Facebook-Datenleck: Schadensersatz iHv. 1000 Euro für Facebook-Nutzer

erstmalig veröffentlicht: 01.12.2022, letzte Fassung: 29.01.2024

Rechtsgebiete

Autoren

Rechtsanwalt Dirk Streifler - Partner

EnglischDeutsch
Zusammenfassung des Autors

"Facebook-Konten im Hackerforum für jeden öffentlich zugänglich!"

Diese Nachricht schockierte im letzten Jahr Millionen Facebook-Nutzer. Nun hat ein deutsches Gericht zu Gunsten eines Betroffenen geurteilt und sprach diesen 1000 Euro immateriellen Schadensersatz zu. Möglich ist das auf Grundlage von Art. 82 DGSVO, der einen Schadensersatzanspruch im Falle der Verletzung des Schutzes personenbezogener Daten normiert. 

Neues Urteil:

Das Landgericht Paderborn hat mit Urteil vom 13.12.2022 entschieden, dass Facebook 500 Euro an einem, vom Datenleck betroffenen Facebook-Nutzer zahlen muss. Es ist bereits das zweite deutsche Gericht, dass Facebook zur Zahlung eines immateriellen Schadensersatzes wegen Verstoßes gegen die DSGVO verurteilt hat.  

Weitere Urteile werden erwartet!

 

Sollten Sie ein Facebook-Konto seit 2021 oder länger besitzen, ist die Wahrscheinlichkeit groß, dass auch Sie Opfer des Datenlecks geworden sind. In diesem Fall steht Ihnen ein Schadensersatz zu.

Nehmen Sie Kontakt zu Streifler&Kollegen auf und lassen Sie sich fachkundig beraten.

 

Das Landgericht Zwickau (LG Zwickau) hat Facebook wegen mehreren Verstößen gegen die Datenschutzverordnung zu 1000 Euro Schadensersatz verurteilt. Facebook wurde somit zum ersten Mal, seitdem die Social-Media-Plattform im Frühjahr letzten Jahres einem Hackerangriff ausgesetzt war, wegen entsprechenden DSGVO-Verstößen zu einem Schadensersatz verpflichtet. Mehr als 6 Millionen Facebook-Nutzer, deren hochsensible Daten 2019  in einem Hackerforum veröffentlicht wurden, haben Anspruch auf immateriellen Schadenersatz und sollten jetzt handeln.

Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin

 

2021: Persönliche Daten frei zugänglich im Hackerforum

Nachdem bereits im Jahr 2019 persönliche Daten von mehr als einer halben Milliarde Facebook-Nutzer aus 106 Ländern in die Hände von Cyberkriminellen gelangten, sorgte im April 2021 dasselbe Datenleck erneut für Aufsehen, als rund 33 Millionen Datensätze von Facebook-Nutzern, in einem Hackerforum aufgetaucht sind. Neben persönlichen Informationen wie den vollständigen Namen, Geburtsdaten und Anschriften sind auch Email-Adressen, Telefonnummern und persönliche Angaben wie Beruf und Beziehungsstatus veröffentlicht worden. Die Folgen können für Betroffene gravierend sein. Denn sind solche Daten erst einmal öffentlich zugänglich, können Cyberkriminelle sie etwaige Betrugsmaschen missbrauchen. So werden Daten wie Name und Rufnummer insbesondere für gezielte „Pishing“ Attacken genutzt. Betroffene Facebook-Nutzer klagen über Spam-Anrufe- und Nachrichten.

DGSVO: Rechtlicher Rahmen für den Umgang mit personenbezogenen Daten

Um solche Betrügereien zu vermeiden und persönliche Informationen hinreichend zu schützen, regelt die Datenschutzgrundverordnung (DGSVO) die Verarbeitung personenbezogener Daten und erlaubt diese nur unter strengen Voraussetzungen. Besonders essentiell ist hier einerseits Art. 34 DGSVO, der Datenverarbeitungsplattformen wie Facebook, bei Vorliegen von Datenlecks verpflichtet, die Betroffenen umgehend zu informieren. Andererseits Art. 82 DGSVO, der bei Verstößen gegen die DGSVO einen eigenständigen unionsrechtlichen Anspruch des Betroffenen gegen den Verantwortlichen normiert.

Art. 82 DGSVO: Schadensersatz auch bei immateriellen Schäden

Letzterer ist auch insofern signifikant, als dass es in Zuge eines Datendiebstahls nicht zwingend in bevorstehender Zukunft auch zu einem Schaden kommt. Nach Art. 82 DGSVO ist ein Schadensersatzanspruch infolge einer DGSVO-Verletzung, nicht ausschließlich bei materiellen Schäden möglich, sondern auch per Definition auch bei Vorliegen immaterieller Schäden. Teile der Rechtsprechung vertreten außerdem die Ansicht, dass für die Geltendmachung eines immateriellen Schadensersatzanspruches, neben der Verletzung der DGSVO kein (weiterer) Schaden vorliegen müsse (vgl. BAG, Beschluss vom 26.08.2021, Az.: 8 AZR 253/20), was widerrum bedeutet, dass allein die Sorge, mit den Daten könnte ein Schaden angerichtet werden, ausreichend wäre, um einen Schadensersatzanspruch geltend zu machen.

