Datenleck Facebook: LG Ulm sieht Verstöße gegen Datenschutz
Millionen von E-Mail-Konten werden derzeit mit Spams und täuschend echt wirkenden Nachrichten überhäuft. Ursache dafür ist unter anderem auch ein Datenleck bei Facebook. Im Frühjahr 2021 wurde beim Social Media Riesen ein gigantisches Datenleck bekannt. Allein in Deutschland sollen davon sechs Millionen Facebook-Kunden betroffen sein. Im Jahr 2019 lasen Dritte die Facebook-ID, den Namen, den Vornamen und das Geschlecht von Usern über das Contact-Import-Tool von Facebook aus. Diesen Vorgang bezeichnet man als „Scraping“. In Hacker-Foren boten Kriminelle sensible Daten wie E-Mail-Adressen und Passwörter an. Wer vom Datenleck bei Facebook betroffen ist, hat Ansprüche auf Schadensersatz. Immer mehr Gerichte verurteilen die Facebook-Mutter Meta zur Zahlung von Schadensersatz. Die Kanzlei Dr. Stoll & Sauer hat am 13. Juli 2023 ihr erstes verbraucherfreundliches Urteil gegen Meta erstritten. Hier werden das Verfahren und das Urteil kurz zusammengefasst.
- Der Kläger ist Opfer des großen Facebook Datenlecks geworden, das zu Ostern 2021 bekannt wurde. Der Kläger beklagte auch eine Zunahme von Spams und täuschend echt wirkenden Mails seit 2019
- Für das Gericht bestand ein klarer Zusammenhang zwischen den Spams und dem Datenleck bei Facebook.
- Das Gericht sprach dem Kläger gemäß der europäischen Datenschutzgrundverordnung (DSGVO) Art. 82 Schadensersatz in Höhe von 500 Euro zu. Dem Verbraucher ist ein immaterieller Schaden entstanden. Facebook hätte die Daten des Klägers besser schützen müssen und hat gegen Art. 13 DSGVO (1.), Art. 32, 24, 5 Abs. 1 f) DSGVO (2.), Art. 33 DSGVO (3.) und Art. 34 DSGVO (4.) verstoßen.
- Meta haftet aufgrund des Datenlecks bei Facebook für alle weiteren Schäden, die dem Kläger in der Zukunft entstehen.
- Meta ist es zudem untersagt, die Telefonnummer des Facebook-Users, ohne dessen Erlaubnis weiterzugeben. Andernfalls droht ein Ordnungsgeld bis zu 250.000 Euro.
- In der Urteilsbegründung unterstreicht das Gericht, dass Facebook gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat.
- Facebook „ist der nach Art. 13 DSGVO auferlegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachgekommen. Denn es ist nicht feststellbar, dass die Beklagte den Kläger zum Zeitpunkt der Datenerhebung seiner Mobilfunknummer hinreichend über die Zwecke der Verarbeitung seiner Mobilfunknummer aufgeklärt hat.“
- Zudem hat Facebook als Verantwortliche aufgrund unzureichender Sicherheitsmaßnahmen gegen Art. 32, 24, 5 Abs. 1 f) DSGVO verstoßen.
- Zudem hat die Beklagte gegen Art. 33 DSGVO verstoßen. Die Sicherheitsbehörden sind nicht über das Datenleck informiert worden.
- Meta hat zudem auch gegen Art. 34 DSGVO verstoßen, da sie den Kläger nicht über den Scraping-Vorfall informiert hat.
- Das Urteil ist noch nicht rechtskräftig.
Der Datenleck-Skandal bei Facebook begann im Jahr 2019. Unbefugte erlangten Zugriff auf die Facebook-ID, den Namen, den Vornamen und das Geschlecht von Verbrauchern mithilfe des Contact-Import-Tools von Facebook. Dieser Vorgang wird als "Scraping" bezeichnet. Laut Facebook wurde das Contact-Import-Tool, das von Facebook selbst bereitgestellt wird, verwendet, um die Telefonnummern der Benutzer zu ermitteln. Durch die Eingabe einer Vielzahl von Nummernfolgen in ein virtuelles Adressbuch konnten die Angreifer diese Nummernfolgen als Telefonnummern identifizieren und bestimmten Facebook-Profilen zuordnen. Sie konnten die Nummernfolgen mithilfe des Contact-Import-Tools mit vorhandenen Facebook-Profilen abgleichen, um festzustellen, ob diese Nummernfolgen mit einem Facebook-Konto verknüpft waren.
Sobald die "Scraper" feststellten, dass eine Telefonnummer mit einem Facebook-Konto verbunden war, kopierten sie öffentlich zugängliche Informationen aus dem entsprechenden Nutzerprofil und fügten die Telefonnummer diesen abgerufenen, öffentlich einsehbaren Daten hinzu. Anfang April 2021 wurden diese Daten im Internet verbreitet.
Datenleck: EuGH stärkt Rechte von betroffenen Verbrauchern
Opfer von Datenlecks haben in der Regel zwar nicht unmittelbar ein Problem. Nachgelagert können aber die Angreifer oder Dritte versuchen, E-Mail-Adresse und Telefonnummer für betrügerische Zwecke zu nutzen. E-Mails oder Anrufe können dazu genutzt werden, sensible Informationen, wie z. B. Passwörter oder Konto-Zugangsdaten, den Verbrauchern zu entlocken oder die E-Mails enthalten Schadsoftware für einen erneuten Angriff auf Bankdaten der Verbraucher. In diesem Sinne ist den Opfern gerade des Datenlecks bei Facebook ein immaterieller Schaden entstanden. Opfer von Datenlecks stehen Rechte auf Auskunft, Schadensersatz und Unterlassung zu. Wie sieht das in der Rechtsprechung konkret aus?
- Gemäß Artikel 15 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind.
- Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EuGH) entschieden. Laut EuGH-Urteil vom 4. Mai 2023 (: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.
- Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen.