Facebook Datenleck Prüfung: Schadensersatz sichern!

Im August 2019 konnten Hacker eine Sicherheitslücke bei Facebook ausnutzen und so insgesamt 530 Millionen Datensätze von Nutzerprofilen auslesen. Die entsprechenden Daten wurden in entsprechenden Foren veröffentlicht und im weiteren Verlauf für missbräuchliche – meist sogar kriminelle – Zwecke verwendet. Im Wesentlichen waren alle in einem Facebook-Profil gespeicherten Nutzerdaten betroffen: 

• Vollständiger Nutzername, in der Regel also Vor- und Nachname 
• Geburtsdatum 
• Telefonnummer (insbesondere Handynummer für 2-Faktor-Authentifikation)
• Beziehungsstatus 
• E-Mail-Adresse 

Insbesondere auf Handynummer und E-Mail-Adresse haben je nach Datenschutzeinstellung nur Facebook-Freunde, keinesfalls aber dritte Personen, Zugriff. Auch das Geburtsdatum ist üblicherweise nur sichtbar, wenn Menschen miteinander befreundet sind. 

Das Facebook Datenleck kam durch das sogenannte Scraping zustande. Eine Sicherheitslücke in der Freundesuche ermöglichte es den Hackern, mithilfe zufällig generierter Handynummern nach Personen zu suchen. Auch wenn diese Nummer nicht öffentlich sichtbar war, war sie im Hintergrund mit dem Profil verbunden – und konnte über die Suche so einem bestimmten Profil zugeordnet werden. Der Zufallsgenerator fand so insgesamt 530 Millionen Datensätze, bestehend insbesondere aus vollständigem Namen und Mobilfunknummer. 

Facebook reagierte zwar unverzüglich und deaktivierte die entsprechende Funktion, zu diesem Zeitpunkt war es für viele Kunden aber bereits zu spät. Alleine in Deutschland sind rund sechs Millionen Nutzerinnen und Nutzer des sozialen Netzwerks betroffen. Das Hauptproblem: Sind die Daten erstmal im Netz, ändert auch das Schließen der Sicherheitslücke nichts mehr an deren Bekanntwerden. Kriminelle können die persönlichen Informationen dann für ihre Zwecke einsetzen. 

Für zahlreiche Betrüger, insbesondere aus dem Ausland, sind die erhaltenen Datensätze ein gefundenes Fressen. Betroffene merken dies vor allem an zunehmenden Spam-Anrufen und SMS-Nachrichten, die beispielsweise zur Anmeldung auf (gefälschten) Bankwebseiten aufrufen. Häufig werden Nutzer auch aufgefordert, eine Gebühr an den Zoll oder Paketdienst zu entrichten – auf diese Weise kommen die Kriminellen an die Kreditkarten- oder andere Zahlungsinformationen. 

Außerdem können die Daten für Werbezwecke missbraucht werden. Dies ist insbesondere der Fall, wenn mit dem Facebook-Konto auch eine noch gültige Mailadresse verknüpft ist. Viele Nutzer wissen daher gar nicht, woher Unternehmen ihre persönlichen Kontaktdaten haben. 

Unser Tipp:

Seien Sie bei entsprechenden Anrufen und Nachrichten besonders vorsichtig. Gehen Sie nicht ans Handy, wenn Ihnen eine Nummer verdächtig vorkommt – andernfalls merken die Kriminellen, dass hinter der Mobilfunknummer nach wie vor eine Person steht. Geben Sie außerdem keine Zahlungsdaten preis und wenden Sie sich zur Sicherheit an den (angeblichen) Absender der Nachricht, etwa an Ihre Bank oder den Zoll. So gehen Sie auf Nummer sicher!

‍

‍

Nach Artikel 15 der Datenschutz-Grundverordnung (DSGVO) haben Nutzerinnen und Nutzer von Facebook ein Informationsrecht. Der Meta-Konzern ist verpflichtet, Sie über Art und Ausmaß der Datenschutzverletzung zu informieren. Unmittelbare Ansprüche gegen Facebook ergeben sich aus der DSGVO zumindest wegen der Datenpanne selbst allerdings nicht, da der Angriff von außerhalb verübt wurde. 

Allerdings muss Facebook die zuständigen Behörden unverzüglich über den Vorfall informieren. Diese Pflicht entfällt nur dann, wenn sofort geeignete Maßnahmen eingeleitet werden, um zukünftige Schäden zu verhindern oder zu begrenzen. Da Facebook bereits im August 2019 – nach Bekanntwerden der ersten Nutzerdaten – Scraping unmöglich gemacht hat, argumentiert der Konzern auf dieser Grundlage. 

Allerdings gibt es für Schadensersatzforderungen eine weitere Rechtsgrundlage, nämlich Artikel 82 DSGVO. Gibt Facebook keine oder keine ausreichende Auskunft über den Umfang der Datenpanne, haben Menschen in der EU Ansprüche auf finanzielle Entschädigung. Die Norm wird von den zuständigen Gerichten immer verbraucherfreundlicher ausgelegt; auch und insbesondere, da entsprechende Forderungen eine abschreckende Wirkung auf Facebook haben. 

Zahlreiche Gerichte haben bereits zugunsten der Verbraucher entschieden und Facebook zu Schadensersatzzahlungen zwischen 300 und 1.000 Euro verurteilt. Einige Beispiele: 

• Landgericht München, Az. 15 O 4507/22: Verstöße gegen die DSGVO führten bei diesem Nutzer dazu, dass insgesamt 600 Euro an Schadensersatz zu zahlen war
• Landgericht Stuttgart, Az. 8 O 38/23: Der vom Facebook Datenleck Betroffene erhielt Schadensersatz in Höhe von 400 Euro 
• Landgericht Stuttgart, Az. 3 O 220/22: Hier wurden wegen des Facebook Datenlecks sogar 1.000 Euro Schadensersatz gezahlt. Der Betroffene war Opfer gleich mehrerer DSGVO-Verstöße, weil Facebook keinerlei Auskunft zum Sachverhalt erteilte