Facebook-Datenleck
Der Digitalkonzern Facebook war im Frühjahr 2021 von einem gigantischen Datenleck betroffen, der es den sogenannten „Scrapern“ ermöglichte, die Daten von mehr als 500 Millionen Nutzer:innen zu leaken. Mehr als 15000 Verfahren werden derzeit vor deutschen Gerichten verhandelt. Mehrere deutsche Gerichte haben sich bereits zu Gunsten der Kläger:innen ausgesprochen und Facebook-Usern zwischen 500 Euro und 3000 Euro Schadensersatz zugesprochen.
Lesen Sie im folgenden Artikel, wie es zum Datenleck kommen konnte, was eigentlich Scraping ist, welche Gefahren es birgt und ob möglicherweise auch Sie betroffen sind.
Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin
Wie kam es zum Datenleck?
Standard-Einstellungen nicht datenschutzfreundlich
Grundsätzlich können Facebook-Nutzer:innen eigenständig Angaben zu ihrer Person machen und auch darüber entscheiden, wer auf diese Informationen zugreifen kann. Es sind sogenannte "Privatsphäre-Einstellungen". Angaben wie Name, Geschlecht und Nutzer-ID sind dabei immer öffentlich einsehbar. Das dient der vereinfachten Kontaktaufnahme, die auch den Zweck der Meta-Plattform ausmacht. Der Zugriff auf Informationen wie den Wohnort, die Stadt, den Beziehungsstatus, den Geburtstag sowie die Emailadresse können Nutzer:innen nach Wunsch eigenständig beschränken, so dass entweder alle Personen, nur Freunde oder Freunde und Freunde von Freunden diese einsehen können.
In den "Suchbarkeits-Einstellungen" hingegen können Facebook-User festlegen, wer ihr Profil anhand ihrer Telefonnummer finden kann. Diese Einstellung ist standartmäßig auf "alle" eigestellt und erlaubt das Auffinden von Facebook-Profilen anhand der Telefonnummer auch, wenn der:die Nutzer:innen seine Privatsphäre-Einstellungen auf "nur Freunde", mithin nicht für alle öffentlich einsehbar eingestellt hat.
Wurde eine Telefonnummer bei einem/einer Nutzer:in als Kontakt eingespeichert, konnte diese:r die hinter der Telefonnummer stehende Person, einem Facebook-Profil zuordnen und als Freund:in hinzufügen. Dafür war es ausreichend, dass die Suchbarkeits-Einstellung "alle" nicht geändert wurde.
Was ist Datenscraping?
Im Frühjahr 2021 kam es in großen Teilen zu sogenannten Datenscraping, infolge dessen die Daten von ca. 533 Millionen Facebook-Nutzer:innen aus 106 Ländern im Internet öffentlich verbreitet worden sind.
Datenscraping bezeichnet das automatisierte massenhafte extrahieren, speichern und analysieren von Daten die auf Webseiten öffentlich einsehbar sind. Dabei handelt es sich um das Sammeln von in erster Linie um personenbezogene Daten, wie E-Mail-Adressen, Telefonnummern, Namen aber auch einzelnen Suchwörtern und URL´s.
Bereits in Hinblick auf das Urheberrecht eines Webseitenbetreibers stellt sich das automatisierte Datenscraping problematisch dar. Es wird jedoch bereits in den Nutzungsbedingungen zahlreicher Internetseiten verboten. So verbietet auch Facebook in ihren Nutzungsbedingungen das Sammeln von Daten mittels automatisierter Tools und Methoden.
Die genaue Vorgehensweise des Datenscraping im Fall Facebook ist nicht bekannt. Die Meta-Plattform geht jedoch davon aus, dass der "Contact-Import-Tool" das entscheidende "Werkzeug" war, mit Hilfe dessen, die Telefonnummern der einzelnen Benutzer:innen bestimmt werden konnten. So wird spekuliert, dass die Scraper mithilfe eines Programms etliche Ziffer-Kombinationen getestet haben, um zu prüfen, ob diese Ziffern - die letztendlich eine Telefonnummer ergaben - einem Facebook-Profil zugeordnet werden konnten. Im Falle des Erfolges, war es dem Programm möglich, sämtliche Daten dieses Nutzers zu exportieren und zu speichern.
Dass neben der Aufstellung des Scraping-Verbots in den Nutzungsbedingungen noch weitere Sicherheitsmaßnahmen erforderlich sind, um den Schutz personenbezogener Daten zu gewährleisten, muss Facebook nun auf die harte Tour lernen.
