Datenleck durch Scraping: Facebook zu Schadensersatz verurteilt

IT-Recht
31.01.202417 Mal gelesen
Millionen von E-Mail-Konten werden derzeit mit Spams und täuschend echt wirkenden Nachrichten überhäuft.

Das Landgericht Freiburg hat den Facebook-Mutterkonzern Meta im Zusammenhang mit dem 2021 bekannt gewordenen Datenleck zur Zahlung von 300 Euro Schadensersatz verurteilt. Dem Kläger ist aus Sicht des Gerichts durch das Facebook-Datenleck aus dem Jahr 2021 ein sogenannter immaterieller Schaden entstanden (Az.: 8 O 121/23). Nach dem Urteil vom 15. Dezember 2023 haftet Meta auch für alle künftigen materiellen Schäden, die dem Kläger durch das Datenleck entstehen. Darüber hinaus hat es Meta künftig zu unterlassen, die Telefonnummer des Klägers, ohne dessen Einwilligung weiterzugeben. Das Urteil des Landgerichts Freiburg zeigt für die Verbraucherkanzlei Dr. Stoll & Sauer, dass es sich für Betroffene des Facebook-Datenlecks lohnt, gegen Facebook/Meta zu klagen. Die Kanzlei empfiehlt Facebook-Usern den Datenleck-Checker im kostenlosen Online-Check. Mehr Infos zum Thema Datenleck gibt es auf unserer Website.

Datenleck Facebook: LG Freiburg sieht Verstöße gegen Datenschutz

Millionen von E-Mail-Konten werden derzeit mit Spams und täuschend echt wirkenden Nachrichten überhäuft. Ursache dafür ist unter anderem auch ein Datenleck bei Facebook. Im Frühjahr 2021 wurde beim Social Media Riesen ein gigantisches Datenleck bekannt. Allein in Deutschland sollen davon sechs Millionen Facebook-Kunden betroffen sein. Im Jahr 2019 lasen Dritte die Facebook-ID, den Namen, den Vornamen und das Geschlecht von Usern über das Contact-Import-Tool von Facebook aus. Diesen Vorgang bezeichnet man als "Scraping". In Hacker-Foren boten Kriminelle sensible Daten wie E-Mail-Adressen und Passwörter an. Wer vom Datenleck bei Facebook betroffen ist, hat Ansprüche auf Schadensersatz. Immer mehr Gerichte verurteilen die Facebook-Mutter Meta zur Zahlung von Schadensersatz. Die Kanzlei Dr. Stoll & Sauer fasst das vorliegende Verfahren und das Urteil kurz zusammen.

  • Der Kläger ist Opfer des großen Facebook Datenlecks geworden, das zu Ostern 2021 bekannt wurde. 
  • Die personenbezogenen Daten des Klägers wurden durch eine Methode namens "Scraping" erfasst, wobei Personen unberechtigterweise die Suchfunktionen von Facebook ausnutzten. Auch wenn Benutzer ihre Telefonnummern nicht öffentlich zugänglich machten, konnten sie dennoch über die Suche gefunden werden. Die Cyberkriminellen griffen so Millionen von Telefonnummern ab und sammelten die dazugehörigen Informationen mittels der Kontakt-Importfunktion von Facebook und Facebook Messenger. Durch diesen Vorfall wurden die persönlichen Daten des Klägers für unerwünschte Anrufe und SMS missbraucht.
  • Das Gericht sprach dem Kläger gemäß der europäischen Datenschutzgrundverordnung (DSGVO) Art. 82 Schadensersatz in Höhe von 300 Euro zu. Dem Verbraucher ist ein immaterieller Schaden entstanden. Facebook hätte die Daten des Klägers besser schützen müssen und hat gegen die DSGVO verstoßen.
  • Facebook haftet aufgrund des Datenlecks bei Facebook für alle weiteren materiellen Schäden, die dem Kläger in der Zukunft entstehen.
  • In der Urteilsbegründung unterstreicht das Gericht, dass Facebook gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat.
  • Das Urteil des Landgerichts Freiburg bestärkt die Ansicht, dass schon die Sorge über einen möglichen Kontrollverlust der persönlichen Daten als Schaden im Sinne der Datenschutz-Grundverordnung (DSGVO) anzusehen ist. Das Gericht stimmt damit mit der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) zum Thema Datenlecks und Hackerangriffen überein. Es erklärt, dass ein Schaden auch in Form von Unbehagen, Angst oder der Besorgnis entstehen kann, wenn es Anzeichen gibt, dass persönliche Daten in die Hände Unbefugter gelangt sein könnten und die Möglichkeit besteht, dass diese Daten unerlaubt verwendet werden.
  • Das Urteil ist noch nicht rechtskräftig.

