Facebook Datenklau: Schadensersatz sichern!

Beim Facebook Datenklau handelt es sich um einen der größten Datenschutzvorfälle der letzten Jahre. Hacker verschafften sich mithilfe des sogenannten Scrapings Zugang zu eigentlich nichtöffentlichen Facebook-Nutzerdaten und konnten so ganze Datensätze unbefugt entwenden. Hintergrund ist neben einer Sicherheitslücke der Aufbau eines Facebook-Profils, in dem bestimmte Daten der Kunden gespeichert werden.

So benötigt jeder Nutzer mindestens einen Nutzernamen – in der Regel den Klarnamen – eine Mail-Adresse sowie seine Telefonnummer. All diese Informationen sind im Profil gespeichert, meist auch mit Geburtsdatum, werden von Facebook aber nicht zwingend im Profil veröffentlicht. Nutzerinnen und Nutzer können vielmehr einstellen, welche Daten sie mit der Öffentlichkeit und ihren Freunden teilen möchten und welche nicht. 

Bis 2019 war es allerdings möglich, durch Eingabe der (geheimen) Nutzerdaten einzelne Facebook-Profile ausfindig zu machen. Die Hacker setzten dabei auf einen Zufallsgenerator, der mithilfe der Facebook-Freundesuche das gesamte Netzwerk nach zufällig generierten Handynummern durchforstete. Obwohl die Telefonnummer nicht öffentlich sichtbar war, wurde sie in der Suchfunktion einem konkreten Profil zugeordnet.

So konnten beim Facebook Datenklau rund 500 Millionen Datensätze unberechtigt abgerufen und anderweitig gespeichert werden. Alleine in Deutschland sind über sechs Millionen Nutzerinnen und Nutzer betroffen. Die Informationen wurden in Hacker-Foren veröffentlicht und insbesondere für Spam-Anrufe genutzt. Diese halten bis heute an. 

Erheblich zugenommen haben seit Bekanntwerden der Daten auch Spam-SMS. Kriminelle versuchen beispielsweise, mit gefälschten Paketbenachrichtigungen an weitere Daten und das Geld der „Kunden“ zu gelangen. Entsprechendes gilt für Fake-Anmeldeseiten von Banken, beispielsweise der Raiffeisen-Volksbank oder Sparkasse. 

Unmittelbar nach Veröffentlichung der Daten trat die erste, spürbare Folge des Datenlecks ein: Nutzerinnen und Nutzer wurden mit dubiosen Anrufen, Nachrichten und Mails bombardiert. Kriminelle nutzen dabei häufig deutsche Handynummern, die nicht ohne weiteres von seriösen Anrufern zu unterscheiden sind. Die Annahme des Anrufs mit dem Wort „Ja?“ reicht bereits aus, um festzustellen, dass die geklaute Handynummer tatsächlich dem potenziellen Opfer gehört.

Achtung:

Seien Sie bei derartigen Anrufen äußerst vorsichtig und blockieren Sie gegebenenfalls die Nummer des Anrufers. Geben Sie keinesfalls persönliche Daten preis oder in gefälschte Anmeldemasken ein. Wenden Sie sich zur Sicherheit an den Paketdienstleister oder die Bank, um zu verifizieren, dass es sich bei der Anfrage um einen echten Vorgang handelt. So stellen Sie sicher, dass Ihre persönlichen Informationen – insbesondere Zahlungsdaten – nicht in die falschen Hände geraten. 

Die meisten Nutzer sind allerdings nicht von entsprechenden Anrufen betroffen. Ihre Informationen aus dem Facebook Datenklau liegen aber mit hoher Wahrscheinlichkeit auf Servern im Ausland und werden beispielsweise für Werbezwecke weiterverkauft. 

Konzerne, die Nutzerdaten verarbeiten, haben nach unterschiedlichen Rechtsvorschriften verschiedene Pflichten zum Umgang mit diesen Informationen. Rechtsgrundlage ist insbesondere die EU-weit gültige Datenschutz-Grundverordnung, kurz DSGVO. Im deutschen Bundesgebiet gilt zusätzlich das Bundesdatenschutzgesetz (BDSG), das sich aber an vielen Stellen mit der DSGVO überschneidet oder auf ihr aufbaut. 

Allerdings ist die Sachlage bei Hacker-Angriffen etwas anders als bei „klassischen“ Datenschutzverstößen der Unternehmen. Denn hier sind es zunächst die Kriminellen, die sich unberechtigterweise Zugang zu den geschützten Nutzerdaten verschafft haben. Im zweiten Schritt der Prüfung ist allerdings zu ermitteln, ob Facebook eine Mitschuld daran trägt, dass ein entsprechender Angriff überhaupt möglich war. 

Hier stehen insbesondere die Sicherheitsvorkehrungen im Mittelpunkt. Kommt es dennoch zu einem Verstoß gegen die DSGVO, muss der Konzern die zuständigen Behörden unverzüglich informieren. Alternativ können nach einem Vorfall wie dem Facebook Datenklau erste Maßnahmen ergriffen werden, um eine Verschlimmerung zu verhindern. Facebook setzt hier an und argumentiert, man habe die Möglichkeit des Scrapings unverzüglich – also noch im Jahr 2021 nach Veröffentlichung der ersten Daten – unterbunden. 

‍

‍

Facebook ist infolge des Datenklaus nach Artikel 15 DSGVO verpflichtet, Nutzerinnen und Nutzern Auskunft über ihre Betroffenheit vom Datenleck zu informieren. Der Konzern muss insbesondere bekanntgeben, in welchem Umfang Daten abgegriffen und – nach Möglichkeit – für welche Zwecke diese missbraucht wurden. Das Auskunftsrecht kann formlos, etwa per Mail, geltend gemacht werden. 

Kommt Facebook seiner Informationspflicht nicht nach, können Schadensersatzansprüche nach Artikel 82 DSGVO entstehen. Für Sie als Nutzerin oder Nutzer spricht dabei die zunehmend verbraucherfreundliche Auslegung dieser Norm, sodass es bereits zahlreiche Urteile zugunsten der Facebook-Nutzer gab. 

So haben beispielsweise die folgenden Gerichte Schadensersatzzahlungen zwischen 300 und 1.000 Euro zugesprochen – und es werden jeden Tag mehr: 

• Landgericht Stuttgart, Az. 8 O 38/23: Der vom Facebook Datenleck Betroffene erhielt Schadensersatz in Höhe von 400 Euro 
• Landgericht München, Az. 15 O 4507/22: Verstöße gegen die DSGVO führten bei diesem Nutzer dazu, dass insgesamt 600 Euro an Schadensersatz zu zahlen war
• Landgericht Stuttgart, Az. 3 O 220/22: Hier wurden wegen des Facebook Datenlecks sogar 1.000 Euro Schadensersatz gezahlt. Der Betroffene war Opfer gleich mehrerer DSGVO-Verstöße, weil Facebook keinerlei Auskunft zum Sachverhalt erteilte