Facebook-Datenleck: BGH verhandelt erstmals über Schadensersatzansprüche von Usern

Nervige Spams und täuschend echt wirkende SMS von Banken und Paketzustellern belästigen die Verbraucher tagtäglich. Eine Ursache für diese kriminellen Machenschaften kann das Datenleck beim Social-Media-Riesen Facebook sein. Ostern 2021 erbeuteten Cyberkriminelle Datensätze von rund sechs Millionen Usern aus Deutschland. Hat Facebook die Daten nur unzureichend geschützt? Der Bundesgerichtshof (BGH) verhandelt am 8. Oktober 2024 in zwei Fällen erstmals über die Ansprüche von Facebook-Nutzern, deren Daten aufgrund des Lecks im Internet gelandet waren. Die Verbraucherkanzlei Dr. Stoll & Sauer vertritt die Meinung, dass von Datenlecks betroffene Verbraucher sich generell zur Wehr setzen sollten. Die Folgen können bis zum Identitätsdiebstahl gehen. Die Kanzlei empfiehlt daher Verbrauchern, im kostenlosen Online-Check die Betroffenheit überprüfen zu lassen. Mehr Infos zum Thema Datenleck gibt es auf unserer Website.

533 Millionen Nutzer sind vom Facebook-Datenleck betroffen

Das Osterfest beginnt mit einem handfesten Datenskandal: Von einem riesigen Datenleck bei Facebook sollen rund 533 Millionen Nutzern aus 106 Ländern betroffen sein. Ihre persönlichen Daten sind seither öffentlich im Internet einsehbar. Cyber-Kriminelle waren durch das sogenannte Scraping an die Daten gekommen. Dabei nutzen sie aus, dass Facebook es den Nutzern über die Suchbarkeits-Einstellungen ermöglichte, dass ihr Facebook-Profil mit Hilfe ihrer Telefonnummer gefunden werden konnte. Die Hacker luden über die Kontakt-Import-Funktion bei Facebook Telefonnummern im großen Umfang hoch. Wenn diese mit einem Nutzerkonto verknüpft waren, führten sie diese mit den dort öffentlich zugänglichen Daten zusammen und griffen diese dann ab. Die Kanzlei Dr. Stoll & Sauer macht klar, dass die Folgen eines solchen Datenlecks enorm sein können. Neben lästigen Spam-Benachrichtigungen können auch Hackerangriffe per SMS oder Phishing die Folge sein. Selbst, wenn den Betroffenen kein materieller Schaden entstanden ist, so doch zumindest ein immaterieller Schaden. Nach Art. 82 der DSGVO besteht auch bei einem immateriellen Schaden Anspruch auf Schadenersatz. Ganz wichtig: Die Gefahr liegt in der Zukunft. Niemand weiß, was mit den Daten ein, zwei Jahren angestellt werden kann.

Zwei Facebook-Verfahren vor dem Bundesgerichtshof

Von einem Cyberangriff betroffene Verbraucher sollten sich die Konsequenzen eines Datenlecks und Datendiebstahls bewusst vor Augen führen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Das kann sogar zum Diebstahl der Identität führen. Damit können beispielsweise Geschäfte zulasten der Verbraucher getätigt werden. Stehen den Usern Schadenersatzansprüche zu? Der BGH beschäftigt sich erstmals am 8. Oktober 2024 in zwei Verfahren mit dem Thema. Die Kanzlei Dr. Stoll & Sauer stellt die Verfahren kurz vor:

• OLG Stuttgart sieht Haftung bei Facebook für künftige Schäden (Az.: VI ZR 22/24): Der Kläger wurde Opfer eines Scraping-Vorfalls bei Facebook, bei dem seine Nutzer-ID, Vor- und Nachname, Land, Geschlecht und Telefonnummer betroffen waren. Er behauptet, die Beklagte habe unzureichende Sicherheitsmaßnahmen ergriffen und fordert Ersatz für immaterielle Schäden wie Ärger, Kontrollverlust, Ängste, Stress, Komfort- und Zeiteinbußen. Zudem verlangt er die Feststellung, dass die Beklagte für alle zukünftigen materiellen und immateriellen Schäden haftet, und fordert Unterlassung und Auskunft. Das Landgericht Heilbronn wies die Klage ab. Das Oberlandesgericht Stuttgart entschied jedoch, dass die Beklagte für zukünftige Schäden haftet, wies aber die restliche Berufung des Klägers zurück. Der Kläger verfolgt seine ursprünglichen Ansprüche weiter durch Revision.
• Verbraucher beklagt Kontrollverlust seiner Daten (Az.: VI ZR 7/24): In einem weiteren Verfahren fordert ein Verbraucher Ersatz für immaterielle Schäden, da Facebook mehrfach gegen die Datenschutz-Grundverordnung verstoßen und seine Daten nicht ausreichend geschützt habe. Er habe einen erheblichen Kontrollverlust über seine Daten erlitten und befinde sich in einem Zustand großen Unwohlseins und großer Sorge über den möglichen Missbrauch seiner Daten. Darüber hinaus verlangt er die Feststellung, dass die Beklagte verpflichtet ist, ihm in diesem Zusammenhang alle künftigen Schäden zu ersetzen, und macht weitere Unterlassungs- und Auskunftsansprüche geltend. Das Landgericht Köln hat die Klage abgewiesen. Das Oberlandesgericht Köln hat die Berufung des Klägers ebenfalls zurückgewiesen. Mit der vom Berufungsgericht zugelassenen Revision verfolgt der Kläger sein Klagebegehren weiter.