Facebook-Datenleck erschüttert die Social-Media-Community

Der Datenleck-Skandal bei Facebook begann im Jahr 2019. Unbefugte erlangten Zugriff auf die Facebook-ID, den Namen, den Vornamen und das Geschlecht von Verbrauchern mithilfe des Contact-Import-Tools von Facebook. Dieser Vorgang wird als "Scraping" bezeichnet. Laut Facebook wurde das Contact-Import-Tool, das von Facebook selbst bereitgestellt wird, verwendet, um die Telefonnummern der Benutzer zu ermitteln. Durch die Eingabe einer Vielzahl von Nummernfolgen in ein virtuelles Adressbuch konnten die Angreifer diese Nummernfolgen als Telefonnummern identifizieren und bestimmten Facebook-Profilen zuordnen. Sie konnten die Nummernfolgen mithilfe des Contact-Import-Tools mit vorhandenen Facebook-Profilen abgleichen, um festzustellen, ob diese Nummernfolgen mit einem Facebook-Konto verknüpft waren.

Sobald die "Scraper" feststellten, dass eine Telefonnummer mit einem Facebook-Konto verbunden war, kopierten sie öffentlich zugängliche Informationen aus dem entsprechenden Nutzerprofil und fügten die Telefonnummer diesen abgerufenen, öffentlich einsehbaren Daten hinzu. Anfang April 2021 wurden diese Daten im Internet verbreitet.

EuGH erleichtert bei Datenleck Klagen auf Schadensersatz

Von einem Cyberangriff betroffene Verbraucher sollten sich die Konsequenzen eines Datenlecks und Datendiebstahls bewusst vor Augen führen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Das kann sogar zum Diebstahl der Identität führen. Damit können beispielsweise Geschäfte zulasten der Verbraucher getätigt werden. Wie sieht derzeit die Rechtslage aus? Haben Betroffene beispielsweise Ansprüche auf Schadensersatz? Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken. 

  • Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Facebook-Kunden Auskunft darüber verlangen, ob sie vom Angriff betroffen sind. 
  • Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden. 
  • Art. 82 DSGVO ermöglicht Schadensersatzansprüche, falls Facebook unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie "in keinerlei Hinsicht" für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
  • Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden von Facebook, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.

Die Verbraucherkanzlei Dr. Stoll & Sauer empfiehlt daher Verbrauchern, die eventuell von einem Datenleck betroffen sind, eine kostenlose Erstberatung im Online-Check. Hier prüft die Kanzlei die mögliche Betroffenheit und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen. Die Kanzlei hat bereits in einem ähnlichen Fall eines Datenlecks bei Facebook vor Landgerichten Schadensersatzansprüche durchgesetzt.

Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien

Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien im Verbraucher- und Anlegerschutzrecht. Mit der Expertise von über 30 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank- und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits-, IT-, Versicherungs-, Reise- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830-Millionen-Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterfeststellungsklage gegen die Mercedes-Benz Group AG. Im JUVE-Handbuch 2019/2020 wird die Kanzlei für ihre Kompetenz beim Management von Massenverfahren als marktprägend erwähnt.