Facebook Nutzer erhalten 500 EUR Schadensersatz wegen DSGVO Verstoß
Landgericht Lübeck stellt fest: Mangelhafter Datenschutz
Facebook Nutzer erhielten 500 EUR Schadensersatz wegen einem erneuten DSGVO Verstoß. Im Zeitraum von 2018 bis 2019 wurden die Daten von 533 Millionen Facebook-Accounts von unbekannten Angreifern kompromittiert. Dabei wurden nicht nur öffentlich sichtbare Informationen wie Name, Geburtsdatum und E-Mail-Adresse abgegriffen, sondern auch Mobilfunknummern mittels eines automatisierten Verfahrens zugeordnet. Alle gestohlenen Informationen wurden schließlich in einem Hackerforum veröffentlicht. Ein deutsches Gericht hat nun elf Betroffenen Schadensersatz zugesprochen.
Facebook hat ein weiteres Datenschutz-Problem
Die Angreifer nutzten eine Funktion, die es Facebook-Mitgliedern ermöglichte, schnell und unkompliziert Freunde, Bekannte oder Geschäftspartner zu finden. Diese Funktion, die fest in das soziale Netzwerk integriert war, las automatisch alle Telefonkontakte beim Gebrauch auf einem Smartphone aus und verglich sie mit der Datenbank. Wenn die Telefonnummer bereits in Facebook hinterlegt war, wurde dem Nutzer der zugehörige Account angezeigt. Zu diesem Zeitpunkt war diese Funktion eine Standardeinstellung von Facebook und es wurde keine Einwilligung für den Abgleich der Nummern eingeholt.
Im Gegenteil: Um zu verhindern, dass ihr Profil anhand der Telefonnummer gefunden wird, mussten die Nutzer selbst aktiv werden. Dies bedeutete, dass sie sich durch das umfangreiche Menü zu den entsprechenden Voreinstellungen durchkämpfen und die Einstellungen ändern mussten. Die späteren Opfer des Datenmissbrauchs wussten jedoch nichts von dieser Notwendigkeit. Denn in den Standard-Einstellungen ihres Accounts wurde ihnen angezeigt: „Nur Du kannst Deine Nummer sehen.“
Scraping-Software half
Nachdem die Täter die passenden Telefonnummern für Millionen von Accounts ermittelt hatten, nutzten sie eine Scraping-Software, um alle zugehörigen Profilinformationen auszulesen. Obwohl dies einen Verstoß gegen die Nutzungsbedingungen darstellte, war dies zum damaligen Zeitpunkt technisch gesehen nicht ausreichend blockiert oder zumindest erschwert. Die Täter veröffentlichten schließlich gebündelte Datenpakete aus mehr als 100 Ländern im Darknet, wo sie bis heute von Kriminellen für Spam-Angriffe oder Betrugsversuche genutzt werden können.
Meta muss für Facebook DSGVO Verstoß 500 EUR Schadensersatz zahlen!
Nachdem der Datenverstoß bekannt wurde, haben zahlreiche Betroffene, darunter auch deutsche Nutzer, Klage gegen die Muttergesellschaft von Facebook, Meta, eingereicht. Das Landgericht Lübeck (Az. 15 O 74/22) hat nun elf Klägern vorläufig Schadensersatz zugesprochen. Das Gericht entschied, dass Facebook durch das Abgleichen von Telefonnummern gegen europäisches Datenschutzrecht verstoßen habe. Das Vorgehen sei weder für die Erfüllung des Vertrags notwendig gewesen, noch hätten die Nutzer ihre Einwilligung gegeben. Zudem habe das Unternehmen keine ausreichenden Schutzmaßnahmen gegen Scraping vorlegen können. Als Folge davon wurde das Recht der Nutzer auf informationelle Selbstbestimmung verletzt.
Durch die Veröffentlichung ihrer Daten im Darknet haben die Betroffenen erheblichen immateriellen Schaden erlitten. Facebook muss nun jedem der Kläger 500 Euro Schadensersatz zahlen.
6 Millionen Deutsche von Datenschutzverstoß betroffen
In Deutschland wurden durch die beschriebene Methode Daten und Telefonnummern von etwa 6 Millionen Facebook-Nutzern abgegriffen. Beim Landgericht Lübeck sind derzeit noch etwa 50 ähnliche Verfahren gegen Meta anhängig. Ob und in welcher Höhe die Betroffenen Anspruch auf Schadensersatz haben, wird jedoch individuell entschieden werden müssen.