Im Jahr 2021 wurden bei einem Hackerangriff die Daten von Millionen Facebook-Nutzern ausgespäht. Nun hat der Bundesgerichtshof ein Urteil gefällt: Betroffenen steht Schadenersatz zu. Doch wie finde ich heraus, ob ich überhaupt betroffen bin? Und wie erhalte ich dann das Geld?
Im Jahr 2021 hatten Datendiebe eine Funktion zur Freunde-Suche bei Facebook ausgenutzt und so Angaben von rund 533 Millionen Nutzerinnen und Nutzern aus 106 Ländern abgegriffen und im Darknet verbreitet. Sie hatten sich laut dem Bundesgerichtshof (BGH) den Umstand zunutze gemacht, dass Facebook es damals in Abhängigkeit von Einstellungen der Nutzer ermöglichte, dass die jeweiligen Profile mithilfe der eigentlich nicht offen sichtbaren Telefonnummern gefunden werden konnten.
Die unbekannten Täter arbeiteten mit willkürlich generierten Telefonnummern und landeten so Treffer. Auf diese Weise wurden etwa Nutzer-ID, Vor- und Nachname, Land sowie Geschlecht mit der jeweiligen Telefonnummer verknüpft.
Weil die Sicherheitsmaßnahmen aus ihrer Sicht zu lasch waren, klagten zig Betroffene nach dem Hackerangriff. Sie fordern Schadenersatz wegen des erlittenen Ärgers und des Kontrollverlusts über ihre Daten - sogenannte immaterielle Schäden.
Nun hat der BGH entschieden (Az. VI ZR 10/24), dass Opfern des Datenklaus deshalb Schadenersatz zusteht - ganz gleich, ob ihnen durch den Vorfall ein Folgeschaden entstanden ist oder nicht. Die wichtigsten Fragen und Antworten zu dem Urteil.
Was hat der Bundesgerichtshof konkret entschieden?
Schon der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten kann dem Urteil zufolge ein Verstoß gegen die Datenschutz-Grundverordnung sein und Schadenersatzansprüche rechtfertigen.
Betroffene müssen nachweisen, dass sie Opfer eines Datendiebstahls geworden sind, wie der Vorsitzende Richter Stephan Seiters sagte. Es sei aber kein Nachweis spürbarer negativer Folgen nötig. Und auch müssten die unfreiwillig veröffentlichten Daten nicht missbraucht worden sein.
Die Landes- und Oberlandesgerichte müssen die Detailfragen klären - zum Beispiel, ob überhaupt ein Datenschutzverstoß vorlag. Hier gab der BGH den Hinweis, dass das der Fall gewesen sein dürfte, weil Meta bei der Einstellung zur Suchbarkeit "alle" voreingestellt hatte. Das widerspreche dem Grundsatz der Datenminimierung, sagte Seiters.
Auch müssen die Gerichte prüfen, ob die Klägerinnen und Kläger wirksam in die Datenverarbeitung eingewilligt haben. Weitere Kriterien seien, welche Daten betroffen und wie sensibel diese sind, ob das Ausmaß und die Dauer des Kontrollverlusts begrenzt sind und man etwa durch eine Änderung der Rufnummer die Kontrolle zurückerlangen könne. Und Facebook könnte auch für mögliche Schäden, die erst später passieren, haften müssen.
Wie viel Geld bekommen Betroffene jetzt?
Seiters betonte, der Schadenersatz diene nur dem Ausgleich und habe keine abschreckende Funktion. Geht es nur um den bloßen Kontrollverlust über die Daten, hält der Senat 100 Euro für angemessen. Kommen psychische Probleme hinzu, könnte der Satz steigen.
Der eher niedrige Betrag nehme den von einigen Kanzleien angekündigten Massenklagen ein wenig den Wind aus den Segeln, ordnete Hauke Hansen von der Wirtschaftskanzlei FPS ein. "Die Gerichte sollten bei der Bemessung des Schadensersatzes auch berücksichtigen, inwieweit eine Klage wirklich dem Schadensausgleich des Betroffenen dient oder vorrangig dem Gebühreninteresse der Klägeranwälte."
