Facebook-Datenleck: Schadensersatz für Millionen Verbraucher?

Weltweit sind mehr als 533 Millionen Personen von einem der bisher schwersten Datenpannen betroffen – dem Facebook-Datenleck. Auch in Deutschland wurden dadurch persönliche Daten von mehreren Millionen Menschen gestohlen. Betroffene Facebook-Nutzer müssen damit rechnen, dass ihre Daten für kriminelle Zwecke missbraucht werden. Unter anderem deshalb besteht Anspruch auf Schadensersatz. Wir vom VSVBB erklären nachfolgend, was Sie über das Facebook-Datenleck wissen müssen und wie Sie sich gegen den Diebstahl Ihrer Daten zur Wehr setzen können.

Das Wichtigste auf einen Blick

Facebook ermöglichte durch unzulässige Verwendung und unzureichende Sicherung den Diebstahl von Kundendaten
Immer mehr Gerichte sprechen den betroffenen Verbrauchern nun Schadensersatzansprüche zu
Der VSVBB klärt Sie gern darüber auf, welche Rechte Verbrauchern im Zusammenhang mit dem Facebook-Datenleck zukommen

Im Zuge des Facebook-Datenlecks wurden zwischen Januar und September 2019 die Profildaten von mehreren Millionen Personen durch Hacker öffentlich zur Verfügung gestellt. Konkret wurden Informationen wie Namen, Adressen, Geburtsdaten sowie Angaben zum Geschlecht oder auch dem jeweiligen Arbeitsplatz gestohlen und im Internet publiziert.

Möglich wurde dies durch eine unzureichende Datensicherung des Meta-Konzerns. Zudem nutze der Konzern die hinterlegten Telefonnummern nach Meinung vieler Gerichte auf eine Weise, welche diesem rechtlich gar nicht zustand.

Inhaltsverzeichnis

Jetzt VSVBB-Mitglied werden

Werden Sie stimmberechtigtes Mitglied und helfen Sie uns damit, Verbraucher zukünftig nicht nur über ihre Rechte aufzuklären, sondern sie auch kostenfrei vor Gericht vertreten zu können! Das ist nur mit Ihrer Unterstützung möglich.

Gleichzeitig profitieren Sie von mehreren Vorteilen, wie etwa einer kostenlosen Erstberatung pro Quartal durch einen erfahrenen Verbraucheranwalt.

Facebook verwendete Telefonnummer unrechtmäßig

Facebook ermöglicht seinen Nutzern das Auffinden ihnen bekannter Personen, indem deren Telefonnummer in das Suchfeld der Website beziehungsweise App eingegeben wird. Die Nutzung der hierfür notwendigen Software, ein sogenanntes Contact-Import-Tool (CIT), diente den Hackern nicht nur als Einfallstor, sondern war nach Meinung vieler Gerichte auch rechtswidrig.

Grundvoraussetzung für die Verwendung von Daten ist nämlich in aller Regel die Einwilligung des jeweiligen Betroffen. An dieser fehlte es im Falle von Facebook jedoch, denn bei Anmeldung stimmten die Nutzer lediglich der Verwendung ihrer Telefonnummer zwecks sogenannter „Zwei-Faktor-Authentifizierung“, zu Werbezwecken und zum Zweck der Kommunikation mit Facebook zu. Eine Einwilligung in die Nutzung im Rahmen des CIT und somit der eigenen Telefonnummer, um durch andere Nutzer gefunden werden zu können wurde allerdings nicht abgegeben.

Inzwischen hat der Konzern seine Allgemeinen Geschäftsbedingungen angepasst. Wer die Plattform noch immer nutzt, stimmt daher auch der entsprechenden Nutzung seiner Daten zu.

Suchfunktion ermöglichte Datendiebstahl

Die Möglichkeit Nutzer anhand Ihrer Handynummern ausfindig zu machen, ermöglichte Hackern, Daten durch sogenannte Scraping-Angriffe abzugreifen.

Mit Scraping, was auf Englisch so viel wie Abkratzen / Abschürfen bedeutet, wird eine Methode bezeichnet, bei welcher auf einer Website vorhandene Daten schlicht abgelesen und gespeichert werden. Ein irgendwie geartetes Eindringen durch Überwinden von Firewalls oder ähnlichem findet also nicht statt.

Da über die Facebook-Suchfunktion lediglich eine Telefonnummer einzugeben war, um herauszufinden wem diese gehört, gaben die Hacker (per Software) einfach millionenfach beliebige Telefonnummern ein und verknüpften die Treffer mit den öffentlichen Profildaten.

