Am Osterwochenende wurden viele Facebook-Nutzer von einer besorgniserregenden Nachricht überrascht. In einem Hackerforum sind 533 Millionen Daten von Facebook-Usern aufgetaucht. Unter den Betroffenen sollen auch 6 Millionen Nutzer aus Deutschland sein. Bei den Daten handelt es sich um vollständige Nutzernamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und auch persönliche Angaben wie den Beziehungsstatus. Sind auch Sie vom Facebook-Datenleck betroffen? Dann melden Sie sich bei uns. Die Kanzlei WBS berät Sie gerne zu den nächstmöglichen rechtlichen Schritten.

Ein Bericht der IT-Sicherheitsfirma Hudson Rock hat Anfang April Politik, Gesellschaft und Medien aufgewühlt. In einem Hackerforum kursieren rund 533 Millionen Facebook-Nutzerdaten. Darunter seien vollständige Nutzernamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und mitunter auch der Beziehungsstatus.

Was war passiert? Bereits 2019 waren Telefonnummern von 420 Millionen Nutzern im Netz aufgetaucht. Die Hacker hatten eine Funktion zur Suche von Facebook-Freunden für den Datenabgriff missbraucht. Sie griffen auf die Daten im Wege des so genannten Scraping zu. Scraping bezeichnet das automatisierte, massenhafte Abrufen öffentlich einsehbarer Daten. Im konkreten Fall lief die Methode so ab: Bekanntlich sind die Telefonnummern der Facebook-Nutzer nicht öffentlich verfügbar. Die Täter generierten daher hunderte Millionen zufällige Telefonnummern. Über ein Tool zu Freundesuche glichen sie die Handynummern mit den Daten von zahlreichen Facebook-Nutzern ab.  Wenn es eine Telefonnummer in der Facebook-Datenbank gab, die mit der zufällig generierten Nummer übereinstimmte, hat Facebook die Daten des jeweiligen angeblichen Freundes zurückgespielt. Damit wurde den Betrügern klar, welche Handynummer zu wem gehörte.

Facebook zufolge sind die 533 Millionen Nutzerdaten, die aktuell in Hackerforen vorzufinden sind, noch auf dieses Datenleck zurückzuführen. Irische Datenschützer sehen in dem Leak jedoch eventuell noch mehr: Laut ihrer Mitteilung scheine der aktuelle Leak zwar die Datensätze von früher zu enthalten. Es ist aber möglich, dass die Datensätze mit weiteren Informationen ergänzt wurden, die aus einem späteren Zeitraum stammen könnten.

Checken Sie hier, ob Sie betroffen sind

Klicken Sie auf den folgenden Link und prüfen Sie dort zunächst ganz einfach, ob Sie betroffen sind:

Bitte geben Sie Ihre Mobilnummer im Internationalen Format an, beginnend mit +49, ohne Bindestriche und ohne Leerzeichen.

Aktuelle Erfolge unserer Mandanten

500 € Schadensersatz

Facebook wurde vom LG Stendal verurteilt, an unseren Mandanten Schadensersatz in Höhe von 500,00 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 02.08.2022 zu zahlen. (Urteil vom 16.02.2023)

500 € Schadensersatz

Facebook wurde nach unserem Verlangen per Urteil vom LG Paderborn verurteilt, an unseren Mandanten 500,00 € nebst Zinsen seit dem 10.08.2022 in Höhe von 5 Prozentpunkten über dem Basiszinssatz zu zahlen. (Urteil vom 19.12.2022)

1000 € Schadensersatz

Das Gericht folgte unserem Antrag vollumfänglich und verurteilte Facebook daraufhin per Urteil zur Zahlung von 1.000,00 € nebst Zinsen seit dem 22.07.2022 in Höhe von 5 Prozentpunkten über dem Basiszinssatz. (Versäumnisurteil)


Welche Gefahren drohen Betroffenen?

