Facebook Datenleck: Schadensersatz sichern!

Ab Mitte 2019, insbesondere im August, sind zahllose Nutzerdaten von Facebook-Kunden in einem US-amerikanischen Forum für Hacker aufgetaucht. Insgesamt, das ergaben Ermittlungen der EU und verschiedener Sicherheitsfirmen, sind im Ergebnis rund 530 Millionen Datensätze aufgetaucht. Hiervon entfallen rund sechs Millionen Kundendaten auf Deutschland. In jedem Datensatz sind, soweit bei Facebook gespeichert, die folgenden Informationen enthalten: 

• Vollständiger Nutzername, in der Regel also Vor- und Nachname 
• Geburtsdatum 
• E-Mail-Adresse oder E-Mail-Adressen, wenn mehrere gespeichert sind 
• Telefonnummer (insbesondere Handynummer für 2-Faktor-Authentifikation)
• Beziehungsstatus 

Im Wesentlichen sind vom Facebook Datenleck also Daten betroffen, die normalerweise nur Personen mit „Freundestatus“ auf Facebook selbst sehen können. Viele Informationen, insbesondere solche, die privat im Profil gespeichert wurden, konnten von Hackern aber trotzdem ausgelesen werden. So sind beispielsweise Geburtsdaten von Personen aufgetaucht, die ihren Geburtstag nicht einmal mit engen Freunden auf Facebook teilen. Öffentlich einsehbar ist das Geburtsdatum ohnehin in keinem Fall. 

Doch wie sind die Hacker, die nun das Facebook Datenleck mit Schadensersatzforderungen ausgelöst haben, an die intimen Nutzerdaten gelangt? 

Angewendet wurde hierfür eine Methode namens „Scraping“. Sie basiert auf einem Zufallsgenerator, mit dem Daten, die eigentlich nicht öffentlich einsehbar, aber mit einem Profil verknüpft sind, herausgefunden werden können. Der Zufallsgenerator generiert beliebige Handynummern und gibt diese in die Freundesuche bei Facebook ein. Ergibt sich dadurch ein Treffer, speichern die Hacker diesen. Da Handynummern – anders als Mailadressen – nur aus Zahlen bestehen, haben Hacker es hier besonders leicht. Notwendig ist lediglich eine gewisse Ausdauer, wobei hier der Zufallsgenerator zum Einsatz kommt. 

Dass die Möglichkeit des Scrapings überhaupt besteht, lag an einer mittlerweile geschlossenen Facebook-Sicherheitslücke. Sie ermöglichte es, Nutzer auch mithilfe nicht öffentlicher Daten ausfindig zu machen. Hat der Nutzer beispielsweise seine E-Mail-Adresse auf privat gestellt und gibt jemand diese Adresse in die Facebook-Suche ein, landet er auf dem Profil des Nutzers – auch wenn dieser nicht möchte, dass die Mailadresse seinem Profil und damit ihm als Person zugeordnet werden kann. 

Das Problem: Sind entsprechende Daten erst einmal abgegriffen, kann auch das Schließen der Lücke nicht verhindern, dass sich diese weiter im Netz verbreiten. Betroffene Nutzerinnen und Nutzer erhalten seitdem vermehrt Spamanrufe und Textnachrichten, in denen zum Beispiel zur Abholung einer Paketsendung beim Zoll aufgerufen wird. Um mit dieser Masche Geld zu verdienen, legen Kriminelle eine fiktive Gebühr – beispielsweise 3,99 Euro – fest. 

Eine direkt erkennbare Folge des Facebook Datenskandals war die schlagartige Zunahme von Spamanrufen. Betrüger versuchen mit unterschiedlichsten Maschen, Nutzerinnen und Nutzer zur Zahlung von Geldbeträgen zu verleiten. Dabei werden die Nachrichten, insbesondere SMS und Mails, immer echtaussehender. So ist die gefälschte Anmeldeseite von Banken beispielsweise kaum von ihrem (echten) Original zu unterscheiden. Entsprechendes gilt für DHL, UPS und andere Paketdienste, die angeblich eine Gebühr für die weitere Bearbeitung einer Postsendung erheben. 

Unser Tipp:

Seien Sie bei dubiosen Nachrichten besonders vorsichtig! Klicken Sie keinesfalls auf Links und Anhänge und geben Sie keinerlei Daten ein. Wenden Sie sich zur Sicherheit an Ihre Bank oder den Paketdienst, von dem Sie die Nachricht erhalten haben. 

