E-Mails mit angeblichen Sendungshinweisen von Paketdienstleistern wie DHL oder FedEx, regelmäßige Anrufe von unbekannten Telefonnummern oder SMS mit Links zu sogenannten Phishing-Seiten – zunehmend mehr Menschen sind tagtäglich solchen Betrugsmaschen ausgesetzt. Aber wie sind die Betrüger überhaupt an die Kontaktdaten gelangt? Und welche Rechte haben die Betroffenen im Zusammenhang mit dem Datenklau? Im Internet wird vermehrt mit der Durchsetzung eines Schadensersatzanspruchs und einem damit verbundenen Schmerzengeld in Höhe von bis zu 5.000,00 EUR geworben. Doch ist das wirklich so einfach?
1. Datenleck bei Facebook
Viele der Kontaktdaten wurden im Zuge eines Datenlecks bei Facebook im Jahr 2019 erbeutet.
Bereits 2021 wurde bekannt, dass Hacker an Millionen von hochsensiblen Daten von Facebook-Nutzern gelangt waren. Dieser „Datenklau“ ist auf eine Sicherheitslücke bei Facebook zurückzuführen, die von den Hackern ausgenutzt wurde. Obwohl die Sicherheitslücke nach eigenen Angaben von Facebook umgehend geschlossen wurde, konnte eine Verbreitung der Daten im Netz nicht verhindert werden. Die in diesem Zuge gestohlenen Daten stellen bis heute ein enormes Sicherheitsrisiko für die Betroffenen dar. Allein in Deutschland sollen sechs Millionen Facebook-Nutzer betroffen sein, und damit ein Fünftel der deutschen Facebook-Nutzer. Die Daten kursieren nun frei zugänglich im Internet. Dabei sind insbesondere Telefonnummern und E-Mail-Adressen in Verbindung mit weiteren persönlichen Daten wie Name, Geschlecht, Geburtsdatum, geografischer Standort und Beziehungsstatus betroffen.
Die Hacker nutzten das sogenannte Contact-Import-Tool (CIT) von Facebook, um an die Daten zu gelangen. Facebook hatte diese Kontaktimportfunktion ursprünglich dafür vorgesehen, die „Freunde-Suche“ für seine Nutzer zu erleichtern, indem der Nutzer einen Abgleich der in seinem Smartphone gespeicherten Kontakte mit den Nutzerprofilen auf der Plattform vornehmen kann. Die bei Facebook gespeicherten Telefonnummern waren zwar eigentlich nicht öffentlich sichtbar, eine Identifizierung der Nutzer war anhand der Telefonnummer aber trotzdem möglich, wenn die Nutzer bei der Registrierung eine Verknüpfung des Facebook-Profils mit der eigenen Telefonnummer vorgenommen hatten. Die Hacker setzten dieses Tool in großem Stil für sich ein, indem sie beliebige, computergenerierte Telefonnummern abfragten und die damit verbundenen öffentlichen Daten speicherten (sog. Scraping).
2. Rechtliche Einordnung
3. Ansprüche der Betroffenen
Zunächst haben Betroffene nach Art. 15 DSGVO das Recht auf eine außergerichtliche Datenauskunft. Die Betroffene können demnach gegenüber Facebook Auskunft darüber verlangen, ob und in welchem Umfang sie von dem Datenleck betroffen sind.
Darüber hinaus kann jeder Betroffene Facebook auffordern, es zu unterlassen, aufgrund von fehlenden Sicherungsmechanismen die personenbezogenen Daten unbefugten Dritten zugänglich zu machen, und der Verarbeitung der Telefonnummer ohne eine wirksame Einwilligung widersprechen.
Denn die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass ein soziales Netzwerk wie Facebook für einen sicheren Umgang mit den persönlichen Daten seiner Nutzer sorgen muss. Facebook ist daher verpflichtet, Maßnahmen für ein angemessenes Schutzniveau für die personenbezogenen Daten hinsichtlich des Risikos von Scraping treffen.
Kommt Facebook dieser Verpflichtung nicht nach, können die Betroffenen Schadensersatzansprüche gegen den Mutterkonzern von Facebook Meta Platforms, Inc. geltend machen. Ein solcher Schadensersatzanspruch ergibt sich unmittelbar aus der Datenschutz-Grundverordnung, namentlich aus Art. 82 DSGVO. Da die Rechtsprechung die schadensersatzbegründenden DSGVO-Normen überwiegend verbraucherfreundlich auslegt, wurde Meta Platforms, Inc. bereits in einigen Verfahren zur Zahlung eines Schmerzensgeldes verurteilt.
4. Schadensersatz aus Art. 82 DSGVO
Art. 82 Abs. 1 DSGVO legt fest, dass jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen hat.
5. Verstöße gegen die Datenschutz-Grundverordnung
Die Gerichte haben bereits eine Vielzahl von DSGVO-Verstößen durch Facebook festgestellt.
Jedes Unternehmen, das personenbezogene Daten verarbeitet, hat das in Art. 5 Abs. 1 DSGVO verankerte Transparenzgebot zu beachten. Da Facebook gerade keine nachvollziehbare und transparente Datenverarbeitung vorweisen kann, wurde durch einige Landgericht eine Missachtung des Transparenzgebots bejaht.
