Datenleck - Landgericht Paderborn verurteilt Facebook auf Zahlung von Schadensersatz

In gleich mehreren Fällen hat das Landgericht Paderborn (u.a. Az.: 7 O 334/22) den Mutterkonzern von Facebook, Meta, zu einer Schadenersatzzahlung verurteilt.

Die Kläger machten in den Verfahren Ansprüche wegen Verstößen gegen die DSGVO im Zusammenhang mit einem sogenannten „Scraping-Vorfall“ oder „Datenleck“ bei Facebook geltend.

Das Datenleck entstand dadurch, dass sensible Informationen durch "Suchbarkeits-Einstellungen" abgegriffen werden konnten. Nutzer konnten über ihre Telefonnummern gefunden werden. Damit Nutzer leichter mit anderen Nutzern in Kontakt treten können, müssen sie bestimmte Informationen bei der Registrierung angeben, die als Teil des Nutzerprofils immer öffentlich einsehbar sind. Dazu gehören Name, Geschlecht und Nutzer-ID. Eine Eingabe der Handynummer ist nicht zwingend erforderlich. Hinsichtlich der weiteren Daten gibt es im Rahmen der Privatsphäre-Einstellungen Wahlmöglichkeiten für jeden Nutzer. Bei der sogenannten „Zielgruppenauswahl“ legt der Nutzer fest, wer einzelne Informationen auf seinem Profil, wie etwa Telefonnummer, Wohnort, Stadt, Beziehungsstatus, Geburtstag und E-Mail-Adresse, einsehen kann. So kann der Nutzer anstelle der standardmäßigen Voreinstellung „öffentlich“ auswählen, dass nur „Freunde“ auf Facebook, oder „Freunde von Freunden“ die jeweiligen Informationen einsehen können. Lediglich die Telefonnummer des Nutzers wird insoweit gesondert behandelt, als dass diese standardmäßig nur der Nutzer selbst - so der Kläger - oder nur „Freunde“ - so die Beklagte - einsehen kann.

Die „Suchbarkeits-Einstellungen“ legen fest, wer das Profil eines Nutzers anhand einer Telefonnummer finden kann. Wenn also ein Nutzer in seinem Smartphone eine Telefonnummer als Kontakt eingespeichert hat, erlaubt Facebook ihm, seine Kontakte mit den hinterlegten Telefonnummern abzugleichen, um die hinter den Nummern stehenden Personen als Freunde hinzuzufügen. Dafür war nicht erforderlich, dass der andere Nutzer seine Telefonnummer nach der „Zielgruppenauswahl“ öffentlich gemacht hat. Demnach war es möglich, Nutzer anhand einer Telefonnummer zu finden, solange ihre „Suchbarkeits-Einstellung“ für Telefonnummern auf der Standard-Voreinstellung „Alle“ eingestellt war.

Art. 82 Abs. 1 DSGVO gibt den Betroffenen eine Anspruchsgrundlage für den Ersatz materieller und immaterieller Schäden, die durch diesen Vorfall entstanden sind. Diesem Anspruch hat das Landgericht Paderborn stattgegeben.

Für die Höhe des Anspruchs, der bis zu 1.000,00 € betragen kann, sind die jeweiligen Umstände des Einzelfalls zu berücksichtigen. Haben die Nutzer nach Kenntnis Maßnahmen ergriffen ihre Daten zu schützen? Sind die Einstellungen geändert worden? Ist das Profil gelöscht worden?