Für Betroffene stellt der Leak eine besondere Gefahr dar: Durch die veröffentlichten Mail-Adressen und Telefonnummern gibt es zurzeit wieder ein vermehrtes Aufkommen von betrügerischen Spam-Nachrichten. Besonders häufig werden im Wege des so genannten Smishing SMS versendet, die gefälschte Paketbenachrichtigungen enthalten. Wenn man den Link der SMS aufruft, wird man allerdings auf eine Malware-Seite umgeleitet.

Häufig sind solche Nachrichten bei genauem Hinsehen nicht besonders glaubwürdig. Doch auch das kann sich durch die Datenfülle der geleakten Informationen ändern. Denn mit der Kenntnis von Geburtstag, Beruf, Wohnort und weiteren persönlichen Informationen, die sich aus einem Facebook-Profil erschließen lassen, können die Nachrichten – ob Smishing-SMS oder auch Phishing-E-Mails – immer authentischer gestaltet und für den Betroffenen dadurch zur großen Gefahr werden.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Muss Facebook haften?

Urteile zu Bußgeldern bei Datenpannen haben spätestens seit Inkrafttreten der DSGVO immer wieder für Aufsehen gesorgt. Gegen Facebook selbst wurde zuletzt schon ein Bußgeld in Höhe von 7 Millionen Euro verhängt! Und zwar weil sie in ihren Datenschutzbestimmungen nicht ausreichend klarstellen, wie die Nutzerdaten intern verwendet werden.

Bei Datenschutzverstößen, die nicht primär in der Verantwortung des Konzerns liegen, ist die Sache aber etwas anders. In Fällen, in denen ein Hacker-Angriff oder Scraping von außen stattfindet, ist Facebook erstmal in der Pflicht, das Geschehen umgehend der zuständigen Datenschutzaufsichtsbehörde zu melden und das Leck zu schließen. Ein Bußgeld droht dann nur, wenn sie dieser Pflicht nicht nachkommen.

Grundsätzlich hat ein Datenverarbeiter bei einer Datenpanne außerdem die bußgeldbewehrte Pflicht, die Betroffenen zu informieren. Ob Facebook die betroffenen Nutzer von der Datenpanne informieren muss, richtet sich nach Art. 34 DSGVO. In Art. 34 DSGVO ist vorgesehen, dass betroffene Personen von den Verantwortlichen „unverzüglich“ von der Verletzung zu unterrichten sind. Dies gilt aber nur dann, wenn von der Verletzung „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ ausgeht. Die Informationspflicht ist zudem ausgeschlossen, wenn Facebook sofort Maßnahmen ergriffen hat, die die Sicherheit der Daten wieder herstellen. Ob die Voraussetzungen des Art. 34 vorliegen, wird nun zu prüfen sein. Facebook hat sich bezüglich seiner Meldepflichten bereits damit rausgeredet, dass es nach der ersten Veröffentlichung von Daten 2019 sofort nachgebessert habe.

Untersuchungen durch die irische Datenschutzkommission

Die irische Datenschutzkommission will allerdings Untersuchungen anstellen, um zu bestimmen, ob Facebook seinen Kontroll- und Meldepflichten tatsächlich nachgekommen ist. Am 14. April 2021 veröffentlichte sie folgende öffentliche Stellungnahme (aus dem Englischen übersetzt):

Die Datenschutzkommission (Data Protection Commission, DPC) hat heute auf eigene Initiative eine Untersuchung gemäß Abschnitt 110 des Data Protection Act 2018 in Bezug auf mehrere internationale Medienberichte eingeleitet, in denen betont wurde, dass ein gesammelter Datensatz mit personenbezogenen Daten von Facebook-Nutzern im Internet verfügbar gemacht wurde. Dieser Datensatz enthielt Berichten zufolge personenbezogene Daten von etwa 533 Millionen Facebook-Nutzern weltweit. Die Datenschutzkommission hat Facebook Irland in Bezug auf dieses Problem kontaktiert und Fragen zur Einhaltung der Datenschutzgrundverordnung gestellt, auf die Facebook Irland eine Reihe von Antworten geliefert hat.