Mangelnde Sicherheitsmaßnahmen seitens Facebook
Mehrere deutsche Gerichte stellen fest: Der Datenverlust von ca. 533 Millionen Nutzer:innen beruht auf mangelnden Sicherheitsmaßnahmen seitens Facebook sowie der "undurchsichtigen" und "komplizierten" Privatsphäre-Einstellungen, mit denen der Konzern seine Nutzer:innen bereits bei der Anmeldung konfrontiert.
Die Datenschutz-Einstellungen beinhalten nach Angaben der Gerichte etliche Informationen, die teilweise nur über verschiedene Links zugänglich sind und die sowohl schwer verständlich als auch unklar sind. Die Wahrscheinlichkeit, dass Nutzer die Voreinstellungen ändern, ist gerade in Hinblick darauf klein. Gerade deshalb wäre es wichtig gewesen, diese Voreinstellungen datenschutzfreundlich zu gestalten.
Wie es nicht geht, zeigt Facebook, der die "Suchbarkeits-Einstellung" standartmäßig auf "alle" gesetzt hat und damit womöglich das Datenscraping in der vorliegenden Weise erst ermöglicht hat. Denn obwohl der:die Nutzer:in seine "Privatsphäre-Einstellungen" nicht auf "öffentlich" gesetzt hat, mithin die Vermutung nahe liegt, dass er insbesondere seine Handynummer nicht der Öffentlichkeit preisgeben wollte, ermöglichte Facebook es, mithilfe des "Contact-Importer-Tools" ihre/seine die Nummern zu identifizieren.
Für Facebook wird es jetzt teurer, denn die Gerichte sind sich einig. In den mangelnden Sicherheitsmaßnahmen liegt ein Datenschutzverstoß begründet, der Facebook schadensersatzpflichtig macht.
Nutzer haben Anspruch auf Schadensersatz (500-3000 Euro)
Neben dem Landgericht München (Urt. v. 09.12.2021 - 31 O 16606/20), hat mittlerweile auch das Landgerichts Köln (Urt. v. 18.05.2022 - 28 O 328/21), das Landgerichts Stuttgart (Urt. v. 26. Januar 2023 – 53 O 95/22), das Landgericht Oldenburg (Urt. v. 18.10.2022 - 5 O 1809/22) sowie das Landgerichts Paderborn (Urt. v. 19.12.2022 - 3 O 99/22; Urt. v. 13.12.2022 - 2 O 212/22) zu Gunsten von Nutzer: innen entschieden und Facebook zur Zahlung eines immateriellen Schadensersatzes verurteilt, der sich zwischen 500 und 3000 Euro beläuft.
Experten schätzen die Summe, die den Meta-Konzern in Zukunft für Schadensersatz insgesamt zahlen muss, auf mehr als 500 Milliarden Euro. Das dürfte selbst für ein Unternehmen, das allein im Jahr 2022 mehr als 23 Milliarden US-Dollar verdient hat, nicht gerade wenig sein.
Zu dieser Summe des zu zahlenden Schadensersatzes kommen noch Bußgelder (265 Millionen Euro für Facebook; 405 Millionen Euro für Instagram; 225 Millionen Euro für WhatsApp), die die Datenschutzbehörde dem Konzern, wegen Verstößen gegen Datenschutzgrundverordnung (DSGVO) auferlegt hat.
Gefahren von Datenlecks
Gefahren von Datenlecks oftmals erst in Zukunft sichtbar
Verschafft sich ein Betrüger persönliche Daten wie Telefonnummer, E-Mail-Adresse oder Facebook-ID kann das das Einfallstor für verschiedene Cyberangriffe und Betrügereien sein. Neben Identitätsdiebstahl ist auch die Gefahr von Smishing, Phishing und Vishing dann gegenwärtig. Unter diesen Begriffen versteht man Handlungen, bei denen die Täter versuchen entweder über Textnachrichten, die mit einem Link versehen sind (Smishing), Emails, die aussehen, als würden sie von einer Bank oder Behörde stammen (Phishing) oder über Anrufe (Vishing) Bank- oder Kreditkartendaten zu stehlen.
Wer ist betroffen?
Von dem Datenleck sind schätzungsweise 533 Millionen Facebook-Nutzer:innen betroffen. Nachdem nun festgestellt wurde, dass das Meta-Unternehmen für das Datenscraping verantwortlich ist, können Betroffene Schadensersatz fordern.
Wenn auch Sie einen Facebook-Account seit 2021 oder länger besitzen, sollten Sie prüfen lassen, ob Ihre Daten geleakt wurden. Mehrere Internetseiten, darunter insbesondere „haveibeenpwned.com“ bieten kostenlose Checks an. Dafür ist es ausreichend, dass Sie ihre Telefonnummer oder Ihre E-Mail-Adresse angeben.