Lesen Sie auch
Die beklagten Unternehmen müssten wiederum beweisen, dass ihre Schutzmaßnahmen angemessen waren. "Gelingt ein solcher Beweis, liegt kein Datenschutzverstoß vor und die Klage wäre abzuweisen", erklärte Hansen. Dann bekäme der Kläger keinen Schadenersatz.
Wie erfahre ich, ob ich vom Datenklau betroffen bin?
Ob Sie von dem Datenklau betroffen waren oder nicht, können Sie direkt bei Facebook erfragen. Alternativ können Sie auch die Seite haveibeenpwned.com nutzen, um herauszufinden, ob Ihre Daten 2021 ausgespäht und veröffentlicht worden sind.
Waren Ihre Daten seinerzeit im Netz öffentlich, sollten Sie keine Zeit verlieren und Ihre Forderung bei Meta umgehend anbringen, rät die Stiftung Warentest. Der Grund: "Die Zeit ist knapp: Ende des Jahres verjähren die Rechte der meisten Facebook-Opfer."
Wie komme ich an das Schmerzensgeld?
Wie Betroffene an das Geld kommen, können sie zum Beispiel auf der Webseite der Stiftung Warentest nachlesen. Dort stellt die Verbraucherorganisation einen Musterbrief bereit, mit dessen Hilfe sie das Schmerzensgeld beim Facebook-Mutterkonzern Meta einfordern können.
Der Musterbrief muss lediglich mit ein paar persönlichen Daten versehen und anschließend per Einschreiben mit Rückschein an den Firmensitz nach Irland geschickt werden. Kosten dafür laut Stiftung Warentest: höchstens 7,60 Euro. Der Aufwand: nur wenige Minuten.
Betrifft das Urteil nur den einen Vorfall bei Facebook?
Nein, meinen Fachleute. Rechtsanwalt Christian Solmecke von der Kanzlei WBS.Legal spricht von einer enorm wichtigen Grundlage für alle betroffenen Verbraucher von Datenlecks oder anderweitiger Verletzungen des Schutzes personenbezogener Daten.
"Es herrscht – nicht nur für Betroffene des Facebook-Datenlecks, sondern für praktisch alle Betroffenen von DSGVO-Verletzungen – nun endlich Rechtssicherheit." Jetzt werde es für Millionen Betroffene leichter werden, immateriellen Schadenersatz zu erlangen.
Auch Stiftung Warentest verwies auf ähnliche Fälle etwa bei einem Streaminganbieter und einem Fahrdienst.
Wie kann ich meine Daten schützen?
Die Verbraucherzentrale rät daher zu Datensparsamkeit. "Wer sich bei Online-Diensten anmeldet, sollte, wenn möglich, nicht alle abgefragten Daten preisgeben." Mit dem Geburtsdatum etwa lasse sich leicht die Identität stehlen.
"Überlegen Sie also bei jeder Veröffentlichung, ob Sie die Info auch laut durch einen Bus rufen würden." Wer sein Nutzerkonto nicht mehr benutzt, sollte es löschen - das verringere das Risiko eines Datenmissbrauchs. (bearbeitet von ff)
Verwendete Quellen
- dpa
- Bundesgerichtshof: Bundesgerichtshof entscheidet über Ansprüche im Zusammenhang mit einem Datenschutzvorfall beim sozialen Netzwerk Facebook (sog. Scraping)
- Facebook: Anfragen bezüglich der aktuellen Medienberichte zu Facebook-Daten
- Website haveibeenpwned
- Stiftung Warentest: BGH verurteilt Facebook – wie Betroffene ihr Geld bekommen
- Verbraucherzentrale: Scraping: Schürfen öffentlich verfügbarer Daten
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.