6 Millionen Facebook-Kunden in Deutschland vom Leck betroffen
Unternehmen, Behörden und Arbeitgeber sammeln Daten von Verbrauchern, verarbeiten sie, nutzen sie für ihre Zwecke und verdienen damit oft auch Geld. Gerade Facebook gehört zu den großen Datensammlern im Internet. Allerdings wird mit den personenbezogenen Daten oft leichtfertig umgegangen, so dass es zu Verstößen gegen datenschutzrechtliche Normen kommt. Beim Facebook-Datenleck hat das Unternehmen die Daten der Kunden nur unzureichend vor Hacker-Angriffen geschützt. Den Verbrauchern steht aus Sicht der Kanzlei Dr. Stoll & Sauer Schadensersatz zu. So sieht es auch das Landgericht Paderborn in fünf Fällen (Az.: 2 O 212/22; 2 O 185/22; 2 O 236/22; 3 O 99/22; 3 O 193/22).
- Die Facebook-Kunden sind alle Betroffene des großen Datenlecks aus dem Frühjahr 2021. Wie die Kläger so leiden derzeit viele Facebook-Nutzer seit 2019 über vermehrte Spam-Anrufe und -Nachrichten. Kriminelle konnten offensichtlich eine Fülle an sensiblen Nutzer-Daten erbeuten, mit deren Hilfe sie täuschend echt aussehende SMS und E-Mails versenden. Enorme Schäden könnten verursacht werden.
- Die Facebook-Kunden verklagten das Unternehmen auf Schmerzensgeld in Höhe von 1000 Euro. Ihnen sei ein immaterieller Schaden entstanden und ihnen stehe Schmerzensgeld nach Artikel 82 DSGVO zu.
- Das Landgericht Paderborn folgte im Grunde genommen der Klage. Facebook sei für das Datenleck mitverantwortlich, und den Kunden sei ein Schaden im Sinne der DSGVO entstanden. Das Unternehmen hätte Vorkehrungen für die Verhinderung eines Datenlecks treffen müssen. Allerdings reduzierte das Gericht den Schadensersatz auf 500 Euro. Das Gerichte konnte bei der Anhörung der Kläger keine besondere persönliche Betroffenheit feststellen.
- Interessanter Nebenaspekt: Das Gericht stellte fest, dass Facebook verpflichtet ist, den Nutzern alle künftigen Schäden zu ersetzen, die durch den unbefugten Zugriff Dritter auf das Facebook-Datenarchiv erfolgten oder noch erfolgen werden. Denn die Gefahr beim Datenklau liegt in der Zukunft. Hacker horten personenbezogene Daten aus zahlreichen Datenlecks und können auf diese Weise die Identitäten von Usern nachbasteln und für kriminelle Zwecke nutzen. Auch für einen solchen Fall haftet also Facebook.
- Facebook bestritt im Verfahren die möglichen Verstöße gegen die DSGVO. Anders als noch am Landgericht Zwickau verteidigte sich der Social-Media-Riese vor Gericht. In Zwickau hatte sich Facebook im Verfahren nicht geäußert. Daher war ein Versäumnisurteil ergangen. Mittlerweile verteidigt sich das Unternehmen.
- Das Urteil ist noch nicht rechtskräftig.
Der vorliegende Fall zeigt aus Sicht der Kanzlei Dr. Stoll & Sauer deutlich, dass die Chancen der Verbraucher auf Schadensersatz beim Facebook-Datenleck enorm gestiegen sind. Das gilt auch für alle anderen Facetten des Datenschutzes – also Schufa-Angelegenheiten, Sicherheitslücken in Unternehmen wie jüngst bei Twitter, Otto, Kaufland, Revolut und generell Verstößen gegen den Datenschutz. Die Kanzlei rät Verbrauchern daher zur anwaltlichen Beratung. Im kostenfreien Online-Check und der kostenlosen Erstberatung zeigen wir Möglichkeiten auf, den Schaden zu minimieren und Schadensersatz einzuklagen. Wir prüfen auch, ob Verbraucher von einem Datenleck betroffen sind.
Welche Folgen haben Datenlecks für Verbraucher?
Auf den ersten Blick ist für von einem Datenleck betroffene Verbraucher noch nicht viel passiert. Doch die nächste Spam- und Phishing-Welle rollt bereits auf die Verbraucher zu – ohne dass sie es wissen. Das ist mehr als nervig. Denn die Gefahr ist groß, dass es mit Hilfe von SMS, E-Mail oder Malware zu Betrugsversuchen kommt. Da es auch zum großen Datenklau bei Social-Media-Accounts wie Facebook gekommen ist, wächst das Risiko, dass Kriminelle weitere personenbezogene Daten miteinander verknüpfen und zum Schluss die Identität von Verbrauchern übernehmen und im Namen der Geschädigten Geschäfte abschließen. Bereits jetzt werden die Mails von Banken täuschend echt kopiert. Jetzt beklagt auch DHL diese Betrugsmasche. Wer da im Eifer des Tagesgeschäft die falsche Taste drückt, kann große Probleme bekommen.
Die Gefahr eines Datenlecks liegt im Kontrollverlust über die eigenen Daten. Sind diese Daten einmal weg, sind sie für Kriminelle jederzeit benutzbar. Das Internet vergisst nichts. Die Gefahr liegt also in der Zukunft.
Ein aktuelles Beispiel ist das Datenleck bei PayPal. Angreifer haben bei einer sogenannten Credential-Stuffing-Attacke zahlreiche Zugangsdaten ausgetestet – und hatten in knapp 35.000 Fällen Erfolg. Credential Stuffing gehört zu den gängigsten Cyberangriffsmethoden. Dabei werden zuvor geleakte oder illegal erlangte Anmeldedaten genutzt, um sie für den unbefugten Zugang bei anderen Diensten massenhaft auszuprobieren. Die Angreifer gehen davon aus, dass Anwender ihre Login-Daten mit gleichen Benutzernamen und Passwörtern bei mehreren Diensten gleichzeitig verwenden. Der Fall PayPal zeigt, dass Verbraucher Anmeldedaten nie für unterschiedliche Accounts nutzen sollten.
Opfer von Datenlecks haben Ansprüche auf Schadensersatz
Verbraucher haben generell ein Recht darauf zu erfahren, ob sie von einem Datenleck betroffen sind. Das Unternehmen muss ihnen nach Artikel 15 der europäischen Datenschutzgrundverordnung (DSGVO) darüber innerhalb eines Monats Auskunft erteilen. So sieht es Artikel 12 DSGVO vor. Letztlich ist aus Sicht der Kanzlei Dr. Stoll & Sauer den Betroffenen ein sogenannter immaterieller Schaden entstanden. Die Gefahr, Opfer von Kriminellen zu werden, ist enorm gestiegen. Auch ein Identitätsdiebstahl ist im Bereich des Möglichen. Erste Gerichte haben beispielsweise Facebook zur Zahlung von Schmerzensgeld in erster Instanz verurteilt, weil der Social-Media-Riese die Daten seiner Kunden besser hätte schützen müssen. Grundlage dafür ist Artikel 82 DSGVO. Die Verordnung sieht bei schuldhaften Verstößen bei den Geschädigten einen Anspruch auf ein „angemessene Schmerzensgeld“. Dr. Stoll & Sauer bietet für Verbraucher eine kostenlose anwaltliche Erstberatung im Online-Check an. Hier überprüfen wir die Betroffenheit eines Datenlecks. Wir zeigen die Möglichkeiten auf, gegen datenverarbeitende Unternehmen juristisch vorzugehen.