Facebook-Datenleck

Der Digitalkonzern Facebook war im Frühjahr 2021 von einem gigantischen Datenleck betroffen, der es den sogenannten „Scrapern“ ermöglichte, die Daten von mehr als 500 Millionen Nutzer:innen zu leaken. Mehr als 15000 Verfahren werden derzeit vor deutschen Gerichten verhandelt. Mehrere deutsche Gerichte haben sich bereits zu Gunsten der Kläger:innen ausgesprochen und Facebook-Usern zwischen 500 Euro und 3000 Euro Schadensersatz zugesprochen.

Lesen Sie im folgenden Artikel, wie es zum Datenleck kommen konnte, was eigentlich Scraping ist, welche Gefahren es birgt und ob möglicherweise auch Sie betroffen sind.

Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin

Wie kam es zum Datenleck?

Standard-Einstellungen nicht datenschutzfreundlich

Grundsätzlich können Facebook-Nutzer:innen eigenständig Angaben zu ihrer Person machen und auch darüber entscheiden, wer auf diese Informationen zugreifen kann. Es sind sogenannte "Privatsphäre-Einstellungen". Angaben wie Name, Geschlecht und Nutzer-ID sind dabei immer öffentlich einsehbar. Das dient der vereinfachten Kontaktaufnahme, die auch den Zweck der Meta-Plattform ausmacht. Der Zugriff auf Informationen wie den Wohnort, die Stadt, den Beziehungsstatus, den Geburtstag sowie die Emailadresse können Nutzer:innen nach Wunsch eigenständig beschränken, so dass entweder alle Personen, nur Freunde oder Freunde und Freunde von Freunden diese einsehen können.

In den "Suchbarkeits-Einstellungen" hingegen können Facebook-User festlegen, wer ihr Profil anhand ihrer Telefonnummer finden kann. Diese Einstellung ist standartmäßig auf "alle" eigestellt und erlaubt das Auffinden von Facebook-Profilen anhand der Telefonnummer auch, wenn der:die Nutzer:innen seine Privatsphäre-Einstellungen auf "nur Freunde", mithin nicht für alle öffentlich einsehbar eingestellt hat.

Wurde eine Telefonnummer bei einem/einer Nutzer:in als Kontakt eingespeichert, konnte diese:r die hinter der Telefonnummer stehende Person, einem Facebook-Profil zuordnen und als Freund:in hinzufügen. Dafür war es ausreichend, dass die Suchbarkeits-Einstellung "alle" nicht geändert wurde.

Was ist Datenscraping?

Im Frühjahr 2021 kam es in großen Teilen zu sogenannten Datenscraping, infolge dessen die Daten von ca. 533 Millionen Facebook-Nutzer:innen aus 106 Ländern im Internet öffentlich verbreitet worden sind.

Datenscraping bezeichnet das automatisierte massenhafte extrahieren, speichern und analysieren von Daten die auf Webseiten öffentlich einsehbar sind. Dabei handelt es sich um das Sammeln von in erster Linie um personenbezogene Daten, wie E-Mail-Adressen, Telefonnummern, Namen aber auch einzelnen Suchwörtern und URL´s. 

Bereits in Hinblick auf das Urheberrecht eines Webseitenbetreibers stellt sich das automatisierte Datenscraping problematisch dar. Es wird jedoch bereits in den Nutzungsbedingungen zahlreicher Internetseiten verboten. So verbietet auch Facebook in ihren Nutzungsbedingungen das Sammeln von Daten mittels automatisierter Tools und Methoden. 

Die genaue Vorgehensweise des Datenscraping im Fall Facebook ist nicht bekannt. Die Meta-Plattform geht jedoch davon aus, dass der "Contact-Import-Tool" das entscheidende "Werkzeug" war, mit Hilfe dessen, die Telefonnummern der einzelnen Benutzer:innen bestimmt werden konnten. So wird spekuliert, dass die Scraper mithilfe eines Programms etliche Ziffer-Kombinationen getestet haben, um zu prüfen, ob diese Ziffern - die letztendlich eine Telefonnummer ergaben - einem Facebook-Profil zugeordnet werden konnten. Im Falle des Erfolges, war es dem Programm möglich, sämtliche Daten dieses Nutzers zu exportieren und zu speichern.

Dass neben der Aufstellung des Scraping-Verbots in den Nutzungsbedingungen noch weitere Sicherheitsmaßnahmen erforderlich sind, um den Schutz personenbezogener Daten zu gewährleisten, muss Facebook nun auf die harte Tour lernen.