Hierdurch konnten dann vorhandene Profile den Telefonnummern der dahinterstehenden Personen zugeordnet werden. Die so zusammengestellten Daten dieser ganze neun Monate andauernden Cyber-Attacke waren im Nachgang zunächst vereinzelt im Darknet zu finden, im April 2021 wurden diese dann jedoch gesammelt auf einer Hackerplattform veröffentlicht. Seither wurden die Daten in einer Vielzahl von Fällen zu unlauteren Zwecken – wie etwa Spam-Anrufen oder Mitteilungen, aber auch zu Identitätsdiebstählen – genutzt.

Facebook hat die Durchführung von Scraping-Attacken zwischenzeitlich erschwert und monitort die Plattform nach eigenen Angaben ständig, um zukünftige Angriffe zu verhindern. Das hilft betroffenen Nutzern rückwirkend allerdings keineswegs.

Verbraucher können eigene Betroffenheit abfragen

Einige Verbraucherplattformen bieten sogenannte Betroffenheitschecks an. Verbraucher geben dabei einfach ihre Telefonnummer ein, ein Tool gleich diese mit den im Rahmen des Datenlecks veröffentlichen Verbraucherdaten ab. Wir raten von der Nutzung solcher Dienstleister ab und empfehlen, die eigene Betroffenheit direkt über den Identity Leak Checker (hpi.de) zu prüfen.

Verbraucher sollten wissen, welche Daten betroffen sind

Wird Ihnen bei einer entsprechenden Anfrage die eigene Betroffenheit angezeigt, sollte Sie stets hinterfragen, welche Daten betroffen sind. Im Rahmen des Facebook-Datenlecks sind dies stets sämtliche Angaben zu Ihrer Person, welche Sie im entsprechenden Zeitraum zwischen Januar und September 2019 öffentlich einsehbar in Ihrem Profil gemacht haben.

In Bezug auf andere Datenlecks lässt sich dies durch eine Abfrage der Datenbank des Hasso-Plattner-Institutes herausfinden. Zu beachten ist jedoch, dass sich auch durch eine solch die eigene Betroffenheit nie hundertprozentig ausschließen lässt.

Sollten Sie bereits wissen, dass Ihre Daten Teil eines Datenlecks waren, sollten diese gerade, wenn es sich um sensible Bereiche (Online-Banking; Zahlungsanbieter) handelt, möglichst umgehend geändert bzw. die jeweiligen Anbieter über Ihre Betroffenheit informiert werden. So ist etwa eine Änderung des eigenen Facebookprofils sowie der mit diesem verknüpften Telefonnummer und Passwörter durchaus sinnvoll. Zudem sollten Mails und SMS unbekannter Absender beziehungsweise hierin enthaltene Links generell nicht geöffnet werden.

Eine ausführliche Anleitung dazu, was zu tun ist, wenn Sie von einem Datenleck betroffen sind, finden Sie hier.

Wenn Ihre Daten bereits missbraucht wurden, kann es zudem sinnvoll sein, den Diebstahl Ihrer Konto- oder auch Namens- und Adressdaten bei der entsprechenden Datenbank der SCHUFA zu melden, um die Gefahr weiteren Missbrauchs zu verringern.

Landgerichte sprechen Schadensersatz zwischen 300 EUR und 1.000 EUR zu

Die Zahl der Urteile, welche Betroffenen aufgrund des Datenlecks einen Schadensersatzanspruch zusprechen, wächst stetig. Allein im Februar entschieden etwa das Landgericht Stuttgart (Az. 3 O 220/22), das Landgericht Paderborn (Az. 3 O 220/22) sowie auch das Landgericht Ulm (Az. 4 O 86/22) zugunsten betroffener Verbraucher. Die erste positive Entscheidung in der Sache erging im September 2022 durch das Landgericht Zwickau.

Laut Art. 82 der Datenschutzgrundverordnung (DSGVO) lösen Verstöße gegen datenschutzrechtliche Vorschriften auch dann einen Schadensersatzanspruch des Betroffenen aus, wenn diesem “lediglich” ein immaterieller Schaden entstanden ist. Von einem solchen ist schon dann auszugehen, wenn dieser zwar nicht an Vermögen geschädigt wurde, jedoch persönlich verletzt oder eingeschränkt wurde.

Von einer solchen Verletzung gehen sämtliche der oben genannten Urteile aus, denn ein Vermögensschaden ist keinem der an diesen beteiligten Kläger entstanden.

Grund für den Zuspruch der Schadensersatzsummen von 300 EUR bis 1.000 EUR war vielmehr jeweils die unrechtmäßige Datenerhebung sowie unzureichende Datensicherung seitens Facebook einerseits sowie zum anderen, dass die Kläger argumentierten durch das Datenleck Spam-Anrufen ausgesetzt zu sein und sich auch künftig vor Betrugsversuchen aufgrund des Datenlecks schützen müssen.

