Facebook Leak Check: Sind Sie betroffen?

Im Jahr 2019 existierte eine Sicherheitslücke bei Facebook. Obwohl die Mobilfunknummer des Nutzers nicht öffentlich sichtbar war, wurde das Profil bei Eingabe der Nummer in die Freundessuche angezeigt. Hacker nutzten diese Lücke aus und setzten das sogenannte Scraping ein, um Nutzernamen in Verbindung mit der zum Account gehörenden Telefonnummer abzugreifen. 

Beim Scraping generiert ein Zufallsgenerator Mobilfunknummern und gibt diese in die Facebook-Suche ein. Erscheint ein Profil, werden Name und dazugehörige Nummer gespeichert. Sofern weitere Daten öffentlich einsehbar sind, beispielsweise der Wohnort, werden auch diese abgerufen. 

Nach dem Datenabruf wurden die Informationen in verschiedenen Hacker-Foren veröffentlicht und insbesondere von Kriminellen weiterverwendet. Seitdem werden Nutzerinnen und Nutzer Opfer von Spam-Anrufen und anderen Betrugsmaschen. So erhalten Nutzer beispielsweise gefälschte SMS vom Zoll, in denen sie zur Zahlung einer Gebühr aufgefordert werden. Der Hintergrund liegt dabei auf der Hand: Die Kriminellen möchten an die Kreditkartendaten des Nutzers, die unverschlüsselt weitergeleitet werden, gelangen. 

Unser Tipp:

Mit einem Facebook Leak Check lässt sich vergleichsweise leicht herausfinden, ob auch Ihre Profile vom Datenleck betroffen sind. Hieraus können sich gegebenenfalls Ansprüche gegen Facebook, mittlerweile den Meta-Konzern, ergeben. 

Unternehmen, die mit sensiblen Nutzerdaten arbeiten, haben nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) verschiedene Pflichten. Sie betreffen insbesondere den vorsichtigen Umgang mit diesen Informationen sowie die Speicherung auf besonders gesicherten Servern. Außerdem müssen Nutzer eine Datenschutzbelehrung erhalten, aus der sich die konkrete Verarbeitung ihrer Daten ergibt. 

Bereits vor wenigen Monaten wurde Facebook zu einer Milliardenstrafe verurteilt, weil die Datenschutzinformation nicht ausreichend über die Weitergabe von Nutzerdaten in die USA aufklärte. Auch hierbei handelte es sich um einen Verstoß gegen die DSGVO, der von den irischen Behörden – dem damaligen EU-Sitz von Facebook – geahndet wurde.

Bei Hacker-Angriffen ist die Sachlage aber grundsätzlich eine andere. Denn Facebook ist nicht unmittelbar für das Bekanntwerden der Nutzerdaten verantwortlich, da der Angriff von außerhalb kam. In einem zweiten Schritt ist allerdings zu prüfen, ob möglicherweise schärfere Sicherheitsvorkehrungen hätten getroffen werden müssen. Außerdem war Facebook verpflichtet, die Datenpanne nach ihrem Bekanntwerden unverzüglich an die zuständigen Behörden zu melden. 

Alternativ zu einer sofortigen Meldung können aber auch Maßnahmen zur Schadenminderung ergriffen werden. Da Facebook die Möglichkeit des Scrapings sofort unterbunden hat, argumentiert der Konzern in nahezu allen Verfahren auf dieser Grundlage. 

‍

‍

Unabhängig vom verwaltungsrechtlichen Verfahren haben Nutzerinnen und Nutzer ein Auskunftsrecht nach Artikel 15 der DSGVO. Facebook muss Sie über Art und Ausmaß des Datenskandals informieren. Unterbleibt eine solche Information, ist sie nicht ausreichend oder unvollständig, besteht nach Artikel 82 DSGVO ein Anspruch auf Schadensersatz. 

Artikel 82 DSGVO wird von deutschen Gerichten bislang sehr verbraucherfreundlich ausgelegt. So zeigen unter anderem die folgenden Urteile, dass Schadenersatzzahlungen zwischen 300 und 1.000 Euro durchaus erwartbar sind: 

• Landgericht Stuttgart, Az. 8 O 38/23: Der vom Facebook Datenleck Betroffene erhielt Schadensersatz in Höhe von 400 Euro 
• Landgericht München, Az. 15 O 4507/22: Verstöße gegen die DSGVO führten bei diesem Nutzer dazu, dass insgesamt 600 Euro an Schadensersatz zu zahlen war
• Landgericht Stuttgart, Az. 3 O 220/22: Hier wurden wegen des Facebook Datenlecks sogar 1.000 Euro Schadensersatz gezahlt. Der Betroffene war Opfer gleich mehrerer DSGVO-Verstöße, weil Facebook keinerlei Auskunft zum Sachverhalt erteilte