Facebook muss wegen Sicherheitslücke Schadensersatz zahlen

Stand: 18.11.2024, 16:03 Uhr

Der Bundesgerichtshof hat entschieden, dass Opfer eines massiven Datendiebstahls bei Facebook Anspruch auf Schadensersatz haben. WDR-Digitalexperte Jörg Schieb erläutert die Hintergründe.

Im Streit um Schadensersatzansprüche nach einem umfangreichen Datendiebstahl bei Facebook hat der Bundesgerichtshof (BGH) zugunsten betroffener Nutzer geurteilt. Damit werden deren Rechte gestärkt. Die Entscheidung der Karlsruher Richterinnen und Richter ist relevant für Tausende Klagen an Landes- und Oberlandesgerichten in Deutschland.

Niedrige Hürden für Schadensersatz

Betroffene eines umfangreichen Datendiebstahls bei Facebook vor einigen Jahren haben nach dem BGH-Urteil vergleichsweise niedrige Hürden, um Schadensersatz zu bekommen. Sie müssen nur nachweisen, dass sie Opfer des Vorfalls waren, wie der sechste Zivilsenat in Karlsruhe entschied. Es sei weder nötig, dass die Daten nachweislich missbraucht wurden, noch müssten die Betroffenen Belege dafür liefern, dass sie nun in besonderer Weise beeinträchtigt sind - etwa in Angst und Sorge.

Signal für tausende ähnliche Fälle an Gerichten 

Der BGH hat zum ersten Mal von der neuen Möglichkeit des Leitentscheidungsverfahrens Gebrauch gemacht. Die höchstrichterliche Klärung ist entscheidend für Tausende ähnlich gelagerte Fälle an Landes- und Oberlandesgerichten in Deutschland. (Az. VI ZR 10/24)

Beim bloßen Kontrollverlust kein allzu hoher Schadensersatz

Facebook Logo

Allerdings machte der Vorsitzende Richter des sechsten Zivilsenats, Stephan Seiters, deutlich, dass der Schadensersatz beim bloßen Kontrollverlust nicht allzu hoch ausfallen könne. Als Beispiel im konkreten Fall nannte Seiters 100 Euro. Konkret muss das Oberlandesgericht Köln den Fall nun in Teilen noch einmal verhandeln und dabei klären, ob tatsächlich ein Datenschutzverstoß vorlag und wie der Schaden zu bemessen sei. 

Weltweit mehr als eine halbe Milliarde Betroffene 

Hintergrund: Im Jahr 2019 gelang es Hackern, über eine kritische Sicherheitslücke eines der größten Datenlecks in der Geschichte von Facebook zu verursachen. Betroffen sind weltweit mehr als 533 Millionen Nutzer – darunter etwa 6 Millionen aus Deutschland. Die Datendiebe haben die „Freunde“-Funktion von Facebook missbraucht, um die sensiblen Daten abzusaugen. Die abgegriffenen Daten landeten zuerst im Darknet, dann im Internet.

Abgegriffen wurden nicht nur Namen, sondern auch Telefonnummern, E-Mail-Adressen, Geburtsdaten, Geschlecht und sogar Angaben wie der Beziehungsstatus. Im Anschluss hagelte es Klagen, die bisher an Landes- und Oberlandesgerichten zum Großteil keinen Erfolg hatten.

Abgegriffene Daten lassen sich vielfältig missbrauchen

Besonders besorgniserregend: Solche Daten ermöglichen es Kriminellen, täuschend echte Fake-Profile zu erstellen, Phishing-Attacken per SMS oder WhatsApp zu starten oder sogar komplette digitale Identitäten zu übernehmen. Cyberbetrüger nutzen die Daten häufig, um individuell zugeschnittene Phishing-Angriffe zu fahren.

Mit den abgegriffenen Identitäten können Betrüger Bankkonten eröffnen, Verträge abschließen oder finanzielle Schäden verursachen. Das perfide daran: Die Gefahr endet nicht. Einmal im Internet veröffentlichte Daten bleiben dauerhaft zugänglich und können immer wieder genutzt werden. Für die Betroffenen bedeutet das eine anhaltende Bedrohung ihrer Privatsphäre und finanziellen Sicherheit.

