Der Facebook Datenklau war einer der größten Datenskandale der letzten Jahre. Hacker verschafften sich mithilfe des sogenannten Scrapings Zugriff auf nichtöffentliche Nutzerdaten. Anschließend veröffentlichten sie die Kundeninformationen in Hacker-Foren, wo sie anschließend für Spam-Anrufe verwendet wurden
Nutzerinnen und Nutzer können nach der DSGVO Auskunft über den Datenskandal und ihre konkrete Betroffenheit verlangen. Kommt Facebook einer solchen Aufforderung nicht oder unzureichend nach, besteht ein Anspruch auf Schadensersatz nach Artikel 82 DSGVO
Zahlreiche Gerichte haben Facebook infolge des Datenklaus bereits zur Zahlung von Schadensersatz verurteilt
1Was ist beim Facebook Datenklau im Jahr 2021 passiert?
Beim Facebook Datenklau handelt es sich um einen der größten Datenschutzvorfälle der letzten Jahre. Hacker verschafften sich mithilfe des sogenannten Scrapings Zugang zu eigentlich nichtöffentlichen Facebook-Nutzerdaten und konnten so ganze Datensätze unbefugt entwenden. Hintergrund ist neben einer Sicherheitslücke der Aufbau eines Facebook-Profils, in dem bestimmte Daten der Kunden gespeichert werden.
So benötigt jeder Nutzer mindestens einen Nutzernamen – in der Regel den Klarnamen – eine Mail-Adresse sowie seine Telefonnummer. All diese Informationen sind im Profil gespeichert, meist auch mit Geburtsdatum, werden von Facebook aber nicht zwingend im Profil veröffentlicht. Nutzerinnen und Nutzer können vielmehr einstellen, welche Daten sie mit der Öffentlichkeit und ihren Freunden teilen möchten und welche nicht.
Bis 2019 war es allerdings möglich, durch Eingabe der (geheimen) Nutzerdaten einzelne Facebook-Profile ausfindig zu machen. Die Hacker setzten dabei auf einen Zufallsgenerator, der mithilfe der Facebook-Freundesuche das gesamte Netzwerk nach zufällig generierten Handynummern durchforstete. Obwohl die Telefonnummer nicht öffentlich sichtbar war, wurde sie in der Suchfunktion einem konkreten Profil zugeordnet.
So konnten beim Facebook Datenklau rund 500 Millionen Datensätze unberechtigt abgerufen und anderweitig gespeichert werden. Alleine in Deutschland sind über sechs Millionen Nutzerinnen und Nutzer betroffen. Die Informationen wurden in Hacker-Foren veröffentlicht und insbesondere für Spam-Anrufe genutzt. Diese halten bis heute an.
Erheblich zugenommen haben seit Bekanntwerden der Daten auch Spam-SMS. Kriminelle versuchen beispielsweise, mit gefälschten Paketbenachrichtigungen an weitere Daten und das Geld der „Kunden“ zu gelangen. Entsprechendes gilt für Fake-Anmeldeseiten von Banken, beispielsweise der Raiffeisen-Volksbank oder Sparkasse.
Prüfung und Durchsetzung eventueller Ansprüche nach der DSGVO können sich möglicherweise auch in Ihrem Fall lohnen.
2Folgen des Facebook Datenklaus für Nutzerinnen und Nutzer
Unmittelbar nach Veröffentlichung der Daten trat die erste, spürbare Folge des Datenlecks ein: Nutzerinnen und Nutzer wurden mit dubiosen Anrufen, Nachrichten und Mails bombardiert. Kriminelle nutzen dabei häufig deutsche Handynummern, die nicht ohne weiteres von seriösen Anrufern zu unterscheiden sind. Die Annahme des Anrufs mit dem Wort „Ja?“ reicht bereits aus, um festzustellen, dass die geklaute Handynummer tatsächlich dem potenziellen Opfer gehört.
