Mangelhafter Datenschutz: Facebook muss Nutzern Schadensersatz zahlen

Facebook-Werkzeug als Hilfsmittel

Die Täter hatten eine Funktion genutzt, mit der Facebook-Mitglieder schnell und unkompliziert Freunde, Bekannte oder Geschäftspartner ausfindig machen können. Das fest integrierte Tool liest bei der Smartphone-Nutzung automatisch alle Telefonkontakte aus und vergleicht sie mit der Datenbank. Ist die Nummer bei Facebook bereits hinterlegt, wird dem Nutzer der zugehörige Account angezeigt. Die Funktion war zum damaligen Zeitpunkt eine Standardeinstellung des sozialen Netzwerks; eine Einwilligung für den Nummernabgleich wurde nicht eingeholt. Im Gegenteil: Wollten Nutzer verhindern, dass ihr Profil anhand der Telefonnummer ausfindig gemacht wird, mussten sie selbst aktiv werden. Dazu gehörte, dass sie sich in dem umfangreichen Menü zu den entsprechenden Voreinstellungen durcharbeiteten und die Settings veränderten. Den späteren Opfern des Datenmissbrauchs war diese Notwendigkeit allerdings nicht bekannt. Denn in den Standard-Einstellungen ihres Accounts war ihnen angezeigt worden: „Nur Du kannst Deine Nummer sehen.“

Kombination von Scraping und Kontaktabfrage

Nachdem die Täter für Millionen von Accounts die passenden Telefonnummern ermittelt hatten, lassen sie mit einer Scraping-Software alle zugehörigen Profilinformationen aus. Damit verstießen sie zwar juristisch gesehen gegen die Nutzungsbedingungen. Doch technisch verhindert oder zumindest erschwert wurde das Abgreifen von Millionen von Daten zum damaligen Zeitpunkt nicht. So veröffentlichten die Täter schließlich gebündelte Datenpakete aus mehr als 100 Ländern im Darknet, wo sie bis heute von Kriminellen für Spam-Angriffe oder Betrugsversuche genutzt werden können.

500,- Euro Schadensersatz pro Person

Zahlreiche Betroffene, auch aus Deutschland, reichten nach Bekanntwerden des Datenvorfalls Klage gegen die Facebook-Mutter Meta ein. Das Landgericht Lübeck (Az. 15 O 74/22) hat nun zunächst elf von ihnen Schadensersatz zugesprochen. Das Gericht entschied, dass Facebook durch die Abgleichfunktion der Telefonnummern gegen europäisches Datenschutzrecht verstoßen habe. Das Vorgehen sei weder für die Vertragserfüllung notwendig, noch hätten die Nutzer ihre Einwilligung erteilt. Außerdem habe der Konzern keine ausreichenden Schutzmaßnahmen gegen Scraping aufzeigen können. In der Folge sei das Recht der User auf informationelle Selbstbestimmung verletzt worden. Durch die Veröffentlichung ihrer Daten im Darknet hätten die Betroffenen erheblichen immateriellen Schaden erlitten. Jedem von ihnen muss Facebook jetzt Schadensersatz in Höhe von 500,- Euro zahlen.

Fazit

Allein in Deutschland konnten Daten und Telefonnummern von rund 6 Millionen Facebook-Usern auf die beschriebene Weise ausgelesen werden. Beim Landgericht Lübeck sind noch rund 50 ähnliche Verfahren gegen Meta anhängig. Ob und in welcher Höhe die Betroffenen Recht auf Schadensersatz haben, muss allerdings individuell entschieden werden. Wer überprüfen will, ob die eigenen Daten bei diesem oder einem anderen Zwischenfall geleakt wurden, kann E-Mail und Mobilfunknummer über die Webseite https://haveibeenpwned.com/ überprüfen.