EuGH erleichtert bei Datenleck Klagen auf Schadensersatz

Eine einheitlich Rechtsprechung zum Thema Facebook-Datenleck gibt es also in Deutschland nicht. Der BGH muss hier Leitlinien für die unteren Instanzen vorlegen. Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken. Auch diese werden in die Entscheidungen zu den vorliegenden Verfahren einfließen.

• Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind.

• Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.
• Art. 82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
• Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.

Die Verbraucherkanzlei Dr. Stoll & Sauer empfiehlt daher Verbrauchern, die eventuell von einem Datenleck betroffen sind, eine kostenlose Erstberatung im Online-Check. Hier prüft die Kanzlei die mögliche Betroffenheit und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen. Die Kanzlei hat bereits im Fall eines Datenlecks bei Facebook vor Landgerichten Schadensersatzansprüche durchgesetzt.

Unbedingt Zugangsdaten und Passwörter regelmäßig wechseln

Das massenhafte Auftauchen von Datenlecks in den vergangenen Monaten zeigt, wie wichtig es ist, Passwörter regelmäßig zu ändern. Erst Anfang des Jahres ist „Mother of all Breaches“ (Mutter aller Datenlecks) aufgetaucht, offensichtlich ein Sammelsurium unzähliger Datenlecks mit 26 Milliarden Nutzerdateneinträgen von besonderer Relevanz. Die Notwendigkeit, Daten zu schützen und Zugangsinformationen häufig zu aktualisieren, zeigen die Ereignisse eindrucksvoll.

Falls Verbraucher das regelmäßige Aktualisieren der Passwörter bisher vernachlässigt haben, sollten sie diese Praxis unterlassen. Wichtig dabei ist, nicht in die Falle zu tappen und dasselbe Passwort für mehrere Konten zu nutzen. Das erhöht die Gefahr, dass bei einer Kompromittierung eines Passworts alle Ihre Konten betroffen sein könnten. Hier sind sieben Tipps für sichere Passwörter und Nutzerkonten, sodass Verbraucher bei einem Datenleck den Schaden minimieren können:

1. Wichtig ist ein vertrauenswürdiger Passwort-Manager, der bei den nachfolgenden Schritten hilft.
2. Für jedes Konto sollte ein eigenes Passwort erstellt und es regelmäßig geändert werden.
3. Das Passwort sollte zufällige Wörter oder Phrasen enthalten, die keinen direkten Bezug zum Verbraucher oder dessen persönlichen Interessen haben.
4. Die Zwei-Faktor-Authentifizierung wird empfohlen oder die Nutzung zusätzlicher Sicherheitsfeatures wie Fingerabdruck- oder Gesichtserkennung.
5. Passwörter sollten nicht im Browser gespeichert werden.
6. Verbrauchern wird empfohlen sich auf Webseiten wie ‘Have I Been Pwned’ zu registrieren, um zu überprüfen, ob E-Mail-Adresse von Datenlecks betroffen ist. Falls ja, schnell das Passwort ändern.
7. Unterschiedliche E-Mail-Adressen für öffentliche Websites und wichtige Konten wie E-Mail, Bankgeschäfte und soziale Medien machen Cyberkriminellen das Leben schwer.

Passwörter sind ein wesentlicher Bestandteil unserer digitalen Identität. Durch sorgsamen Umgang mit ihnen können wir uns vor Cyberkriminalität schützen. Mit diesen einfachen Schritten wird die Online-Präsenz der Verbraucher sicher.

Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien

Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien im Verbraucher- und Anlegerschutzrecht. Mit der Expertise von 27 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank- und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits-, IT-, Versicherungs- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830-Millionen-Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterfeststellungsklage gegen die Mercedes-Benz Group AG. Im JUVE-Handbuch 2019/2020 wird die Kanzlei für ihre Kompetenz beim Management von Massenverfahren als marktprägend erwähnt.