Auch traf Facebook weder ausreichende Sicherungsmaßnahmen noch datenschutzfreundliche Voreinstellungen. Nach Art. 25 DSGVO hat Facebook geeignete technische und organisatorische Maßnahmen zu treffen, die darauf ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und die Rechte seiner Nutzer zu schützen. Die von Facebook verwendeten Sicherheitsmaßnahmen waren nicht ausreichend, um die Rechte der Nutzer und ihre personenbezogenen Daten insbesondere vor unbefugter Verarbeitung durch Dritte zu schützen. Das Landgericht Ravensburg bejahte weiterhin einen Verstoß gegen Art. 32 Abs. 1 DSVGO, da Facebook keine sogenannten Sicherheitscaptchas („Ich bin kein Roboter“ – Tests) gegen die Angriffe durch maschinelles Abfragen der Daten verwendete.
Darüber hinaus hatte Facebook für jeden neuen Nutzer die Voreinstellung getroffen, dass jedermann mit der Telefonnummer nach einem Nutzerprofil suchen konnte und von jedermann auch über das Contact-Import-Tool eine Verknüpfung zwischen Telefonnummer und dazugehörigem Nutzerprofil hergestellt werden konnte. Nach Ansicht der Gerichte handelt es sich dabei nicht um eine datenschutzschonende Voreinstellung i. S. v. Art. 25 Abs. 2 DSGVO. Mit der Bereitstellung dieses Systems machte Facebook die personenbezogenen Daten einer unbestimmten Anzahl von Personen zugänglich, ohne dass es einer aktiven Mitwirkung des Nutzers bedurfte.
Weiterhin hat Facebook sowohl gegen die Informationspflichten in Art. 13 und 14 DSGVO als auch gegen die Melde- und Benachrichtigungspflichten der Art. 33 und 34 DSGVO verstoßen.
Gemäß Art. 13 DSGVO hat Facebook gegenüber seinen Nutzern umfangreiche Informations- und Aufklärungspflichten zu erfüllen. Es besteht eine Informationspflicht insbesondere dahingehend, dass Facebook seinen Nutzern die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung mitteilt. Nach Ansicht einiger Landgerichte kam Facebook dieser Pflicht weder in seinen Nutzungsbedingungen noch in seiner Datenschutzrichtlinie nach. Denn die Nutzer wurden bei Eingabe ihrer Telefonnummer unzureichend über den Zweck der Verwendung der Telefonnummer für das seitens Facebook verwendete Contact-Import-Tool aufgeklärt.
Weiterhin hat Facebook sowohl gegenüber den Nutzern als auch gegenüber der zuständigen Behörde gegen die in Art. 33 Abs. 1 und Art. 34 Abs. 1 DSVGO vorgeschriebenen Pflichten zur Information über das Datenleck verstoßen.
6. Immaterieller Schaden
Neben dem Verstoß gegen die DSGVO setzt ein Anspruch auf Schadenersatz voraus, dass ein konkreter Schaden entstanden ist, der kausal auf den Verstoß zurückzuführen ist.
Im Fokus der Betroffenen stehen dabei insbesondere immaterielle Schäden. Dabei handelt es sich um Schäden, die nicht in Geld messbar sind, sondern ideelle Güter wie Gesundheit, körperliches Wohlbefinden, Möglichkeiten der Freizeitgestaltung und die Lebensqualität betreffen. Der finanzielle Ausgleich ist als eine Art Schmerzensgeld anzusehen.
Nach Ansicht einiger Landgerichte können ein solcher immaterieller Schaden bereits durch den Kontrollverlust des Nutzers über seine Daten begründet sein, der sich daraus ergebe, dass seine persönlichen Daten infolge des Verstoßes tatsächlich an unbefugte Personen abgeflossen und in einem öffentlichen Forum ins Internet gestellt wurden. Mit dem eingetretenen Verlust der Datenkontrolle könne eine seelisch belastende Ungewissheit über das Schicksal der Daten verbunden sein, die kompensationsfähig sei.
Bei Annahme eines immateriellen Schadens entscheidet das Gericht über die Höhe einer angemessenen Schmerzensgeldzahlung.
Grundsätzlich werden zur Bemessung der Schadenshöhe Kriterien wie die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten und die betroffenen Kategorien personenbezogener Daten zur Ermittlung herangezogen.
Zusätzlich kann das Gericht feststellen, dass Facebook verpflichtet ist, dem Nutzer alle künftigen Schäden zu ersetzen, die diesem durch den unbefugten Zugriff Dritter auf das Datenarchiv von Facebook entstanden sind und/oder noch entstehen werden.
7. Gerichtliche Praxis
Der Datenskandal um Facebook ist in der Gerichtspraxis angelangt und beschäftigt die Landgerichte in ganz Deutschland. Das hat dazu geführt, dass einige Rechtsanwaltskanzleien und Verbraucherschutzportale im Internet eine kostenlose Prüfung der Betroffenheit der eigenen Daten und eine anschließende Durchsetzung des Schmerzensgeldanspruchs anbieten. Geworben wird mit Schmerzensgeldzahlungen in Höhe von bis zu 5.000,00 EUR.
