533 Millionen Nutzer sind vom Facebook-Datenleck betroffen
Das Osterfest beginnt mit einem handfesten Datenskandal: Von einem riesigen Datenleck bei Facebook sollen rund 533 Millionen Nutzern aus 106 Ländern betroffen sein. Ihre persönlichen Daten sind seither öffentlich im Internet einsehbar. Cyber-Kriminelle waren durch das sogenannte Scraping an die Daten gekommen. Dabei nutzen sie aus, dass Facebook es den Nutzern über die Suchbarkeits-Einstellungen ermöglichte, dass ihr Facebook-Profil mit Hilfe ihrer Telefonnummer gefunden werden konnte. Die Hacker luden über die Kontakt-Import-Funktion bei Facebook Telefonnummern im großen Umfang hoch. Wenn diese mit einem Nutzerkonto verknüpft waren, führten sie diese mit den dort öffentlich zugänglichen Daten zusammen und griffen diese dann ab. Die Kanzlei Dr. Stoll & Sauer macht klar, dass die Folgen eines solchen Datenlecks enorm sein können. Neben lästigen Spam-Benachrichtigungen können auch Hackerangriffe per SMS oder Phishing die Folge sein. Selbst, wenn den Betroffenen kein materieller Schaden entstanden ist, so doch zumindest ein immaterieller Schaden. Nach Art. 82 der DSGVO besteht auch bei einem immateriellen Schaden Anspruch auf Schadenersatz. Ganz wichtig: Die Gefahr liegt in der Zukunft. Niemand weiß, was mit den Daten ein, zwei Jahren angestellt werden kann.
Kostenlose Erstberatung direkt online abrufen
Informieren Sie sich schnell, sicher und kostenlos. Geben Sie zur Erstellung Ihres persönlichen Zugangs Name, E-Mail-Adresse und Telefonnummer ein. Nach der Registrierung werden alle weiteren Schritte auf unserem abgesicherten Mandanten-Portal durchgeführt.
Zwei Facebook-Verfahren vor dem Bundesgerichtshof
Von einem Cyberangriff betroffene Verbraucher sollten sich die Konsequenzen eines Datenlecks und Datendiebstahls bewusst vor Augen führen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Das kann sogar zum Diebstahl der Identität führen. Damit können beispielsweise Geschäfte zulasten der Verbraucher getätigt werden. Stehen den Usern Schadenersatzansprüche zu? Der BGH beschäftigt sich erstmals am 8. Oktober 2024 in zwei Verfahren mit dem Thema. Die Kanzlei Dr. Stoll & Sauer stellt die Verfahren kurz vor:
- OLG Stuttgart sieht Haftung bei Facebook für künftige Schäden (Az.: VI ZR 22/24): Der Kläger wurde Opfer eines Scraping-Vorfalls bei Facebook, bei dem seine Nutzer-ID, Vor- und Nachname, Land, Geschlecht und Telefonnummer betroffen waren. Er behauptet, die Beklagte habe unzureichende Sicherheitsmaßnahmen ergriffen und fordert Ersatz für immaterielle Schäden wie Ärger, Kontrollverlust, Ängste, Stress, Komfort- und Zeiteinbußen. Zudem verlangt er die Feststellung, dass die Beklagte für alle zukünftigen materiellen und immateriellen Schäden haftet, und fordert Unterlassung und Auskunft. Das Landgericht Heilbronn wies die Klage ab. Das Oberlandesgericht Stuttgart entschied jedoch, dass die Beklagte für zukünftige Schäden haftet, wies aber die restliche Berufung des Klägers zurück. Der Kläger verfolgt seine ursprünglichen Ansprüche weiter durch Revision.
- Verbraucher beklagt Kontrollverlust seiner Daten (Az.: VI ZR 7/24): In einem weiteren Verfahren fordert ein Verbraucher Ersatz für immaterielle Schäden, da Facebook mehrfach gegen die Datenschutz-Grundverordnung verstoßen und seine Daten nicht ausreichend geschützt habe. Er habe einen erheblichen Kontrollverlust über seine Daten erlitten und befinde sich in einem Zustand großen Unwohlseins und großer Sorge über den möglichen Missbrauch seiner Daten. Darüber hinaus verlangt er die Feststellung, dass die Beklagte verpflichtet ist, ihm in diesem Zusammenhang alle künftigen Schäden zu ersetzen, und macht weitere Unterlassungs- und Auskunftsansprüche geltend. Das Landgericht Köln hat die Klage abgewiesen. Das Oberlandesgericht Köln hat die Berufung des Klägers ebenfalls zurückgewiesen. Mit der vom Berufungsgericht zugelassenen Revision verfolgt der Kläger sein Klagebegehren weiter.
