfragt werden. Dahinter könnten Phishing-Attacken stecken.

Nach Medienberichten könnte das Datenleck bei Estée Lauder durch eine Ransomware-Attacke entstanden sein. Offenbar hat sich die Ransomware-Bande Clop Zugang zum Unternehmen verschafft, nachdem sie eine Schwachstelle in der MOVEit Transfer-Plattform für sichere Dateiübertragungen ausgenutzt hatte. Von dieser Schwachstelle sind unzählige Unternehmen auf der ganzen Welt betroffen. Der Schaden lässt sich nicht beziffern.

Wie das Security-Portal Bleeping Computer (BC) berichtet, führen die Ransomware-Gruppen ALPHV (auch bekannt als Black Cat) und Clop den Kosmetikkonzern inzwischen in ihren Leak-Listen. Demnach soll die Hackergruppe Clop behaupten, auf mehr als 130 GB an Unternehmensdaten von Estée Lauder zu sitzen. Der Eintrag wurde laut Bleeping Computer mit der Nachricht versehen "Das Unternehmen schert sich nicht um seine Kunden und hat seine Security ignoriert". Auch die Ransomware-Gang Black-Cat listet das Unternehmen als Opfer. Bisher ist nichts darüber bekannt, ob Unternehmen auf Erpressungen bisher eingegangen sind.

Die Estée Lauder Companies Inc. ist nach eigenen Angaben einer der weltweit führenden Hersteller, Vermarkter und Verkäufer hochwertiger Hautpflege-, Make-up-, Duft- und Haarpflegeprodukte und verwaltet weltweit Luxus- und Prestigemarken. Die Produkte des Unternehmens werden in etwa 150 Ländern und Territorien unter Markennamen verkauft, darunter: Estée Lauder, Aramis, Clinique, Lab Series, Origins, MAC, La Mer, Bobbi Brown Cosmetics, Aveda, Jo Malone London, Bumble and bumble , Darphin Paris, TOM FORD, Smashbox, AERIN Beauty, Le Labo, Editions de Parfums Frédéric Malle, GLAMGLOW, KILIAN PARIS, Too Faced, Dr.Jart+ und die DECIEM-Markenfamilie, darunter The Ordinary und NIOD.

Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Kunden von Estée Lauder Auskunft darüber verlangen, ob sie vom Angriff betroffen sind.

Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.

82 DSGVO ermöglicht Schadensersatzansprüche, falls Estée Lauder unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.

Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden von Estée Lauder, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.