Tatsächlich gibt es mittlerweile einige Landgerichte, die den betroffenen Klägern ein Schmerzensgeld zuerkannt haben.
So verurteilte das Landgericht Hannover Meta Platforms, Inc. am 14. August 2023 (Az. 18 O 89/22) zu einer Schmerzensgeldzahlung in Höhe von 500,00 EUR. Das Landgericht Ravensburg sprach dem Kläger mit Urteil vom 13. Juni 2023 (Az. 2 O 228/22) ein Schmerzensgeld in Höhe von 1.000,00 EUR zu.
Anders entschieden nun jedoch das Oberlandesgericht Hamm (Urteil vom 15. August 2023 - 7 U 19/23) in seiner „Leitentscheidung“ sowie das Oberlandesgericht Stuttgart (Urteil vom 22. November 2023 – 4 U 20/23). Die beiden Oberlandesgerichte beschäftigten sich in ihren Entscheidungen eingehend mit den Anforderungen an das Vorliegen eines Schadens im Rahmen von Art. 82 DSGVO und lehnten einen solchen letztendlich ab.
Während einige Landgerichte noch einen individuellen und konkreten Schaden aufgrund des Kontrollverlustes annahmen, verlangen die Oberlandesgerichte nun über den Verstoß hinausgehende „persönliche bzw. psychologische Beeinträchtigungen“ bei dem Nutzer. Es sei eine Objektivierung einer nachweisbaren Beeinträchtigung notwendig. Daher sei es mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall erforderlich, dass der Betroffene Umstände darlege, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden habe.
Allein der Verstoß gegen die Datenschutz-Grundverordnung und ein damit verbundenes abstraktes „Gefühl der Erschrockenheit“ sei noch nicht ausreichend. Eine solche Sachlage sei nicht so schwerwiegend, dass ein Schaden ohne weiteres naheliege (vgl. auch EuGH, Urteil vom 4. Mai 2023 - C‑300/21).
Zusammenfassend ist damit festzuhalten, dass kein pauschaler Schadensersatzanspruch betroffener Facebook-Nutzer gegen Meta Platforms, Inc. besteht, sondern vielmehr ein konkrete Einzelfallprüfung erforderlich ist, die nach den Urteilen der OLG Hamm und OLG Stuttgart erhöhte Anforderungen an die Darlegung des erlittenen Schadens stellt. Es obliegt somit dem Gericht im konkreten Fall, herauszuarbeiten, wann ein subjektives Unmutsgefühl die Grenze zwischen nicht ersatzfähigem Ärger und ersatzfähigem, immateriellem Schaden überschreitet. Bei einer Veröffentlichung der personenbezogenen Daten, die die Weiterverarbeitung durch einen unbegrenzten und unbestimmten Personenkreis ermöglicht, und der damit verbundene gezielte Missbrauch etwa in Form von regelmäßigen Betrugsanrufen, dürfte sich aus der bisherigen Rechtsprechung der Landgerichte ergeben, dass ein Schmerzensgeld von 250,00 bis 1.000,00 EUR angemessen ist.
Die Betroffenen können daher in der Tat mit einem kleinen Taschengeld rechnen - die beworbenen Schmerzensgeldzahlungen von 5.000,00 EUR dürften dabei aber kaum zu erzielen sein.
8. Weitere Datenlecks
Neben Facebook haben auch andere Social-Media-Plattformen und Portale wie z. B. Deezer und LinkedIn mit Datenlecks zu kämpfen.
Neuester Fall dürfte Bonify sein. Dabei handelt es sich um ein Start-up, das eine App zur kostenlosen Überprüfung der eigenen Bonität und Einsicht in den Schufa-Score entwickelt hatte. Im Jahr 2022 erwarb die Schufa das junge Unternehmen und schon bald wurde bekannt, dass durch eine IT-Expertin eine Sicherheitslücke im Rahmen des Kontoident-Verfahrens bei Bonify entdeckt wurde. Im Gegensatz zu dem Datenleck bei Facebook dürfte es sich bei den betroffenen Daten hier um Kontaktinformationen, Passwörter und Bankdaten handeln, die nun für Unbefugte zugänglich sein könnten. Es droht wie bereits beim Facebook-Datenklau ein Missbrauch der persönlichen Daten, der bis zu einem Identitätsdiebstahl führen kann. Daten der Schufa selbst sollen aber nicht betroffen sein.
Auch für diese Fälle kommen grundsätzlich die oben erörterten Ansprüche auf Auskunftserteilung, Unterlassen und Schadensersatz in Betracht, wenn ein Verstoß gegen die DSGVO festgestellt werden kann.
Gerichtsentscheidungen gibt es zu dem Bonify-Datenleck noch nicht. Aber auch in diesem Zusammenhang dürfte die Darlegung eines konkreten immateriellen Schadens Voraussetzung für einen Schadensersatzanspruch sein.