EuGH erleichtert bei Datenleck Klagen auf Schadensersatz
Eine einheitlich Rechtsprechung zum Thema Facebook-Datenleck gibt es also in Deutschland nicht. Der BGH muss hier Leitlinien für die unteren Instanzen vorlegen. Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken. Auch diese werden in die Entscheidungen zu den vorliegenden Verfahren einfließen.
- Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind.
- Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.
- Art. 82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
- Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.
Die Verbraucherkanzlei Dr. Stoll & Sauer empfiehlt daher Verbrauchern, die eventuell von einem Datenleck betroffen sind, eine kostenlose Erstberatung im Online-Check. Hier prüft die Kanzlei die mögliche Betroffenheit und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen. Die Kanzlei hat bereits im Fall eines Datenlecks bei Facebook vor Landgerichten Schadensersatzansprüche durchgesetzt.
Unbedingt Zugangsdaten und Passwörter regelmäßig wechseln
Das massenhafte Auftauchen von Datenlecks in den vergangenen Monaten zeigt, wie wichtig es ist, Passwörter regelmäßig zu ändern. Erst Anfang des Jahres ist „Mother of all Breaches“ (Mutter aller Datenlecks) aufgetaucht, offensichtlich ein Sammelsurium unzähliger Datenlecks mit 26 Milliarden Nutzerdateneinträgen von besonderer Relevanz. Die Notwendigkeit, Daten zu schützen und Zugangsinformationen häufig zu aktualisieren, zeigen die Ereignisse eindrucksvoll.
Falls Verbraucher das regelmäßige Aktualisieren der Passwörter bisher vernachlässigt haben, sollten sie diese Praxis unterlassen. Wichtig dabei ist, nicht in die Falle zu tappen und dasselbe Passwort für mehrere Konten zu nutzen. Das erhöht die Gefahr, dass bei einer Kompromittierung eines Passworts alle Ihre Konten betroffen sein könnten. Hier sind sieben Tipps für sichere Passwörter und Nutzerkonten, sodass Verbraucher bei einem Datenleck den Schaden minimieren können:
- Wichtig ist ein vertrauenswürdiger Passwort-Manager, der bei den nachfolgenden Schritten hilft.
- Für jedes Konto sollte ein eigenes Passwort erstellt und es regelmäßig geändert werden.
- Das Passwort sollte zufällige Wörter oder Phrasen enthalten, die keinen direkten Bezug zum Verbraucher oder dessen persönlichen Interessen haben.
- Die Zwei-Faktor-Authentifizierung wird empfohlen oder die Nutzung zusätzlicher Sicherheitsfeatures wie Fingerabdruck- oder Gesichtserkennung.
- Passwörter sollten nicht im Browser gespeichert werden.
- Verbrauchern wird empfohlen sich auf Webseiten wie ‘Have I Been Pwned’ zu registrieren, um zu überprüfen, ob E-Mail-Adresse von Datenlecks betroffen ist. Falls ja, schnell das Passwort ändern.
- Unterschiedliche E-Mail-Adressen für öffentliche Websites und wichtige Konten wie E-Mail, Bankgeschäfte und soziale Medien machen Cyberkriminellen das Leben schwer.
Passwörter sind ein wesentlicher Bestandteil unserer digitalen Identität. Durch sorgsamen Umgang mit ihnen können wir uns vor Cyberkriminalität schützen. Mit diesen einfachen Schritten wird die Online-Präsenz der Verbraucher sicher.
Immer auf dem Laufenden
Abonnieren Sie unseren Newsletter
Schnelle Informationen und Hintergründe helfen Ihnen bei den richtigen Entscheidungen. Profitieren Sie von wichtigen juristischen Informationen aus erster Hand. Wir informieren Sie mit unseren Newslettern über aktuelle Themen wie Abgasskandal, Datenschutzrecht oder Bankenskandale.