Achtung:
Seien Sie bei derartigen Anrufen äußerst vorsichtig und blockieren Sie gegebenenfalls die Nummer des Anrufers. Geben Sie keinesfalls persönliche Daten preis oder in gefälschte Anmeldemasken ein. Wenden Sie sich zur Sicherheit an den Paketdienstleister oder die Bank, um zu verifizieren, dass es sich bei der Anfrage um einen echten Vorgang handelt. So stellen Sie sicher, dass Ihre persönlichen Informationen – insbesondere Zahlungsdaten – nicht in die falschen Hände geraten.
Die meisten Nutzer sind allerdings nicht von entsprechenden Anrufen betroffen. Ihre Informationen aus dem Facebook Datenklau liegen aber mit hoher Wahrscheinlichkeit auf Servern im Ausland und werden beispielsweise für Werbezwecke weiterverkauft.
3Welche Konsequenzen hat der Facebook Datenklau für den Meta-Konzern selbst?
Konzerne, die Nutzerdaten verarbeiten, haben nach unterschiedlichen Rechtsvorschriften verschiedene Pflichten zum Umgang mit diesen Informationen. Rechtsgrundlage ist insbesondere die EU-weit gültige Datenschutz-Grundverordnung, kurz DSGVO. Im deutschen Bundesgebiet gilt zusätzlich das Bundesdatenschutzgesetz (BDSG), das sich aber an vielen Stellen mit der DSGVO überschneidet oder auf ihr aufbaut.
Allerdings ist die Sachlage bei Hacker-Angriffen etwas anders als bei „klassischen“ Datenschutzverstößen der Unternehmen. Denn hier sind es zunächst die Kriminellen, die sich unberechtigterweise Zugang zu den geschützten Nutzerdaten verschafft haben. Im zweiten Schritt der Prüfung ist allerdings zu ermitteln, ob Facebook eine Mitschuld daran trägt, dass ein entsprechender Angriff überhaupt möglich war.
Hier stehen insbesondere die Sicherheitsvorkehrungen im Mittelpunkt. Kommt es dennoch zu einem Verstoß gegen die DSGVO, muss der Konzern die zuständigen Behörden unverzüglich informieren. Alternativ können nach einem Vorfall wie dem Facebook Datenklau erste Maßnahmen ergriffen werden, um eine Verschlimmerung zu verhindern. Facebook setzt hier an und argumentiert, man habe die Möglichkeit des Scrapings unverzüglich – also noch im Jahr 2021 nach Veröffentlichung der ersten Daten – unterbunden.
4Schadensersatzansprüche infolge des Facebook Datenlecks: Zahlreiche Gerichtsurteile!
Facebook ist infolge des Datenklaus nach Artikel 15 DSGVO verpflichtet, Nutzerinnen und Nutzern Auskunft über ihre Betroffenheit vom Datenleck zu informieren. Der Konzern muss insbesondere bekanntgeben, in welchem Umfang Daten abgegriffen und – nach Möglichkeit – für welche Zwecke diese missbraucht wurden. Das Auskunftsrecht kann formlos, etwa per Mail, geltend gemacht werden.
Kommt Facebook seiner Informationspflicht nicht nach, können Schadensersatzansprüche nach Artikel 82 DSGVO entstehen. Für Sie als Nutzerin oder Nutzer spricht dabei die zunehmend verbraucherfreundliche Auslegung dieser Norm, sodass es bereits zahlreiche Urteile zugunsten der Facebook-Nutzer gab.
