26.05.2023 Datenleck Facebook: Facebook nach Datenklau erneut zu Schadenersatz verurteilt

Urteil am Landgericht Paderborn: Facebook erneut zu Schadensersatz-Zahlung verurteilt (LG Paderborn, 31.03.2023, Az. 7 O 9/22)

Erneut wurde gegen den Social-Media-Giganten Facebook ein Urteil gefällt. Im Zeitraum von Januar 2018 bis September 2019 kam es zu einem Datenscraping. Dabei wurden massenhaft automatisiert persönliche Daten der Facebook-Nutzer gesammelt. Daraufhin forderte eine Klägerin eine Schadensersatz-Zahlung gegen Facebook. Sie war der Ansicht, man habe gegen ihr Persönlichkeitsrecht und die DSGVO verstoßen. Nun hat das Landgericht Paderborn entschieden, dass der Klägerin ein Schadensersatz-Anspruch in Höhe von 500 Euro gegen Facebook zusteht.

Grund für das Datenleck bei Facebook sei eine nicht richtig gesicherte Facebook-Funktion

Die automatisierte Erfassung und das Sammeln von Daten ist gemäß den Nutzungs-Bedingungen von Facebook untersagt. Vorliegend erfolgte das Sammeln der Daten nicht über die Facebook-Profile selbst. Durch eine Suchfunktion war es den Nutzern möglich, mit den Daten aus ihren Kontakten zu überprüfen, ob diese ebenfalls auf der Facebook-Plattform zu finden sind. Der betreffende Nutzer brauchte dafür seine Telefonnummer nicht öffentlich machen. Wenn eine Handynummer aus dem Adressbuch zu einem Nutzer passte, zeigte Facebook alle relevanten Daten an.

Cyber-Kriminelle versorgten die Facebook-Funktion automatisch und in enorm großer Anzahl mit erfundenen Handynummern und nahmen anschließend die von Facebook ausgegebenen Daten an sich. Wenn eine Handynummer mit einem Facebook-Konto verknüpft war, kopierten sie alle öffentlich einsehbaren Daten des Nutzers und fügten die Handynummer diesen Daten hinzu. Schließlich kursierte zu Ostern im Jahr 2021 für viele Facebook-Nutzer eine besorgniserregende Nachricht in den Medien. Hudson Rock, eine Firma, die sich mit IT-Sicherheit beschäftigt, stieß auf das Facebook-Datenleck. Persönliche Daten von mehr als 530 Millionen Konten sind auf Hacker-Foren aufgetaucht und waren frei zugänglich.

Facebook hat gegen Persönlichkeitsrecht der Klägerin und die DSGVO verstoßen

Die Klägerin führte aus, dass die Täter mittels Scraping sensible Daten wie Name, Wohnort und Telefonnummer abgriffen. Diese Daten veröffentlichten sie auf Hackerplattformen, die Betrüger für Phishing nutzen. Es ist derzeit nicht möglich, vorherzusagen, welche unbefugten Personen auf die Daten der Klägerin Zugriff haben und zu welchen kriminellen Zwecken diese missbraucht wurden. Das Scraping war möglich, weil Facebook keinerlei Sicherheits-Maßnahmen ergriff, um das Abgreifen der Nutzer-Daten über die Suchfunktion zu verhindern. Demzufolge sei ihr ein kausaler Schaden entstanden. Die Klägerin sei, da sie einen Kontrollverlust über ihre persönlichen Daten erlitt, in einer erheblichen Sorge über einen möglichen Missbrauch.

Facebook führt aus: Scraper hätten lediglich die zu diesem Zweck dienende Funktion ausgenutzt

Facebook zufolge lägen keine Verstöße gegen datenschutz-rechtliche Vorschriften vor. Dazu führt Facebook aus, dass die Täter die Daten nicht durch Hacking oder Sicherheits-Verletzungen in ihrem System erlangten. Dies geschah durch automatisiertes, massenhaftes Sammeln von bereits öffentlich zugänglichen und somit nicht vertraulichen Daten. Es ist grundsätzlich nicht möglich, Scraping von öffentlich zugänglichen Daten vollständig zu verhindern, ohne die Funktionen der Plattform zu beeinträchtigen. Die Funktionen, die die Scraper ausnutzen, seien rechtmäßige und gewöhnliche Nutzerfunktionen.

Klägerin hat Anspruch auf Schadensersatz

Neben zahlreichen Gerichten ist nun auch das Landgericht Paderborn zu dem Entschluss gekommen, dass der Klägerin ein Schadensersatz-Anspruch in Höhe von 500 Euro zusteht. Ihr ist wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden.

Grund dafür ist, dass Facebook der in Art. 13 DSGVO festgelegten Informations- und Aufklärungspflicht nicht in vollständigem Umfang nachkam. Das LG Paderborn war der Ansicht, dass Facebook die Klägerin nicht hinreichend über die Zwecke der Verarbeitung ihrer Handynummer aufgeklärte. Auch ein Verstoß des Art. 34 Abs. 1 DSGVO liegt vor. Facebook hätte dieser Vorschrift nach die Klägerin unverzüglich über den Vorfall informieren müssen, wenn ein hohes Risiko der persönlichen Rechte und Freiheiten besteht.

Vom Facebook-Datenleck betroffen?

Falls Sie vom Datenleck bei Facebook betroffen sind, helfen wir Ihnen gerne, Ihre Forderungen durchzusetzen. Lassen Sie nicht zu, dass das Erbeuten Ihrer Daten folgenlos bleibt. Wir setzen schnell und einfach Ihre Rechte gegen Facebook für Sie durch! Kontaktieren Sie uns jederzeit unverbindlich per Telefon oder E-Mail!