Die Daten von rund sechs Millionen deutschen Facebook-Nutzer:innen sind in einem Hacker-Forum zur freien Verfügung aufgetaucht. Die Folge: Cyber-Kriminelle können die Daten für weitere Betrügereien missbrauchen. Für Betroffene ergibt sich daraus ein Schadensersatzanspruch.
Facebook Datenleck seit April 2021 bekannt
Facebook vernetzt nicht nur Menschen weltweit, sondern versorgt auch Cyber-Kriminelle mit den Daten der oftmals unbedarften Nutzer:innen. Im Zuge des jüngsten Datenlecks, das im April 2021 bekannt wurde, tauchten in einem Hacker-Forum sensible Daten von rund 533 Mio. Facebook-User:innen auf – etwa sechs Mio. Datensätze stammen dabei von deutschen Nutzer:innen. Wir fordern für Sie Schadensersatz und sichern Sie vor zukünftigem Datenmissbrauch infolge der Panne ab.
Vor- und Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum, Handynummer, Beruf und Beziehungsstatus: Sensible Daten, die sicherlich nicht in irgendwelche öffentliche Foren gehören – schon gar nicht in die Hände von Hackern, die diese Daten für täuschend echte Betrugsmaschen missbrauchen. Die jüngste Datenpanne des Social Media-Riesen Facebook ist die bislang folgenreichste, wenn auch nicht die Erste. Im Jahr 2018 kam es zu gleich zwei Vorfällen, bei denen Daten abgegriffen wurden. „Diese Vorfälle zeigen, dass sich Facebook nach wie vor aktuell geltenden Sicherheitsstandards entzieht“, weiß Jan-Frederik Strasmann, Managing Partner und Rechtsanwalt mit IT-Fokus.
Sorge vor Datenmissbrauch rechtfertigt Schadensersatz
Deutschland- sowie auch EU-weit regelt die Datenschutz-Grundverordnung (DSGVO) die Verarbeitung personenbezogener Daten – und liefert strenge Vorgaben. In Zusammenhang mit dem Facebook-Datenleck kommen hierbei insbesondere Artikel 34 und 82 DSGVO zum Tragen. Letzterer ist für die Erfolgsaussichten bei einem Vorgehen gegen Facebook entscheidend, wie Strasmann erklärt: „Der Artikel besagt, dass allein die Sorge, mit den persönlichen Daten könnte Schaden angerichtet werden, ausreicht, um einen Schadensersatzanspruch geltend machen zu können.“ Denn per Definition handelt es sich dabei um einen immateriellen Schaden. Artikel 34 DSGVO wiederum bezieht sich auf die Benachrichtigungspflicht: Nicht nur muss derjenige, der Daten erhebt, auch Sorge tragen, dass diese sicher sind (Artikel 5 DSGVO). Ist es dennoch zu einem Datenleck gekommen, das ein hohes Risiko für das Persönlichkeitsrecht birgt, ist laut Artikel 34 der bzw. die Betroffene aber unverzüglich darüber zu informieren.
„Das hat Facebook allerdings versäumt. Für Betroffene ergibt sich auch hieraus ein Anspruch auf Schmerzensgeld“, so Rechtsanwalt Strasmann. Wie hoch dieser ausfällt, hängt davon ab, ob durch den Hack neben dem vorliegenden immateriellen auch ein materieller Schaden, also ein Vermögensschaden, entstanden ist. „Unserer Einschätzung nach sind bis zu 5.000 EUR realistisch. Im Falle eines Vermögensschadens ist je nach Ausmaß auch mehr drin“, erklärt Strasmann.
Schutz vor zukünftigen Schäden
Bei einem Vorgehen gegen das soziale Netzwerk legen wir bei rightmart Wert auf einen ganzheitlichen Ansatz. Dieser beinhaltet nicht nur die Geltendmachung von Schadensersatzansprüchen, sondern ebenso einen Unterlassungsantrag. „Mithilfe eines Unterlassungsantrags kann Facebook gerichtlich dazu gezwungen werden, aktuell geltende Sicherheitsstandards zu erfüllen, um den vorgeschriebenen Schutz von Daten zu gewährleisten“, sagt Strasmann. Noch wichtiger ist allerdings die künftige Absicherung. Sprich: Daten, die im Zuge des Facebook-Datenlecks gestohlen wurden, müssen nicht zwingend in naher Zukunft Schaden anrichten. „Cyber-Kriminelle können auch zu einem viel späteren Zeitpunkt noch versuchen, mithilfe der gestohlenen Daten betrügerische Absichten zu verfolgen. Wir sichern unsere Mandant:innen in Form eines Feststellungsantrags so ab, dass ihnen auch zukünftige Schäden durch Facebook ersetzt werden müssen.“
Erstes Urteil gegen Facebook ergangen
Ein erstes Urteil ist gegen Facebook im Zusammenhang mit dem Datenleck bereits ergangen: Das Landgericht (LG) Zwickau sprach einem betroffenen User des sozialen Netzwerkes einen Schadensersatz in Höhe von 1.000 EUR zu. Das LG liefert damit erste Antworten auf wichtige Rechtsfragen. Etwa auf die nach dem Ausmaß des entstandenen Schadens: Die Richter:innen bestätigen in dem Urteil, dass dem oder der Betroffenen kein „greifbarer“, materieller Schaden entstanden sein muss. Allein die Tatsache, dass die Daten im Netz frei zugänglich sind, genügt demnach – eine Auffassung, die auch wir vertreten.
Dass andere Gerichte ähnlich entscheiden werden, ist wahrscheinlich. Immerhin kennt der Gesetzgeber bei Datenschutzverstößen kein Pardon. Und aufgrund der Vielzahl der in Deutschland Betroffenen dürfte eine beachtliche Summe zusammenkommen.