Facebook Datendiebstahl – positive Urteile für Verbraucher
Mit 533 Millionen geraubten Datensätzen von Personen aus 106 verschiedenen Ländern zählt der Facebook-Datendiebstahl zu den größten bisher bekannten Datenlecks. Im Zuge dessen wurden zwischen Januar und September 2019 Profildaten, wie etwa Vor- und Nachname, gegebenenfalls aber auch Adresse, Arbeitsplatz, verknüpft mit der jeweiligen Handynummer durch Hacker öffentlich zur Verfügung gestellt.
Nicht selten sahen sich Betroffene hierdurch Spam-Anrufen, ungewollten Nachrichten oder gar Identitätsdiebstählen ausgesetzt.
Facebook verwendete Telefonnummer unrechtmäßig
Einfallstor für die – noch immer unbekannten – Hacker war die Verwendung eines sogenannten Contact-Import-Tools (CIT). Mit diesem ermöglichte Facebook seinen Nutzern, Bekannte durch die Eingabe von Handynummern zu finden, wenn diese von dem Gesuchten hinterlegt wurde.
Rechtmäßig war die Nutzung dieses Tools durch den Konzern nach Ansicht vieler Gerichte jedoch nicht. Grundvoraussetzung für die Verwendung von Daten ist nämlich in aller Regel die Einwilligung des jeweiligen Betroffen. An dieser fehlte es hier, denn bei Anmeldung stimmten die Nutzer lediglich der Verwendung ihrer Telefonnummer zwecks sogenannter „Zwei-Faktor-Authentifizierung“, zu Werbezwecken und zum Zweck der Kommunikation mit Facebook zu. Eine Einwilligung in die Nutzung im Rahmen des CIT wurde allerdings nicht abgegeben.
CTI war Einfallstor für Hacker
Für die Hacker wurde jedoch gerade dieses Tool zum willkommenen Einfallstor. Da über die Facebook-Suchfunktion lediglich eine Telefonnummer einzugeben war, um herauszufinden wem diese gehört, gaben diese (per Software) einfach millionenfach beliebige Telefonnummern ein und verknüpften die Treffer mit den öffentlichen Profildaten.
Mit dieser als “Scraping” bekannten Methode konnten dann millionenfach Profile mit Telefonnummern einzelnen Personen zugeordnet werden. Die so zusammengestellten Daten dieser ganze neun Monate andauernden Cyber-Attacke waren im Nachgang zunächst vereinzelt im Darknet zu finden, im April 2021 wurden diese dann jedoch gesammelt auf einer Hackerplattform veröffentlicht. Seither wurden die Daten in einer Vielzahl von Fällen zu unlauteren Zwecken – wie etwa Spam-Anrufen oder Mitteilungen, aber auch zu Identitätsdiebstählen – genutzt.
Ob auch Sie von dem Facebook-Datenleck betroffen sind, können Sie herausfinden, indem Sie Ihre E-Mail-Adresse oder Ihre Telefonnummer (im internationalen Format, daher etwa für Deutschland mit +49) hier eingeben: Identity Leak Checker (hpi.de).
Gegebenenfalls können hier auch Informationen über weitere Datenlecks eingeholt werden, von welchen Sie betroffen waren. Mit Sicherheit ausschließen lässt sich ein Datendiebstahl durch Abfrage auf der Seite jedoch nicht.
Landgerichte sprechen vielmals Schadensersatz zu
Die Zahl der Urteile, welche Betroffenen aufgrund des Datenlecks einen Schadensersatzanspruch zusprechen, wächst stetig. Allein im Februar entschieden etwa das Landgericht Stuttgart (Az. 3 O 220/22), das Landgericht Paderborn (Az. 3 O 220/22) sowie auch das Landgericht Ulm (Az. 4 O 86/22) zugunsten betroffener Verbraucher. Die erste positive Entscheidung in der Sache erging im September 2022 durch das Landgericht Zwickau.
Laut Art. 82 der Datenschutzgrundverordnung (DSGVO) lösen Verstöße gegen datenschutzrechtliche Vorschriften auch dann einen Schadensersatzanspruch des Betroffenen aus, wenn diesem “lediglich” ein immaterieller Schaden entstanden ist. Von einem solchen ist dann auszugehen, wenn dieser zwar nicht an Vermögen geschädigt wurde, jedoch persönlich verletzt oder eingeschränkt wurde.
Von einer solchen Verletzung gehen sämtliche der oben genannten Urteile aus, denn ein Vermögensschaden ist keinem der an diesen beteiligten Kläger entstanden.
Grund für den Zuspruch der Schadensersatzsummen von 350 EUR bis 1.000 EUR war vielmehr jeweils die unrechtmäßige Datenerhebung sowie unzureichende Datensicherung seitens Facebook einerseits sowie zum anderen, dass die Kläger argumentierten durch das Datenleck Spam-Anrufen ausgesetzt zu sein und sich auch künftig vor Betrugsversuchen aufgrund des Datenlecks schützen müssen.
Eine Entscheidung der Oberlandesgerichte in Sachen Facebook-Datenleck steht bisher noch aus. Obwohl diese bisher stets hohe Hürden für den Zuspruch eines immateriellen Schadensersatzes aufstellten, könnte die rasant wachsende Zahl positiver Landgerichtsurteile hier eine Trendwende andeuten.
Zusammenfassung
Schon durch die schiere Zahl betroffener Nutzer droht das Facebook-Datenleck für den Mutterkonzern Meta weitreichende finanzielle Folgen zu haben. Neben Strafzahlungen, wie etwa der bereits durch die irische Datenschutzbehörde verhängten Geldbuße von 265 Millionen Euro, drohen auch Schadensersatzansprüche jedes einzelnen Geschädigten.
Die derzeitige Linie innerhalb der deutschen Rechtsprechung deutet zumindest hierzulande auf eine solche Entwicklung hin. Der VSVBB begrüßt diese Trendwende angesichts der unrechtmäßigen Verwendung von Nutzerdaten und der potenziellen Folgen, welche diese für die Nutzer haben kann.