Facebook hat Nutzerdaten nicht ausreichend geschützt

Wie es genau zu den Datendiebstahl kommen konnte, ist nicht abschließend geklärt. Fest steht, dass die personenbezogenen Daten aus dem Datenbestand von Facebook, mittels des Facebook-Tools KontaktImporter, aus den zum Teil öffentlich zugänglichen Daten bei Facebook ausgelesen wurden.

Nach Feststellungen des Gerichts ist Facebook für das Datenleck mitverantwortlich. Das soziale Netzwerk hat den Datendiebstahl dadurch ermöglicht, dass es „keinerlei Sicherheitsmaßnahmen“ vorbehalten hat, um zu verhindern, dass das bereitgestellte Tool ausgenutzt wird. Weiterhin seien die Einstellungen zur Sicherheit der Telefonnummer auf Facebook so „undurchsichtig und kompliziert“ gestaltet, dass eine sichere Einstellung nicht erreicht werden kann. Das Gericht kritisiert insbesondere den Prozess und die Einstellungen zur Datensicherheit für Nutzer. Der Prozess sei „insgesamt geprägt von datenschutzunfreundlichen Einstellungen, einer Masse an schwer verständlichen Informationen und un- klare[n] Angaben.“.

Verstoß gegen mehrere DGSVO-Vorschriften

Das Landgericht Zwickau entschied mit Versäumnisurteil vom 14.09.2022, dass die Social-Media-Plattform gegen mehrere DGSVO-Vorschriften verstoßen hat. Facebook hat als Verantwortlicher iSv. Art. 4 Nr. 7 DSGVO, entsprechende Nutzerdaten ohne Rechtsgrundlage verarbeitet und unbefugten Dritten zugänglich gemacht. Daneben hat Facebook gegen die Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 lit. a, lit b, lit. c, lit. f DGSVO) verstoßen sowie die Grundsätze über den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 1, Abs, 2 DGSVO) nicht beachtet. Zudem hat Facebook gegen § 32 DGSVO verstoßen, indem es geeignete technische und organisatorische Maßnahmen unterlassen hat, die erforderlich wären, um ein angemessenes Schutzniveau zu gewährleisten.

Facebook hat die Benachrichtigung des Klägers, versäumt, mithin gegen Art 34 Abs. 1, Abs. 2 DGSVO verstoßen.

Schließlich war die Social-Media-Plattform gem. Art. 34 abs. 1, Abs. 2 DGSVO verpflichtet, die von dem Datenleck betroffenen Personen - hier den Kläger - unverzüglich zu informieren. Auch in Hinblick darauf sah das Gericht einen Verstoß als gegeben an. Letztendlich stellte das Gericht auch eine Verletzung der Betroffenenrechte des Klägers gem. Art 15, 17, und 18 DGSVO fest.

1000 Euro Schadensersatz - jetzt handeln!

Die Richter des Landgerichts Zwickau verurteilten Facebook, aufgrund der durch die Social-Media-Plattform nicht ausreichend geschützten Informationen der Nutzer und des daraus resultierenden immateriellen Schadens des Klägers, zu 1000 Euro Schadensersatz. Zwar ist grundsätzlich auch ein höherer Schadensersatz (zB. 6000 Euro) möglich, der Kläger hat jedoch nicht mehr gefordert. Wir raten allen Personen, die seit 2019 oder länger einen Facebook-Account besitzen, zu prüfen, ob auch sie von einem Datenmissbrauch betroffen sind.

Sie sind sich nicht sicher, ob Sie betroffen sind? Sie haben noch Fragen zu diesem Thema? Nehmen Sie Kontakt zu Streifler&Kollegen ([email protected]) auf und lassen Sie sich fachkundig beraten.

Artikel zu passenden Rechtsgebieten

Artikel zu Datenschutzrecht

Internetrecht: Datenschutzrechtliche Verantwortung für Facebook-Fanpage

13.06.2018

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich – BSP Rechtsnanwälte – Anwalt für Internetrecht Berlin
Datenschutzrecht

Internetrecht: Fehlende Belehrung auf Website über die Datenntuzung durch soziales Netzwerk

23.12.2011

§ 13 I TMG schützt allein überindividuelle Belange, nicht aber Interessen einzelner Wettbewerber - KG vom 29.04.11 - Az: 5 W 88/11
Datenschutzrecht

Datenschutzrecht: Datenschutzrecht und Verbraucherschutzrecht

09.07.2015

Der Bundesgerichtshof (BGH) äußert sich zur unzulässigen Datenerhebung bei Minderjährigen.
Datenschutzrecht

Datenschutzrecht: Zur Einwilligungserklärungen in zukünftige Werbemaßnahmen

02.07.2015

Die telefonische Einholung einer Einwilligungserklärung für Werbeanrufe im Rahmen von Service-Calls ist datenschutzrechtlich unzulässig.
Datenschutzrecht

Datenschutzrecht: Befragung von sachkundigen Arbeitnehmern durch den Betriebsrat zum Einsatz von IT

02.07.2015

Der Betriebsrat kann sachkundige Arbeitnehmer zum Einsatz von IT ohne Anwesenheit des Arbeitgebers befragen.
Datenschutzrecht