Viele Nutzer wissen allerdings nichts davon, dass ihre Daten veröffentlicht wurden. Möglicherweise wurden viele Informationen bereits weiterverkauft und werden beispielsweise für Werbezwecke verwendet. Daher kann es auch vorkommen, dass Sie – meist aus dem Ausland – angerufen werden. Hier gilt ebenfalls: Legen Sie auf oder nehmen Sie den Anruf gar nicht erst an, wenn er Ihnen dubios vorkommt. Recherchieren Sie gegebenenfalls die Nummer, um sicherzustellen, dass es sich nicht um einen Spam-Anruf handelt. 

Grundsätzlich sind Unternehmen, die mit sensiblen Nutzerdaten arbeiten, zum besonderen Schutz dieser Informationen verpflichtet. Rechtsgrundlage ist die EU-Datenschutz-Grundverordnung (DSGVO) in Verbindung mit den Vorschriften des Bundesdatenschutzgesetzes (BDSG). Facebook musste wegen Verstößen gegen diese Vorgaben bereits mehrere Millionen Euro Strafe an die EU zahlen. Hintergrund war, dass die Datenschutzbestimmungen nicht konkret genug formuliert wurden. Daher ist es durchaus denkbar, dass Nutzerinnen und Nutzer bei einem allgemeinen Facebook Datenleck Ansprüche auf Schadensersatz geltend machen können. 

Aber: Bei Hacker-Angriffen ist die Sachlage grundsätzlich anders. Denn hier erfolgt die Einflussnahme „von extern“, also durch Dritte. Facebook selbst hat im ersten Schritt der Prüfung keine Verantwortung für die Tatsache, dass Daten abgegriffen wurden. Im zweiten Schritt kann allerdings geprüft werden, ob die getroffenen Sicherheitsvorkehrungen ausreichend waren – und hier setzen eventuelle Ansprüche an. 

Denn Facebook ist bei einem Datenleck dazu verpflichtet, die zuständige Behörde unverzüglich über die Datenschutzverletzung zu informieren. Andernfalls droht dem Konzern ein Bußgeld. Etwas anderes gilt nur – und damit argumentiert Facebook auch – wenn unverzüglich nach Bekanntwerden des Verstoßes erste Maßnahmen ergriffen wurden. 

‍

‍

Nach Artikel 15 DSGVO haben Facebook-Nutzer ein grundsätzliches Recht auf Auskunft, ob und inwieweit sie vom Datenleck betroffen sind. Kommt Facebook einer entsprechenden Anfrage nicht nach, kann sich bereits hieraus ein Anspruch auf Schadensersatz ergeben. Je nach individueller Auslegung durch das zuständige Gericht können auch weitere Forderungen im Raum stehen. Das Gericht kann sich beispielsweise daran orientieren, wie häufig die veröffentlichten Daten bereits missbraucht wurden und welche Folgen für die Nutzerin oder den Nutzer dadurch entstanden sind. 

Die maßgebende Norm für das Facebook Datenleck und den hieraus folgenden Schadensersatz ist Artikel 82 der DSGVO. Die Vorschrift wird von Amts- und Landgerichten zunehmend verbraucherfreundlich ausgelegt – auch und vor allem wegen der abschreckenden Wirkung für den Facebook-Konzern. 

Zahlreiche Gerichte haben bereits zugunsten der Verbraucher entschieden und Facebook zu Schadensersatzzahlungen zwischen 300 und 5.000 Euro verurteilt. Einige Beispiele: 

• Landgericht Stuttgart, Az. 8 O 38/23: Der vom Facebook Datenleck Betroffene erhielt Schadensersatz in Höhe von 400 Euro 
• Landgericht München, Az. 15 O 4507/22: Verstöße gegen die DSGVO führten bei diesem Nutzer dazu, dass insgesamt 600 Euro an Schadensersatz zu zahlen war
• Landgericht Stuttgart, Az. 3 O 220/22: Hier wurden wegen des Facebook Datenlecks sogar 1.000 Euro Schadensersatz gezahlt. Der Betroffene war Opfer gleich mehrerer DSGVO-Verstöße, weil Facebook keinerlei Auskunft zum Sachverhalt erteilte