Für die weitere Vorgehensweise nehmen Sie Kontakt zu Streifler&Kollegen auf und lassen Sie sich fachkundig beraten.
Autor:in
Facebook aus rechtlicher Perspektive
Facebook, gegründet im Jahr 2004 von Mark Zuckerberg, ist eines der weltweit führenden sozialen Netzwerke. In Bezug auf rechtliche Aspekte gibt es verschiedene relevante Bereiche, die die Nutzung und Interaktion auf der Plattform betreffen.
Datenschutz
Ein zentraler Punkt ist der Datenschutz. Facebook wurde wiederholt wegen Datenschutzbedenken und Datenmissbrauch kritisiert. Die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union regelt den Schutz personenbezogener Daten und beeinflusst die Art und Weise, wie Facebook mit Nutzerdaten umgeht. Dazu später mehr.
Nutzungsbedingungen
Die Nutzungsbedingungen von Facebook legen die Regeln für die Nutzung der Plattform fest. Verstöße gegen diese Bedingungen können rechtliche Konsequenzen haben, einschließlich der Sperrung von Konten. Das Unternehmen behält sich das Recht vor, Inhalte zu entfernen, die gegen seine Richtlinien verstoßen.
Urheberrecht
Auch Urheberrecht und geistiges Eigentum nehmen eine wichtige Rolle ein. Das Teilen von Inhalten auf Facebook muss die Urheberrechte respektieren. Das Unternehmen hat Mechanismen zur Meldung von Urheberrechtsverletzungen und entfernt rechtlich geschützte Inhalte entsprechend den gesetzlichen Vorschriften.
RL gegen Hass und Diskriminierung
Facebook hat klare Richtlinien gegen Hassrede und Diskriminierung. Die Einhaltung dieser Richtlinien ist entscheidend, um die Verbreitung beleidigender oder diskriminierender Inhalte zu verhindern.
Werbung
Im Bereich der Werbung müssen Unternehmen die Werberichtlinien von Facebook beachten. Dies schließt auch das Markenrecht ein, um sicherzustellen, dass keine Markenrechtsverletzungen bei Werbekampagnen auftreten.
Kinder- und Jugendschutz sind ebenfalls relevant. Facebook setzt Altersbeschränkungen für die Nutzung fest, und Eltern sollten die Aktivitäten ihrer Kinder auf der Plattform überwachen.
Facebook war auch in verschiedene rechtliche Auseinandersetzungen verwickelt, darunter Datenschutzklagen, Wettbewerbsklagen und Meinungsäußerungen. Die rechtlichen Aspekte können je nach Land variieren, und das Unternehmen reagiert auf regulatorische Entwicklungen und gesellschaftliche Erwartungen.
Es ist ratsam, die aktuellen Nutzungsbedingungen und Richtlinien von Facebook zu konsultieren und sich über lokale Gesetze und Datenschutzbestimmungen zu informieren, um eine rechtskonforme Nutzung der Plattform sicherzustellen.
Facebook-Datenleck
Im Frühjahr 2021 wurde ein Datenskandal bei Facebook bekannt, bei dem persönliche Daten von über 530 Millionen Nutzern durch eine Sicherheitslücke im Internet veröffentlicht wurden. Dies führte zu betrügerischen Versuchen, an das Geld der betroffenen Nutzer zu gelangen.
Das Facebook Datenleck ist nicht der einzige Vorfall dieser Art. In den Jahren zuvor gab es mehrere Datenleaks, bei denen unterschiedliche Mengen persönlicher Daten von Facebook Nutzern betroffen waren. Die Daten wurden durch verschiedene Methoden wie Scraping erbeutet, insbesondere durch die öffentliche Verfügbarkeit von Handynummern.
Die gestohlenen Daten umfassen sensiblen Informationen wie Nutzernamen, Geburtsdaten, Geschlecht, E-Mail-Adressen, Telefonnummern, Arbeitgeber und Beziehungsstatus.
Für die betroffenen Nutzer können die Folgen des Facebook Datenlecks schwerwiegend sein. Kriminelle könnten Phishing, Smishing, Vishing und Identitätsdiebstahl betreiben, wodurch die Nutzer Opfer von Betrugsversuchen werden könnten. Trotz möglicher Warnungen erliegen viele Menschen diesen Betrugsversuchen aufgrund der detaillierten Informationen, die durch das Facebook Datenleck preisgegeben wurden.
Auf dieser Themenseite finden Sie in naher Zukunft alle relevanten Entscheidungen sowie einige interessante Artikel zum Thema "Facebook-Datenleck".