Facebook-Datenleck: Schadensersatz iHv. 1000 Euro für Facebook-Nutzer
Das Landgericht Zwickau (LG Zwickau) hat Facebook wegen mehreren Verstößen gegen die Datenschutzverordnung zu 1000 Euro Schadensersatz verurteilt. Facebook wurde somit zum ersten Mal, seitdem die Social-Media-Plattform im Frühjahr letzten Jahres einem Hackerangriff ausgesetzt war, wegen entsprechenden DSGVO-Verstößen zu einem Schadensersatz verpflichtet. Mehr als 6 Millionen Facebook-Nutzer, deren hochsensible Daten 2019 in einem Hackerforum veröffentlicht wurden, haben Anspruch auf immateriellen Schadenersatz und sollten jetzt handeln.
Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin
2021: Persönliche Daten frei zugänglich im Hackerforum
Nachdem bereits im Jahr 2019 persönliche Daten von mehr als einer halben Milliarde Facebook-Nutzer aus 106 Ländern in die Hände von Cyberkriminellen gelangten, sorgte im April 2021 dasselbe Datenleck erneut für Aufsehen, als rund 33 Millionen Datensätze von Facebook-Nutzern, in einem Hackerforum aufgetaucht sind. Neben persönlichen Informationen wie den vollständigen Namen, Geburtsdaten und Anschriften sind auch Email-Adressen, Telefonnummern und persönliche Angaben wie Beruf und Beziehungsstatus veröffentlicht worden. Die Folgen können für Betroffene gravierend sein. Denn sind solche Daten erst einmal öffentlich zugänglich, können Cyberkriminelle sie etwaige Betrugsmaschen missbrauchen. So werden Daten wie Name und Rufnummer insbesondere für gezielte „Pishing“ Attacken genutzt. Betroffene Facebook-Nutzer klagen über Spam-Anrufe- und Nachrichten.
DGSVO: Rechtlicher Rahmen für den Umgang mit personenbezogenen Daten
Um solche Betrügereien zu vermeiden und persönliche Informationen hinreichend zu schützen, regelt die Datenschutzgrundverordnung (DGSVO) die Verarbeitung personenbezogener Daten und erlaubt diese nur unter strengen Voraussetzungen. Besonders essentiell ist hier einerseits Art. 34 DGSVO, der Datenverarbeitungsplattformen wie Facebook, bei Vorliegen von Datenlecks verpflichtet, die Betroffenen umgehend zu informieren. Andererseits Art. 82 DGSVO, der bei Verstößen gegen die DGSVO einen eigenständigen unionsrechtlichen Anspruch des Betroffenen gegen den Verantwortlichen normiert.
Art. 82 DGSVO: Schadensersatz auch bei immateriellen Schäden
Letzterer ist auch insofern signifikant, als dass es in Zuge eines Datendiebstahls nicht zwingend in bevorstehender Zukunft auch zu einem Schaden kommt. Nach Art. 82 DGSVO ist ein Schadensersatzanspruch infolge einer DGSVO-Verletzung, nicht ausschließlich bei materiellen Schäden möglich, sondern auch per Definition auch bei Vorliegen immaterieller Schäden. Teile der Rechtsprechung vertreten außerdem die Ansicht, dass für die Geltendmachung eines immateriellen Schadensersatzanspruches, neben der Verletzung der DGSVO kein (weiterer) Schaden vorliegen müsse (vgl. BAG, Beschluss vom 26.08.2021, Az.: 8 AZR 253/20), was widerrum bedeutet, dass allein die Sorge, mit den Daten könnte ein Schaden angerichtet werden, ausreichend wäre, um einen Schadensersatzanspruch geltend zu machen.
Facebook hat Nutzerdaten nicht ausreichend geschützt
Wie es genau zu den Datendiebstahl kommen konnte, ist nicht abschließend geklärt. Fest steht, dass die personenbezogenen Daten aus dem Datenbestand von Facebook, mittels des Facebook-Tools KontaktImporter, aus den zum Teil öffentlich zugänglichen Daten bei Facebook ausgelesen wurden.
Nach Feststellungen des Gerichts ist Facebook für das Datenleck mitverantwortlich. Das soziale Netzwerk hat den Datendiebstahl dadurch ermöglicht, dass es „keinerlei Sicherheitsmaßnahmen“ vorbehalten hat, um zu verhindern, dass das bereitgestellte Tool ausgenutzt wird. Weiterhin seien die Einstellungen zur Sicherheit der Telefonnummer auf Facebook so „undurchsichtig und kompliziert“ gestaltet, dass eine sichere Einstellung nicht erreicht werden kann. Das Gericht kritisiert insbesondere den Prozess und die Einstellungen zur Datensicherheit für Nutzer. Der Prozess sei „insgesamt geprägt von datenschutzunfreundlichen Einstellungen, einer Masse an schwer verständlichen Informationen und un- klare[n] Angaben.“.
Verstoß gegen mehrere DGSVO-Vorschriften
Das Landgericht Zwickau entschied mit Versäumnisurteil vom 14.09.2022, dass die Social-Media-Plattform gegen mehrere DGSVO-Vorschriften verstoßen hat. Facebook hat als Verantwortlicher iSv. Art. 4 Nr. 7 DSGVO, entsprechende Nutzerdaten ohne Rechtsgrundlage verarbeitet und unbefugten Dritten zugänglich gemacht. Daneben hat Facebook gegen die Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 lit. a, lit b, lit. c, lit. f DGSVO) verstoßen sowie die Grundsätze über den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 1, Abs, 2 DGSVO) nicht beachtet. Zudem hat Facebook gegen § 32 DGSVO verstoßen, indem es geeignete technische und organisatorische Maßnahmen unterlassen hat, die erforderlich wären, um ein angemessenes Schutzniveau zu gewährleisten.
Facebook hat die Benachrichtigung des Klägers, versäumt, mithin gegen Art 34 Abs. 1, Abs. 2 DGSVO verstoßen.
Schließlich war die Social-Media-Plattform gem. Art. 34 abs. 1, Abs. 2 DGSVO verpflichtet, die von dem Datenleck betroffenen Personen - hier den Kläger - unverzüglich zu informieren. Auch in Hinblick darauf sah das Gericht einen Verstoß als gegeben an. Letztendlich stellte das Gericht auch eine Verletzung der Betroffenenrechte des Klägers gem. Art 15, 17, und 18 DGSVO fest.
1000 Euro Schadensersatz - jetzt handeln!
Die Richter des Landgerichts Zwickau verurteilten Facebook, aufgrund der durch die Social-Media-Plattform nicht ausreichend geschützten Informationen der Nutzer und des daraus resultierenden immateriellen Schadens des Klägers, zu 1000 Euro Schadensersatz. Zwar ist grundsätzlich auch ein höherer Schadensersatz (zB. 6000 Euro) möglich, der Kläger hat jedoch nicht mehr gefordert. Wir raten allen Personen, die seit 2019 oder länger einen Facebook-Account besitzen, zu prüfen, ob auch sie von einem Datenmissbrauch betroffen sind.
Sie sind sich nicht sicher, ob Sie betroffen sind? Sie haben noch Fragen zu diesem Thema? Nehmen Sie Kontakt zu Streifler&Kollegen ([email protected]) auf und lassen Sie sich fachkundig beraten.
moreResultsText