Ein Grundsatzurteil des Bundesgerichtshofs zum Datenklau bei Facebook hat Folgen: Betroffene Verbraucher können rund 100 Euro Schadensersatz einfordern. Und für Unternehmen steigt der Druck. Medienfachanwalt Christian Solmecke erklärt, warum das Urteil auch den Handlungsbedarf für Handwerksbetriebe erhöht.
Der Facebook-Mutterkonzern Meta hat die privaten Daten von Millionen von Nutzern nicht richtig geschützt. Durch sogenanntes Scraping landeten sie im Jahr 2021 im Darknet. Datendiebe hatten die eigentlich nicht sichtbaren Telefonnummern über spezielle Online-Suchprozesse und dem Abgleichen mit Facebook-Profilen verknüpft und damit öffentlich gemacht. Für dieses Datenleck muss der Konzern nun Verantwortung übernehmen.
Der Bundesgerichtshof (BGH) hat in einem Urteil (Az. VI ZR 10/24) festgelegt, dass jeder Nutzer, dessen Daten abgegriffen wurden, einen Anspruch auf Schadensersatz hat. Zwar liegt dieser bei nur 100 Euro pro Person, da allerdings rund 533 Millionen Facebook-Nutzer und Nutzerinnen aus 106 Ländern betroffen sind, kann die Gesamtsumme im Prinzip hoch ausfallen. Laut BGH soll sie aber auch nur einem Ausgleich dienen. Der Entscheidung liegt die Tatsache zugrunde, dass Meta die Daten nicht richtig geschützt hat. Ob mit den Daten kriminelle Handlungen geschehen sind, gehört nicht zur Grundsatzentscheidung und müsste in Einzelfällen weiterverfolgt werden.
Datenklau bei Facebook: Urteil gilt für jedes Unternehmen
Die Richter des BGH legten mit ihrem Urteil grundsätzlich fest, dass ein derartiges Datenleck ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) darstellt. Die für den Datenschutz Verantwortlichen hätten die persönlichen Daten, die ihnen anvertraut wurden, besser schützen müssen. Folgen hat diese Grundsatzentscheidung damit für jedes Unternehmen, das personenbezogene Daten verarbeitet.
Der Medienfachanwalt Christian Solmecke hat sich intensiv mit dem Datenklau bei Facebook und den Folgen beschäftigt und sagt ganz klar: "Dieses Urteil lässt sich praktisch 1:1 auf jede Firma und alle sonstigen Verantwortlichen übertragen, die personenbezogene Daten verarbeiten. Denn jeder Verantwortliche, egal ob es sich um einen Weltkonzern wie Meta oder eine kleine Firma handelt, hat die DSGVO vollumfänglich umzusetzen." Meta habe die Daten nicht gut genug gegen Hackerangriffe gesichert. Ein entsprechender Vorwurf könne – je nach Einzelfall – kleineren Firmen genauso gemacht werden. Werden Daten von Kriminellen abgegriffen, so könnten Betroffene gegen die entsprechende Firma vorgehen und immateriellen Schadensersatz wegen des Kontrollverlustes über ihre Daten verlangen.
Finanzielle Risiken für jedes Unternehmen wegen Datenklau gestiegen
So steht und fällt der potenzielle Handlungsbedarf für Unternehmen jetzt mit der Tatsache, wie gut die personenbezogenen Daten gesichert sind bzw. wie gut die DSGVO umgesetzt und eingehalten ist. Grundsätzlich besteht somit dem Rechtsexperten zufolge kein weiterer Handlungsbedarf, sofern Unternehmen bereits das Bestmögliche getan haben, um die personenbezogenen Daten ihrer Kunden und Geschäftspartner zu schützen und damit die Anforderungen an die technischen und organisatorischen Maßnahmen zum Datenschutz aus der DSGVO zu erfüllen. Doch Christian Solmecke warnt auch: "Da die finanziellen Risiken jetzt gewachsen sind, muss spätestens dieses Urteil Motivation sein, den Datenschutz wirklich ernst zu nehmen. Viele Unternehmen vernachlässigen den Bereich Datenschutz leider weiterhin. Hier rate ich dringend dazu, sich juristisch beraten zu lassen."
