Was passierte beim Facebook-Datenleck von 2021?

Wenig ist im Zeitalter des Internets so wertvoll wie Nutzerdaten. Mit diesen wird daher auch fleißig gehandelt. Bankverbindungen, Mail-Adressen, Telefonnummern und andere Bestellinformationen werden immer wieder gestohlen und zum Beispiel über Hackerforen verbreitet. Über das Datenleck auf Facebook wurden auch sensible Informationen wie Geburtsdaten und Angaben über den Beziehungsstatus erbeutet und veröffentlicht. Zu den betroffenen Nutzern gehören auch etwa sechs Millionen Accounts aus Deutschland. Erschwerend kam hinzu, dass die Daten offenbar durch eine Sicherheitslücke erlangt wurden, die nach Angaben von Facebook bereits im August 2019 geschlossen wurde. Das Problem: Bereits zu diesem Zeitpunkt wurden unter anderem Telefonnummern von Usern mithilfe der sogenannten “Scraping”-Methode unverschlüsselt gestohlen. Beim Scraping werden sogenannte Crawler verwendet, um das Internet nach bestimmten Daten zu durchsuchen. In der Regel sind Scraper so programmiert, dass sie online so interagieren, wie normale Nutzer mit Produkten interagieren; das macht sie auch so gefährlich.

Warum ist das Datenleck so gefährlich?

Die so unrechtmäßig erhaltenen Daten wurden zum Beispiel für Scams oder Spam-Nachrichten per SMS oder E-Mail verwendet. Das geschieht etwa über Benachrichtigungen, dass die Betroffenen ein Paket erhalten haben. Wer auf den Link in der Nachricht klickt, wird dann auf eine Seite mit Malware umgeleitet, die das Device infizieren kann, über das der Link aufgerufen wird. Diese Nachrichten können umso glaubwürdiger gestaltet werden, je mehr persönliche Daten die Betrüger vorliegen haben. Insbesondere ältere Nutzer oder solche, die nicht zu sehr mit dem Internet oder solchen Scams vertraut sind, laufen Gefahr, sich so Viren einzufangen oder ähnlichen Betrugsversuchen aufzusitzen. Dazu gehören nicht nur Nachrichten mit Malware-Links, sondern auch andere Phishing-Attacken, Bedrohungen oder Erpressungen.

Was können betroffene Nutzer tun?

Gemäß der auch in Deutschland gültigen Datenschutzgrundverordnung verpflichten sich Unternehmen dazu, personenbezogene Daten ihrer Kunden zu schützen. Auch im Fall einer Sicherheitspanne bestehen spezifische Auskunfts- und Meldepflichten.

Wer wissen möchte, ob er vom Datenleck auf Facebook betroffen ist, kann das entweder über einen entsprechenden Check im Internet erfahren oder auf Grundlage des persönlichen Auskunftsrechts nach Art. 15 Datenschutz-Grundverordnung (DSGVO) bei Facebook selbst direkt Auskunft darüber verlangen. Wenn Facebook daraufhin keine oder nur eine unvollständige Auskunft erteilt, kann daraus ein Schadensersatzanspruch aus Art. 82 DSGVO hervorgehen. Dann haben die Nutzer ein Recht darauf, Schadensersatz sowie Auskunft über die Verarbeitung der persönlichen Daten und zukünftige Unterlassung von Facebook zu verlangen, selbst wenn ihnen kein unmittelbarer finanzieller Schaden durch den Datendiebstahl entstanden ist. Aber auch materielle Schäden sollten in Betracht gezogen werden, beispielsweise die Kosten für die Einrichtung einer neuen, sicheren Mail-Adresse.

Im Falle des Facebook-Datenlecks ist die Wahrscheinlichkeit auf Schadensersatz hoch, da hier hochsensible Informationen an die Öffentlichkeit gelangten. Es gab bereits einige vergangene Fälle, in denen die von solchen oder ähnlichen Datenlecks Betroffenen Schadensersatz zugesprochen bekamen.

Das Gerichtsurteil

Bestätigung gab es auch durch das Landgericht Oldenburg, das in einem Versäumnisurteil vom 18. Oktober 2022 (Az.: 5 O 1809/22) Meta Platforms (so der aktuelle Name für das Unternehmen Facebook) dazu verurteilte, den immateriellen Schadensersatz in Höhe von 2000 Euro zu zahlen – plus zusätzliche 1000 Euro für Nichterteilung einer außergerichtlichen Datenauskunft, die den gesetzlichen Anforderungen entspricht nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit.

Laut Gerichtsbeschluss wird “festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.“

Das erste Urteil in diesem Komplex erging gegen Facebook – bzw. Meta Platforms – bereits im September. Das Unternehmen musste durch das Versäumnisurteil des Landgerichts (LG) Zwickau (Urteil vom 14. September 2022, Az.: 7 O 334/22) Schadensersatz in Höhe von 1000 Euro an einen vom Datenleck betroffenen Nutzer zahlen. Dieser Betrag ist zwar vergleichsweise niedrig, ist aber ein Resultat daraus, dass der Kläger zu diesem Zeitpunkt nicht mehr Schadensersatz von Facebook gefordert hatte.

Fazit

Pauschal kann zwar nicht gesagt werden, wie viel Schadensersatz jedem einzelnen Kläger genau zusteht; allerdings steht fest, dass gemäß der DSGVO gegenüber den Verantwortlichen eine Schadensersatzforderung geltend gemacht werden kann. Die Höhe des Schadensersatzes selbst ist auch davon abhängig, was für Nutzerdaten betroffen sind, ob diese Daten frei zugänglich gemacht wurden und welches Ausmaß das Datenleck hat. Auch wenn es auf den ersten Blick nicht den Anschein hat, dass man als Einzelner viel gegen einen Großkonzern wie Facebook ausrichten kann, so hat es dennoch Konsequenzen, wenn viele der Betroffenen ihre Rechte geltend machen – unabhängig von der Größe und des Unternehmens.

Sollten Sie von einem Datenleck betroffen sein, stehen Ihnen die Fachanwälte von KGH gerne zur Seite.