Nach Prüfung der von Facebook Irland in dieser Angelegenheit bisher zur Verfügung gestellten Informationen ist die Datenschutzkommission der Meinung, dass eine oder mehrere Bestimmungen der DSGVO und/oder des Data Protection Act 2018 in Bezug auf die personenbezogenen Daten der Facebook-Nutzer möglicherweise verletzt wurden und/oder werden.

Dementsprechend hält es die Kommission für angemessen, festzustellen, ob Facebook Irland seinen Verpflichtungen als verantwortlicher Datenverarbeiter im Zusammenhang mit der Verarbeitung personenbezogener Daten seiner Nutzer mittels der Funktionen Facebook Search, Facebook Messenger Contact Importer und Instagram Contact Importer seines Dienstes nachgekommen ist oder ob eine oder mehrere Bestimmungen der DSGVO und/oder des Data Protection Act 2018 in dieser Hinsicht von Facebook verletzt wurden und/oder werden.

Immer auf dem neusten Stand bleiben!

Aktuelle Urteile und Neuigkeiten aus der Welt des Rechts, verständlich und kompetent erläutert. Dazu hilfreiche Verbrauchertipps und die neuesten Videos von unserem YouTube-Channel. Das alles gibt es jede Woche in unseren Rechts-News.

Jetzt abonnieren!

So hilft Ihnen WBS!

Auf der Grundlage von Art. 15 DSGVO können Nutzer Auskunft gegenüber Facebook verlangen, ob sie vom Datenleck betroffen sind. Erteilt Facebook keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen von Facebook im Zusammenhang mit dem Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.

Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse.

In folgenden Fällen haben Gerichte in Verfahren zu ähnlichen Sachverhalten im Datenschutzrecht hohe Schadensersatzsummen zugebilligt:

Urteil Höhe des SchadensersatzesGegenstand des Verfahrens
ArbG Neumünster, Urt. v. 11.08.2020, 1 Ca 247/201500 EuroVerstoß gegen Art. 15 Abs. 1 DSGVO wegen verspäteter Beantwortung eines Auskunftsanspruch
ArbG Düsseldorf, Urt. v. 05.03.2020, 9 Ca 6557/185000 EuroUnvollständige und verspätete Auskunft nach Art. 15 Abs. 1 DSGVO; außerdem Verstoß gegen das Transparenzgebot nach Art. 12 Abs. 3 DSGVO
LG Darmstadt, Urt. v. 26. 5. 2020, 13 O 244/191000 EuroVersendung von personenbezogenen Daten eines Bewerbers an den falschen Empfänger ohne die Einwilligung des ersteren; Verstoß gegen Mitteilungspflicht aus Art. 34 DSGVO
LG Lüneburg, Urt. v. 14. 7. 2020, 9 O 145/101000 EuroVerstoß gegen Art. 6 Abs. 1 DSGVO sowie Art. 17 Abs. 1 lit. d) DSGVO („Recht auf Vergessenwerden“) wegen unzulässiger Meldung einer Person bei einer Wirtschaftsauskunftei
AG Hildesheim, Urt. v. 5. 10. 2020, 43 C 145/19 800 EuroVerstoß gegen Art. 6 Abs. 1 lit. a) DSGVO, da retournierter PC mit personenbezogenen Daten ohne Einwilligung einem Dritten überlassen wurde

Geschädigte konnten also regelmäßig Schadensersatzansprüche in vierstelliger Höhe geltend machen. Natürlich hängt der Erfolg Ihrer Schadensersatzforderung und die genaue Höhe Ihres individuellen Schadensersatzanspruchs infolge der Facebook-Datenpanne stets vom Einzelfall ab. Wir werden jedoch alles versuchen, um für Sie das bestmögliche Ergebnis zu erzielen.

Unser erfahrenes Team aus Rechtsanwälten im Datenschutzrecht berät Sie gerne zu Ihren Ansprüchen und Handlungsmöglichkeiten. Zögern Sie nicht, uns zu kontaktieren. Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.