Der Bundesgerichtshof (BGH) stärkt die Rechte der Opfer von Datendiebstahl bei Facebook: Über sechs Millionen Deutsche sind von einem großen „Data Leak“ betroffen – und haben nun einfacher Anspruch auf Schadenersatz.
Der Bundesgerichtshof (BGH) hat in seinem Urteil (18.11.2024) in einer „Leitentscheidung“ verbindlich für alle deutschen Gerichte entschieden, dass Opfer von Datendiebstahl nicht extra nachweisen müssen, dass ihnen ein Schaden entstanden ist. Es reicht die Tatsache, dass der Datendiebstahl belegt werden kann.
Hintergrund: Im Jahr 2019 gelang es Hackern, über eine kritische Sicherheitslücke eines der größten Datenlecks in der Geschichte von Facebook zu verursachen. Betroffen sind weltweit mehr als 500 Millionen Nutzer – darunter etwa 6 Millionen aus Deutschland. Die Datendiebe haben die „Freunde“-Funktion von Facebook missbraucht, um die sensiblen Daten abzusaugen.
Abgegriffen wurden nicht nur Namen, sondern auch Telefonnummern, E-Mail-Adressen, Geburtsdaten, Geschlecht und sogar Angaben wie der Beziehungsstatus. Diese sensiblen Informationen tauchten zunächst im Darknet auf und wurden später sogar kostenlos im Netz verbreitet.
Der Fall: Meta unter Druck
Besonders besorgniserregend: Solche Daten ermöglichen es Kriminellen, täuschend echte Fake-Profile zu erstellen, Phishing-Attacken per SMS oder WhatsApp zu starten oder sogar komplette digitale Identitäten zu übernehmen. Cyberbetrüger nutzen die Daten häufig, um individuell zugeschnittene Phishing-Angriffe zu fahren.
Mit den abgegriffenen Identitäten können Betrüger Bankkonten eröffnen, Verträge abschließen oder finanzielle Schäden verursachen. Das perfide daran: Die Gefahr endet nicht. Einmal im Internet veröffentlichte Daten bleiben dauerhaft zugänglich und können immer wieder genutzt werden. Für die Betroffenen bedeutet das eine anhaltende Bedrohung ihrer Privatsphäre und finanziellen Sicherheit.
Der Fall: Meta unter Druck
Meta, der Mutterkonzern von Facebook, hat sich lange als Opfer eines kriminellen Angriffs dargestellt. Doch ein deutscher Nutzer sah das anders und zog vor Gericht. Seine Argumentation: Facebook habe die Nutzerdaten nicht ausreichend geschützt und damit gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Der Bundesgerichtshof (BGH) hat sich dieser Sichtweise angeschlossen und heute ein wegweisendes Urteil gefällt.
Zum ersten Mal in der Geschichte wurde ein Tech-Konzern dazu verurteilt, für den nachlässigen Umgang mit Nutzerdaten Schadenersatz zu zahlen – und zwar auch dann, wenn kein konkreter finanzieller Schaden nachweisbar ist. Der BGH spricht von einem „immateriellen Schaden“, der durch den Kontrollverlust über persönliche Daten entsteht.
Was bedeutet dieses Urteil konkret?
Die Richter machten klar: Unternehmen, die personenbezogene Daten sammeln und damit Geld verdienen, tragen eine besondere Verantwortung. Wird diese verletzt, haben Betroffene Anspruch auf Entschädigung. Wie hoch diese Entschädigung aussieht, muss allerdings individuell ausgehandelt werden – hängt also auch vom tatsächlich verursachten Schaden ab. Laut BGH ist beim lediglichen Abgreifen der Daten mit einer Schadenssumme von 100 EUR zu rechnen.
Zwar wirkt die festgelegte Summe pro betroffener Person zunächst überschaubar, doch die Gesamtbelastung könnte für Unternehmen erheblich sein. Rechnet man die Entschädigung auf Millionen Betroffene hoch, zeigt sich: Nachlässiger Datenschutz kann richtig teuer werden. Allein in Deutschland sind aktuell Tausende Verfahren anhängig.
Die Signalwirkung des Urteils ist enorm. Es stellt klar: Datenschutz ist ein fundamentales Grundrecht, dessen Verletzung reale Konsequenzen hat.
Wer ist betroffen – und wie kann man sich wehren?
Die Entscheidung betrifft potenziell jeden der sechs Millionen Deutschen, deren Daten 2019 über Facebook entwendet wurden. Die Betroffenen haben jetzt die Möglichkeit, Schadenersatz geltend zu machen. Bereits jetzt bereiten spezialisierte Kanzleien Sammelklagen vor. Sie werben aktiv um Betroffene und bieten Unterstützung an, um Ansprüche geltend zu machen.
Auch für Verbraucher, die nicht direkt vom Facebook-Datenleck betroffen sind, ist dieses Urteil bedeutsam: Es gilt als Präzedenzfall für alle Unternehmen, die personenbezogene Daten verarbeiten. Es ist wahrscheinlich, dass auch andere Klagen folgen werden, insbesondere gegen Unternehmen, die sich bisher zu wenig um die Sicherheit von Nutzerdaten gekümmert haben.
Bin ich selbst betroffen?
Wer wissen möchte, ob er selbst betroffen ist: Die Auskunft im Hilfebereich auf Facebook ist nicht immer korrekt. Zuverlässiger ist es, auf die Webseite „Have I been pawned“ zu gehen und dort nachzuschauen: Einfach die eigene Handynummer eingeben (nicht die Mail-Adresse!), und der Onlinedienst verrät, ob man vom „Facebook Leak“ betroffen ist oder nicht.
Die Webseite wird von einem angesehen IT-Sicherheitsexperten betrieben, der mit vielen IT-Sicherheitsunternehmen zusammenarbeitet. Die Eingabe der Daten ist hier unbedenklich. Der Betreiber von „Have I been Pawned“ betreibt hohen Aufwand, um die Öffentlichkeit über im Darknet aufgetauchte Nutzerdaten zu informieren.