Facebook Datenskandal: Schadensersatz sichern!

Unter dem Oberbegriff „Facebook Datenskandal“ werden mehrere Hackerzugriffe auf Nutzerdaten im August 2019 verstanden. Hacker konnten mithilfe des sogenannten Scrapings die Namen zahlreicher Nutzerinnen und Nutzer sowie die mit dem Account verbundenen Kontaktdaten, vor allem Mailadresse und Mobilfunknummer, auslesen. Infolgedessen kam es neben Spam- und Werbeanrufen auch zu kriminellen Handlungen, etwa zur Abfrage von Bank- und Zahlungsdaten über gefälschte Nachrichten. 

Konkret gerieten insbesondere folgende Daten, die im Nutzerkonto bei Facebook gespeichert sind, in die Hände der Hacker: 

• Nutzername, in der Regel also der vollständige Vor- und Nachname
• Geburtsdatum
• E-Mail-Adresse und Mobilfunknummer 
• Gegebenenfalls Wohnort
• Beruf und Beziehungsstatus, soweit bei Facebook eingetragen

Weltweit sind es rund 530 Millionen Datensätze, alleine auf Deutschland entfallen hiervon circa sechs Millionen. Die Wahrscheinlichkeit, dass auch Sie betroffen sind, ist also entsprechend hoch. 

Zum Facebook Datenskandal konnte es durch eine Sicherheitslücke in der Suchfunktion des sozialen Netzwerks kommen. Denn Nutzerinnen und Nutzer ließen sich auch dann durch Eingabe ihrer Mobilfunknummer finden, wenn diese weder öffentlich noch für die eigenen Freunde sichtbar war. Wurde die Handynummer in die Freundesuche bei Facebook eingegeben, erschien das Profil, zu dem die Nummer gehört, als Ergebnis. So hatten die Hacker den Namen der Person inklusive ihrer (in der Regel aktuellen) Mobilnummer. 

Möglich macht dies das sogenannte Scraping. Ein Zufallsgenerator durchforstet Facebook nach zufällig generierten Handynummern. Wird ein Ergebnis gefunden, speichert das Tool alle im Profil einsehbaren Daten – und darunter eben auch Beruf, Beziehungsstatus und oft das Geburtsdatum der jeweiligen Person. In jedem Fall hatten die Hacker Zugang zu den Kontaktdaten der Profilinhaber. 

Nachdem die Daten abgegriffen waren, wurden sie in mittlerweile nicht mehr verfügbaren Hacker-Foren veröffentlicht. Kriminelle machten sich diese zunutze, etwa um Nutzer mit Spamnachrichten und gefälschten E-Mails zur Eingabe weiterer Daten zu verleiten. 

Was für Bilder gilt, gilt leider auch für alle anderen Daten, die einmal ihren Weg ins Internet gefunden haben: Es ist nahezu unmöglich, sie wieder rückstandslos zu entfernen oder zu vernichten. Daher sind die Folgen des Facebook Datenskandals bis heute spürbar, auch wenn der Konzern sehr zeitnah reagiert und die Sicherheitslücke geschlossen hat. 

Nutzerinnen und Nutzer erhalten beispielsweise Nachrichten von „ihrer“ Bank, die einer echten Benachrichtigung täuschend ähnlich sehen. Mit der verlinkten Anmeldemaske greifen Kriminelle dann die Login-Daten für das Online-Banking ab. Ohne Zwei-Faktor-Authentifizierung ist es nun ein leichtes, Überweisungen und andere Handlungen im Banking des Betroffenen vorzunehmen. Auch kommt es zum Versand gefälschter Zollnachrichten, in denen zur Zahlung einer kleinen Gebühr (meist zwischen zwei und fünf Euro) aufgefordert wird. Geben Nutzer nun ihre Zahlungsdaten ein, können diese mangels Verschlüsselung missbraucht werden. 

Unser Tipp daher:

Achten Sie besonders auf gefälschte Nachrichten. Sie sind zwar meist gut erkennbar, sehen den Originalen häufig aber auch zum Verwechseln ähnlich. Geben Sie keinesfalls Ihre Zahlungsdaten heraus, insbesondere nicht am Telefon. Stellen Sie – etwa durch einen Anruf bei Ihrer Bank – sicher, dass es sich um eine echte Anfrage handelt. 

Sperren Sie außerdem Nummern, bei denen Sie bereits wissen, dass es sich um Spamanrufe oder Kriminelle handelt. Erstatten Sie gegebenenfalls Strafanzeige bei der Polizei. 

Im Ergebnis sind die Folgen des Facebook Datenskandals für Nutzer durchaus schwerwiegend. Auch wenn nicht alle Kunden tatsächlich von Spam oder Betrug betroffen sind, hilft bei einigen Nutzern nur noch der Wechsel auf eine neue Handynummer. 

‍

‍

Zwar wurde Facebook respektive der Meta-Konzern wegen ungenauer Datenschutzbestimmungen in den letzten Jahren bereits zu Geldstrafen in Millionenhöhe verurteilt, der Facebook Datenskandal aus 2019 ist aber grundlegend anders einzuordnen. Denn hier hat nicht Facebook unmittelbar einen verstoß begangen, sondern wurde mehr oder weniger Opfer eines „externen“ Angriffs. Alle datenschutzrechtlichen Bestimmungen wurden dem Grunde nach eingehalten. 

Zugute kommt Ihnen in diesen Fällen aber die DSGVO, die europäische Datenschutz-Grundverordnung. Denn nach Artikel 15 DSGVO ist der Datenverarbeiter, hier Facebook, zur umfassenden Auskunft über alle Vorfälle verpflichtet. Er muss Ihnen insbesondere mitteilen, was konkret vorgefallen und mit Ihren persönlichen Daten passiert ist.

Kommt Facebook einer entsprechenden Aufforderung nicht oder nicht ausreichend nach, greift Artikel 82 DSGVO. Hierauf stützen sich aktuell alle geltend gemachten Ansprüche auf Schadensersatz, denn Unternehmen sind bei Verletzungen ihrer Auskunftspflicht zum finanziellen Ausgleich der (immateriellen) Schäden ihrer Kunden verpflichtet. 

Die Norm wird von den zuständigen Gerichten generell sehr großzügig und verbraucherfreundlich ausgelegt. Daher kam es bereits zu zahlreichen Verurteilungen, wobei Facebook zwischen 300 und 5.000 Euro Schadensersatz zahlen musste. Einige Beispiele:

• Landgericht Stuttgart, Az. 8 O 38/23: Der vom Facebook Datenleck Betroffene erhielt Schadensersatz in Höhe von 400 Euro 
• Landgericht Stuttgart, Az. 3 O 220/22: Hier wurden wegen des Facebook Datenlecks sogar 1.000 Euro Schadensersatz gezahlt. Der Betroffene war Opfer gleich mehrerer DSGVO-Verstöße, weil Facebook keinerlei Auskunft zum Sachverhalt erteilte 
• Landgericht München, Az. 15 O 4507/22: Verstöße gegen die DSGVO führten bei diesem Nutzer dazu, dass insgesamt 600 Euro an Schadensersatz zu zahlen war