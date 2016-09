(Bild: dpa, John G. Mabanglo)

Das ging flott: Am Donnerstag musste Yahoo einen Rekordhack von mindestens 500 Millionen Kundendatensätzen beichten. Bereits am Freitag erhob ein Opfer Sammelklage in Kalifornien.



Freie Reinterpretation des Rennens um die schnellste Klage

Bild: Steenbergs CC BY-2.0 Ende 2014 wurden bei Yahoo Daten mindestens einer halben Milliarde User abgegriffen. Dazu kommt, dass der Konzern bald zwei Jahre brauchte, um den GAU zu bemerken. Er vermutet einen "staatlich finanzierten" Angreifer, macht dazu aber keine weiteren Angaben. Wie in den USA üblich, zieht das Malheur Klagen nach sich. Als erste solche Klage wurde die eines New Yorkers Yahoo-Users namens Ronald Schwartz bekannt.

Entsprechend heißt das am Bundesbezirksgericht für das nördliche Kalifornien anhängige Verfahren auch Schwartz v. Yahoo (Case No. 16-cv-05456). Schwartz beantragt die Zulassung als Sammelklage im Namen aller betroffenen US-Amerikaner. Er zeiht Yahoo der groben Fahrlässigkeit (Gross Negligence) und der Verletzung spezifischer Pflichten in Zusammenhang mit dem Bailment der Daten.

Enorme Reaktionszeit

Dass Yahoo den Einbruch so lange nicht bemerkt hat oder haben will, kreidet er der Firma besonders an. Auch kritisiert er, dass die Daten nicht zur Gänze verschlüsselt waren, und dass der Zugriff über das Internet überhaupt möglich war.



Verizon wird nun versuchen, Yahoo billiger zu bekommen. Allerdings spricht die Klageschrift auch von Indizien, die darauf hinwiesen, dass der Einbruch bei Yahoo schon viel länger bekannt gewesen sei. Der Hack sei vertuscht worden, bis im Juli die Übernahme durch Verizon bekanntgegeben werden konnte. Näher erläutert oder vorgelegt wurden diese Indizien (noch) nicht.

Gesunkener Wert der persönlichen Daten

Obwohl Yahoo betont, dass keine Daten von Zahlungsinstrumenten wie Kredit- oder Debitkarten gespeichert waren und deswegen auch nicht kopiert wurden, besteht die Gefahr des Identitätsdiebstahls. Die kopierten Daten können dafür hinreichen. Daher empfiehlt das Unternehmen den Betroffenen, eine Sperre ihres Akts bei den Bonitätsbewertern (Credit Bureaus) einrichten zu lassen.

Diese Sperre erschwert es Dritten, auf die Bonitätsinformationen zuzugreifen. Die Zustimmung des Betroffenen muss jedes Mal explizit nachgewiesen werden, was eine Unannehmlichkeit für den Betroffenen und seine Vertragspartner ist, aber eben auch eine Hürde für etwaige Betrüger. Weil solche Schutzmaßnahmen gegen das Geschäftsinteresse der Credit Bureaus sind, verlangen sie in der Regel eine Gebühr für die Einrichtung der Sperre. Laut Klage sind das fünf bis 20 US-Dollar je Sperre, und die meisten Nordamerikaner werden bei mehreren Credit Bureaus geführt.

Im Unterschied etwa zu Home Depot hat Yahoo bisher nicht angekündigt, diese Spesen zu übernehmen. Die Klage will das ändern. Darüber hinaus wird auch Schadenersatz für den durch die Preisgabe gesunkenen Wert der personenbezogenen Daten gefordert. Yahoo lehnt in seinen Vertragsbedingungen aber Haftung für Hacks ab. Daher wird in der Klageschrift außerdem beantragt, die Haftungsbeschränkung für rechtswidrig und nicht anwendbar zu erklären.