Eine Entscheidung der Oberlandesgerichte in Sachen Facebook-Datenleck steht bisher noch aus. Obwohl diese bisher stets hohe Hürden für den Zuspruch eines immateriellen Schadensersatzes aufstellten, könnte die rasant wachsende Zahl positiver Landgerichtsurteile hier eine Trendwende andeuten.

Hunderte Millionen Bußgeld aufgrund von Datenschutzverstöße

Aufgrund der unzureichenden Sicherung der Kundendaten, welche das Datenleck ermöglichte, verhängte die für den Meta-Konzern zuständige, irische Datenschutzbehörde DPC bereits im November2022 eine Geldstrafe von 265 Millionen Euro.

Jedoch führten nicht nur die unzureichende Sicherung und damit der Zugriff durch Dritte in der Vergangenheit bereits zu solchen Bußgeldern. Auch die unrechtmäßige Nutzung von Kundendaten durch den Konzern selbst alarmierte die Datenschutzbehörde.

So zahlte dieser für Verstöße der Plattformen Facebook und Instagram sowie des Messengerdienstes Whatsapp allein in 2021 und 2022 insgesamt 910 Millionen an Bußgeldern. Nachdem die irische Datenschutzbehörde – welche aufgrund des dortigen Sitzes des Meta-Konzerns zuständig ist – zunächst als sehr zurückhaltend galt, geht diese seit Beginn des Jahres 2021 drastisch gegen entsprechende Verstöße der dort ansässigen Tech-Unternehmen vor.

Fragen und Antworten zum Facebook-Datenleck

Wie finde ich heraus, ob ich von dem Facebook-Datenleck betroffen bin?

Ist die Nutzung von Facebook jetzt unbedenklich?

Kann ich meine Daten aus dem Internet löschen lassen?

Was kann ich sonst tun mich zu schützen, wenn ich bereits betroffen bin?

Sollten Sie bereits wissen, dass Ihre Daten Teil eines Datenlecks waren, sollten diesem gerade, wenn es sich um sensible Bereiche (Online-Banking; Zahlungsanbieter) handelt, möglichst umgehend geändert bzw. die jeweiligen Anbieter über Ihre Betroffenheit informiert werden.

Folgende Reihenfolge sollte hierbei beachtet werden:

Finden Sie heraus, welche Zugänge betroffen sind oder betroffen sein könnten (etwa, weil dasselbe oder ein sehr ähnliches Passwort benutzt wurde).
Ändern Sie die Zugangsdaten sämtlicher betroffener Accounts. Achten Sie darauf zunächst die Zugangsdaten der Accounts zu ändern, welche benötigt werden, um andere Passwörter zurückzusetzen (in der Regel E-Mailpostfach). Ändern Sie anschließend Passwörter von Accounts, die Sie für mehrere Anmeldung nutzen können (etwa Facebook, falls Sie Ihr Profil auch für andere Dienste nutzen).
Setzen Sie sichere Passwörter (Buchstaben, Zahlen, Groß- und Kleinschreibung sowie im Idealfall keine realen Wörter mit Bezug zu Ihnen) und führen Sie die Passwortänderungen möglichst in einem Zug durch, um zwischenzeitliche Zugriffe zu verhindern.
Kontrollieren Sie ob innerhalb der Accounts Weiterleitungen aktiviert wurden oder sonstige Änderungen vorgenommen wurden. Falls ja, machen Sie diese rückgängig.
Überprüfen Sie regelmäßig ob fremde Aktivitäten auf Ihrem Account zu erkennen sind.

Wenn Ihre Daten bereits missbraucht wurden, sollte der Diebstahl unbedingt bei der Polizei zur Anzeige gebracht sowie gegebenenfalls auch Ihrer Versicherung gemeldet werden. Oft ist die Anzeige bei der Polizei eine zwingende Voraussetzung für die Eintrittspflicht Ihrer Versicherung.

So kann etwa die Deckungspflicht Ihrer Haftpflichtversicherung für durch fremde Personen getätigte Bestellungen davon abhängen, dass Sie den Vorfall umgehend, nachdem Ihnen dieser bekannt wird zur Anzeige bringen und der Versicherung melden.

Auch eine Meldung Ihrer Konto-, Namens- und Adressdaten bei der entsprechenden Datenbank der SCHUFA kann sinnvoll sein, um die Gefahr weiteren Missbrauchs zu verringern.

Welche Folgen habe ich zu befürchten, wenn ich betroffen bin?

Setzt ein Schadensersatzanspruch voraus, dass in meinem Namen Verträge abgeschlossen wurden?

Kann der VSVBB meinen Anspruch auf Schadensersatz durchsetzen?

Wie lange habe ich Zeit, um meine Ansprüche durchzusetzen?

Kann ich als Betroffener sicher sein meinen Anspruch vor Gericht zugesprochen zu bekommen?

Muss ich bei der Durchsetzung meines Anspruches also ein finanzielles Risiko eingehen?