Ein entstandener Datenklau muss allerdings erst einmal auffallen und den Nutzern bekannt sein, damit er Folgen haben kann. Auch dazu macht die DSGVO Vorgaben. So ist in Artikel 34 der Verordnung eine Meldepflicht der Unternehmen formuliert, die von einem Hack betroffen waren, gegenüber den Betroffenen, deren Daten in diesem Hack abgegriffen wurden. Diese greift jedoch nur, sofern "die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge" hat.
Christian Solmecke hat die Erfahrung gemacht, dass Unternehmen dieser Meldepflicht häufig nicht ausreichend nachkommen. "Betroffene erfahren dann teilweise erst von Medienberichten, dass es ein Problem gab", sagt er und bezieht sich auf die Fälle von großen Konzernen. Grundsätzlich müssen Betroffene dann auch nachweisen, dass sie Opfer eines Datendiebstahls geworden sind. Dabei geht es nicht um die Folgen, die der Datenklau hatte, sondern nur um die Tatsache selbst. Sie können gegenüber dem Unternehmen nach Art. 15 DSGVO Auskunft darüber verlangen, ob sie betroffen waren. In Bezug auf den Facebook-Fall hat die Kanzlei von Christian Solmecke einen Facebook-Datenleck-Checker eingerichtet.
Mit Inhalten der dpa
Datenklau bei Facebook: So kann jeder Entschädigung fordern
Wer prüfen möchte, ob die eigenen Daten im 2021 beim Hackerangriff auf Facebook ausgespäht wurden, hat dazu relativ einfache Möglichkeiten zur Verfügung. So kann jeder potenzielle Betroffene unter Umständen rund 100 Euro Schadensersatz bekommen. Durch eine neue Musterfeststellungsklage der Verbraucherzentrale Bundesverband entfällt dabei nun auch der Zeitdruck. Als Voraussetzung gilt allerdings, dass man sich an die Musterfeststellungsklage anschließt.
Weil Facebook im Jahr 2021 die Konten seiner Kunden unzureichend geschützt hat, konnten Hacker deren Daten millionenfach abgreifen und später im Internet veröffentlichen. Der Bundesgerichtshof hat entschieden (Az. VI ZR 10/24), dass Opfern des Datenklaus deshalb ein Schadensersatz zusteht – ganz gleich, ob ihnen durch den Vorfall ein Folgeschaden entstanden ist oder nicht. Je nach Schwere der Auswirkungen soll Betroffenen so eine Entschädigung von mindestens 100 Euro zustehen.
Ob Sie von dem Datenklau betroffen waren oder nicht, können Sie direkt bei Facebook erfragen – und zwar auf der Hilfeseite des sozialen Netzwerks unter Eingabe Ihres vollständigen Namens, Ihrer Mail-Adresse und Ihres Wohnortes. Alternativ können Sie auch die Seiten wie haveibeenpwned.com nutzen, um herauszufinden, ob Ihre Daten 2021 ausgespäht und veröffentlicht worden sind.
Wie Betroffene an die 100 Euro Schadensersatz kommen, können sie zum Beispiel auf der Webseite der Stiftung Warentest nachlesen. Dort stellt die gemeinnützige Verbraucherorganisation einen Musterbrief bereit, mit dessen Hilfe sie den Schadensersatz beim Facebook-Mutterkonzern Meta einfordern können. Hieß es bislang, dass für das Einreichen der Forderung Zeitdruck besteht, da Ende des Jahres die Rechte der meisten Geschädigten verjähren, gibt es dabei nun eine Neuerung. Denn der Verbraucherzentrale Bundesverband hat eine Musterfeststellungsklage eingereicht, die einerseits dazu führen soll, genau zu prüfen, wann die Entschädigungsansprüche gelten. Andererseits führt die Klage dazu, dass die Verjährung ausgesetzt ist, solang keine Entscheidung vorliegt.
Potenziell Geschädigte müssen sich allerdings der Musterfeststellungsklage anschließen. Wie und wann dies möglich ist, ist derzeit noch unklar. Der Verbraucherzentrale Bundesverband informiert über die Fortschritte des Verfahrens auf seiner Webiste und in Form eines Sonder-Newsletters. dpa/jtw