Was bedeutet dieses Urteil konkret?

Die Richter machten klar: Unternehmen, die personenbezogene Daten sammeln und damit Geld verdienen, tragen eine besondere Verantwortung. Wird diese verletzt, haben Betroffene Anspruch auf Entschädigung. Wie hoch diese Entschädigung aussieht, muss allerdings individuell ausgehandelt werden – hängt also auch vom tatsächlich verursachten Schaden ab. Laut BGH ist beim lediglichen Abgreifen der Daten mit einer Schadenssumme von 100 EUR zu rechnen.

Zwar wirkt die festgelegte Summe pro betroffener Person zunächst überschaubar, doch die Gesamtbelastung könnte für Unternehmen erheblich sein. Rechnet man die Entschädigung auf Millionen Betroffene hoch, zeigt sich: Nachlässiger Datenschutz kann richtig teuer werden. Allein in Deutschland sind aktuell Tausende Verfahren anhängig.

Die Signalwirkung des Urteils ist enorm. Es stellt klar: Datenschutz ist ein fundamentales Grundrecht, dessen Verletzung reale Konsequenzen hat.

Wer ist betroffen – und wie kann man sich wehren?

Die Entscheidung betrifft potenziell jeden der sechs Millionen Deutschen, deren Daten 2019 über Facebook entwendet wurden. Die Betroffenen haben jetzt die Möglichkeit, Schadenersatz geltend zu machen. Bereits jetzt bereiten spezialisierte Kanzleien Sammelklagen vor. Sie werben aktiv um Betroffene und bieten Unterstützung an, um Ansprüche geltend zu machen.

Auch für Verbraucher, die nicht direkt vom Facebook-Datenleck betroffen sind, ist dieses Urteil bedeutsam: Es gilt als Präzedenzfall für alle Unternehmen, die personenbezogene Daten verarbeiten. Es ist wahrscheinlich, dass auch andere Klagen folgen werden, insbesondere gegen Unternehmen, die sich bisher zu wenig um die Sicherheit von Nutzerdaten gekümmert haben.

Bin ich selbst betroffen?

Bin ich Opfer des Facebook-Datenleak? Bei "Have I been pawned" kann man nachschauen

Wer wissen möchte, ob er selbst betroffen ist: Die Auskunft im Hilfebereich auf Facebook ist nicht immer korrekt. Zuverlässiger ist es, auf die Webseite „Have I been pawned“ zu gehen und dort nachzuschauen: Einfach die eigene Handynummer eingeben (nicht die Mail-Adresse!), und der Onlinedienst verrät, ob man vom „Facebook Leak“ betroffen ist oder nicht.

Die Webseite wird von einem angesehen IT-Sicherheitsexperten betrieben, der mit vielen IT-Sicherheitsunternehmen zusammenarbeitet. Die Eingabe der Daten ist hier unbedenklich. Der Betreiber von „Have I been Pawned“ betreibt hohen Aufwand, um die Öffentlichkeit über im Darknet aufgetauchte Nutzerdaten zu informieren.

Meta sieht sich als Opfer

Meta, der Mutterkonzern von Facebook, hat sich lange als Opfer eines kriminellen Angriffs dargestellt. Doch ein deutscher Nutzer sah das anders und zog vor Gericht. Seine Argumentation: Facebook habe die Nutzerdaten nicht ausreichend geschützt und damit gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Der Bundesgerichtshof (BGH) hat sich dieser Sichtweise angeschlossen und heute ein wegweisendes Urteil gefällt.

Zum ersten Mal in der Geschichte wurde ein Tech-Konzern dazu verurteilt, für den nachlässigen Umgang mit Nutzerdaten Schadenersatz zu zahlen – und zwar auch dann, wenn kein konkreter finanzieller Schaden nachweisbar ist. Der BGH spricht von einem „immateriellen Schaden“, der durch den Kontrollverlust über persönliche Daten entsteht.

Unsere Quellen:

  • Nachrichtenagenturen dpa und afp

Über dieses Thema berichtet der WDR auch in der Aktuellen Stunde am 18.11.2024.