So haben beispielsweise die folgenden Gerichte Schadensersatzzahlungen zugesprochen – und es werden jeden Tag mehr:
Landgericht Stuttgart, Az. 8 O 38/23: Der vom Facebook Datenleck Betroffene erhielt Schadensersatz in Höhe von 400 Euro
Landgericht München, Az. 15 O 4507/22: Verstöße gegen die DSGVO führten bei diesem Nutzer dazu, dass insgesamt 600 Euro an Schadensersatz zu zahlen war
Landgericht Stuttgart, Az. 3 O 220/22: Hier wurden wegen des Facebook Datenlecks sogar 1.000 Euro Schadensersatz gezahlt. Der Betroffene war Opfer gleich mehrerer DSGVO-Verstöße, weil Facebook keinerlei Auskunft zum Sachverhalt erteilte
Häufige Fragen zu Facebook Datenklau
Was ist beim Facebook Datenklau passiert?
Warum habe ich beim Facebook Datenskandal einen Anspruch auf Schadensersatz?
Bestehen beim Facebook Datenklau realistische Chancen auf Schadensersatzzahlungen?
Facebook ist selbst für das Datenleck verantwortlich
August 2023
"Von den Datenlecks hört man ja ständig, aber alleine habe ich mir nicht zugetraut, was dagegen zu machen. Aber wenn es so eine einfache Möglichkeit gibt, ist das mal einen Versuch wert finde ich. Ein Ergebnis habe ich aber noch nicht."
Darius T.
Oktober 2022
Landgericht Oldenburg
3.000 € Schadensersatz wegen Verletzung der DSGVO
Zuzüglich Zinsen von 4,12 % seit Klageerhebung
August 2023
"Der Kontakt war bisher sehr freundlich. Mein Verfahren läuft noch, also kann ich noch nichts zum Ergebnis sagen, aber ich fühle mich gut aufgehoben. Man merkt, dass Sie viel Erfahrung haben. Danke."
Alexandra M.
Mai 2023
Landgericht Stuttgart
500 € Schadensersatz wegen erhaltener Werbeanrufe
Es wurde ein "systematischer Verstoß" gegen die DSGVO festgestellt
Aktuelle Urteile & Bewertungen
November 2021
Landgericht Traunstein
Klage auf Rückabwicklung einer Debeka Lebensversicherung
Erhalt von 35% zusätzlicher Nutzungsentschädigung
November 2021
“Durch helpcheck konnte ich aus drei bereits gekündigten Verträgen nachträglich eine Summe von über 30.000 Euro geltend machen. Ich habe mit dem Geld nicht mehr gerechnet. Vielen Dank!”
Ralf P.
October 2021
Landgericht Traunstein
Klage auf Rückabwicklung einer AachenMünchener Lebensversicherung
Erhalt von 27% zusätzlicher Nutzungsentschädigung
März 2023
“Ich habe HelpCheck genutzt, um meine Lebensversicherung auszuzahlen, und ich bin absolut begeistert von dem Service. Die Auszahlung verlief reibungslos und ich habe mein Geld schneller erhalten, als ich es erwartet hatte”
Tobias E.
September 2022
Amtsgericht Aachen
Klage auf Rückabwicklung einer Proxalto Lebensversicherung
Erhalt von 2.700 € Nutzungsentschädigung und Rückerstattung
Aktuelle Urteile & Bewertungen
April 2022
Oberlandesgericht Frankfurt
Klage gegen Bwin
Der Anbieter wurde zur Rückzahlung von Spielverlusten i. H. v. 12.000 € verurteilt
März 2022
“Ich habe nicht damit gerechnet, dass es wirklich so einfach geht, aber: Vom gesamten Ablauf bis hin zum Ergebnis war ich durchweg positiv überrascht.”
Norbert K.
Januar 2021
Oberlandesgericht München
Klage gegen Mr. Green
Spielverluste i. H. v. 11.760 € müssen durch Mr. Green zurückgezahlt werden
März 2022
“Mit Hilfe von helpcheck konnte ich einen vierstelligen Betrag zurückfordern und das ganz einfach und ohne großen Aufwand. Sehr empfehlenswerter Service!”
David S.
Juni 2021
Landgericht Coburg
Klage gegen BWIN
BWIN wurde zur Rückzahlung von Verlusten i. H. v. 4.900 € verurteilt