Mangelnde Sicherheitsmaßnahmen seitens Facebook

Mehrere deutsche Gerichte stellen fest: Der Datenverlust von ca. 533 Millionen Nutzer:innen beruht auf mangelnden Sicherheitsmaßnahmen seitens Facebook sowie der "undurchsichtigen" und "komplizierten" Privatsphäre-Einstellungen, mit denen der Konzern seine Nutzer:innen bereits bei der Anmeldung konfrontiert. 

Die Datenschutz-Einstellungen beinhalten nach Angaben der Gerichte etliche Informationen, die teilweise nur über verschiedene Links zugänglich sind und die sowohl schwer verständlich als auch unklar sind. Die Wahrscheinlichkeit, dass Nutzer die Voreinstellungen ändern, ist gerade in Hinblick darauf klein. Gerade deshalb wäre es wichtig gewesen, diese Voreinstellungen datenschutzfreundlich zu gestalten.

Wie es nicht geht, zeigt Facebook, der die "Suchbarkeits-Einstellung" standartmäßig auf "alle" gesetzt hat und damit womöglich das Datenscraping in der vorliegenden Weise erst ermöglicht hat. Denn obwohl der:die Nutzer:in seine "Privatsphäre-Einstellungen" nicht auf "öffentlich" gesetzt hat, mithin die Vermutung nahe liegt, dass er insbesondere seine Handynummer nicht der Öffentlichkeit preisgeben wollte, ermöglichte Facebook es, mithilfe des "Contact-Importer-Tools" ihre/seine die Nummern zu identifizieren. 

Für Facebook wird es jetzt teurer, denn die Gerichte sind sich einig. In den mangelnden Sicherheitsmaßnahmen liegt ein Datenschutzverstoß begründet, der Facebook schadensersatzpflichtig macht.

Nutzer haben Anspruch auf Schadensersatz (500-3000 Euro)

Neben dem Landgericht München (Urt. v. 09.12.2021 - 31 O 16606/20), hat mittlerweile auch das Landgerichts Köln (Urt. v. 18.05.2022 - 28 O 328/21), das Landgerichts Stuttgart (Urt. v. 26. Januar 2023 – 53 O 95/22), das Landgericht Oldenburg (Urt. v. 18.10.2022 - 5 O 1809/22) sowie das Landgerichts Paderborn (Urt. v. 19.12.2022 - 3 O 99/22; Urt. v. 13.12.2022 - 2 O 212/22) zu Gunsten von Nutzer: innen entschieden und Facebook zur Zahlung eines immateriellen Schadensersatzes verurteilt, der sich zwischen 500 und 3000 Euro beläuft.

Experten schätzen die Summe, die den Meta-Konzern in Zukunft für Schadensersatz insgesamt zahlen muss, auf mehr als 500 Milliarden Euro. Das dürfte selbst für ein Unternehmen, das allein im Jahr 2022 mehr als 23 Milliarden US-Dollar verdient hat, nicht gerade wenig sein.

Zu dieser Summe des zu zahlenden Schadensersatzes kommen noch Bußgelder (265 Millionen Euro für Facebook; 405 Millionen Euro für Instagram; 225 Millionen Euro für WhatsApp), die die Datenschutzbehörde dem Konzern, wegen Verstößen gegen Datenschutzgrundverordnung (DSGVO) auferlegt hat.

Gefahren von Datenlecks

 Gefahren von Datenlecks oftmals erst in Zukunft sichtbar

Verschafft sich ein Betrüger persönliche Daten wie Telefonnummer, E-Mail-Adresse oder Facebook-ID kann das das Einfallstor für verschiedene Cyberangriffe und Betrügereien sein. Neben Identitätsdiebstahl ist auch die Gefahr von Smishing, Phishing und Vishing dann gegenwärtig. Unter diesen Begriffen versteht man Handlungen, bei denen die Täter versuchen entweder über Textnachrichten, die mit einem Link versehen sind (Smishing), Emails, die aussehen, als würden sie von einer Bank oder Behörde stammen (Phishing) oder über Anrufe (Vishing) Bank- oder Kreditkartendaten zu stehlen.

Wer ist betroffen?

Von dem Datenleck sind schätzungsweise 533 Millionen Facebook-Nutzer:innen betroffen. Nachdem nun festgestellt wurde, dass das Meta-Unternehmen für das Datenscraping verantwortlich ist, können Betroffene Schadensersatz fordern.

Wenn auch Sie einen Facebook-Account seit 2021 oder länger besitzen, sollten Sie prüfen lassen, ob Ihre Daten geleakt wurden. Mehrere Internetseiten, darunter insbesondere „haveibeenpwned.com“ bieten kostenlose Checks an. Dafür ist es ausreichend, dass Sie ihre Telefonnummer oder Ihre E-Mail-Adresse angeben.

Für die weitere Vorgehensweise nehmen Sie Kontakt zu Streifler&Kollegen auf und lassen Sie sich fachkundig beraten.