Datenleck Facebook: LG Freiburg sieht Verstöße gegen Datenschutz
Millionen von E-Mail-Konten werden derzeit mit Spams und täuschend echt wirkenden Nachrichten überhäuft. Ursache dafür ist unter anderem auch ein Datenleck bei Facebook. Im Frühjahr 2021 wurde beim Social Media Riesen ein gigantisches Datenleck bekannt. Allein in Deutschland sollen davon sechs Millionen Facebook-Kunden betroffen sein. Im Jahr 2019 lasen Dritte die Facebook-ID, den Namen, den Vornamen und das Geschlecht von Usern über das Contact-Import-Tool von Facebook aus. Diesen Vorgang bezeichnet man als „Scraping“. In Hacker-Foren boten Kriminelle sensible Daten wie E-Mail-Adressen und Passwörter an. Wer vom Datenleck bei Facebook betroffen ist, hat Ansprüche auf Schadensersatz. Immer mehr Gerichte verurteilen die Facebook-Mutter Meta zur Zahlung von Schadensersatz. Die Kanzlei Dr. Stoll & Sauer fasst das vorliegende Verfahren und das Urteil kurz zusammen.
- Der Kläger ist Opfer des großen Facebook Datenlecks geworden, das zu Ostern 2021 bekannt wurde.
- Die personenbezogenen Daten des Klägers wurden durch eine Methode namens "Scraping" erfasst, wobei Personen unberechtigterweise die Suchfunktionen von Facebook ausnutzten. Auch wenn Benutzer ihre Telefonnummern nicht öffentlich zugänglich machten, konnten sie dennoch über die Suche gefunden werden. Die Cyberkriminellen griffen so Millionen von Telefonnummern ab und sammelten die dazugehörigen Informationen mittels der Kontakt-Importfunktion von Facebook und Facebook Messenger. Durch diesen Vorfall wurden die persönlichen Daten des Klägers für unerwünschte Anrufe und SMS missbraucht.
- Das Gericht sprach dem Kläger gemäß der europäischen Datenschutzgrundverordnung (DSGVO) Art. 82 Schadensersatz in Höhe von 300 Euro zu. Dem Verbraucher ist ein immaterieller Schaden entstanden. Facebook hätte die Daten des Klägers besser schützen müssen und hat gegen die DSGVO verstoßen.
- Facebook haftet aufgrund des Datenlecks bei Facebook für alle weiteren materiellen Schäden, die dem Kläger in der Zukunft entstehen.
- In der Urteilsbegründung unterstreicht das Gericht, dass Facebook gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat.
- Das Urteil des Landgerichts Freiburg bestärkt die Ansicht, dass schon die Sorge über einen möglichen Kontrollverlust der persönlichen Daten als Schaden im Sinne der Datenschutz-Grundverordnung (DSGVO) anzusehen ist. Das Gericht stimmt damit mit der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) zum Thema Datenlecks und Hackerangriffen überein. Es erklärt, dass ein Schaden auch in Form von Unbehagen, Angst oder der Besorgnis entstehen kann, wenn es Anzeichen gibt, dass persönliche Daten in die Hände Unbefugter gelangt sein könnten und die Möglichkeit besteht, dass diese Daten unerlaubt verwendet werden.
- Das Urteil ist noch nicht rechtskräftig.
Der Datenleck-Skandal bei Facebook begann im Jahr 2019. Unbefugte erlangten Zugriff auf die Facebook-ID, den Namen, den Vornamen und das Geschlecht von Verbrauchern mithilfe des Contact-Import-Tools von Facebook. Dieser Vorgang wird als "Scraping" bezeichnet. Laut Facebook wurde das Contact-Import-Tool, das von Facebook selbst bereitgestellt wird, verwendet, um die Telefonnummern der Benutzer zu ermitteln. Durch die Eingabe einer Vielzahl von Nummernfolgen in ein virtuelles Adressbuch konnten die Angreifer diese Nummernfolgen als Telefonnummern identifizieren und bestimmten Facebook-Profilen zuordnen. Sie konnten die Nummernfolgen mithilfe des Contact-Import-Tools mit vorhandenen Facebook-Profilen abgleichen, um festzustellen, ob diese Nummernfolgen mit einem Facebook-Konto verknüpft waren.
Sobald die "Scraper" feststellten, dass eine Telefonnummer mit einem Facebook-Konto verbunden war, kopierten sie öffentlich zugängliche Informationen aus dem entsprechenden Nutzerprofil und fügten die Telefonnummer diesen abgerufenen, öffentlich einsehbaren Daten hinzu. Anfang April 2021 wurden diese Daten im Internet verbreitet.
EuGH erleichtert bei Datenleck Klagen auf Schadensersatz
Von einem Cyberangriff betroffene Verbraucher sollten sich die Konsequenzen eines Datenlecks und Datendiebstahls bewusst vor Augen führen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Das kann sogar zum Diebstahl der Identität führen. Damit können beispielsweise Geschäfte zulasten der Verbraucher getätigt werden. Wie sieht derzeit die Rechtslage aus? Haben Betroffene beispielsweise Ansprüche auf Schadensersatz? Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken.
- Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Facebook-Kunden Auskunft darüber verlangen, ob sie vom Angriff betroffen sind.
- Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.
- 82 DSGVO ermöglicht Schadensersatzansprüche, falls Facebook unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
- Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden von Facebook, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.