Der Scraping Vorfall bei Facebook.

Durch Scraping haben Unbekannte im April 2021 massenhaft Nutzerdaten bei Facebook abgegriffen. Nun liegt es am Bundesgerichtshof zu entscheiden, ob der Mutterkonzern Meta dafür haften muss. Insgesamt gelangten die Täter an die personenbezogenen Daten, wie etwa Namen, Handynummer oder Wohnort, von 533 Mio. Nutzern aus 106 Ländern und veröffentlichten diese anschließend im Internet.

Was ist Scraping?

Scraping bedeutet auf Deutsch so viel wie „Schürfen“ und bezeichnet das systematische Sammeln und Speichern von Daten, beispielsweise von Internetseiten. Ein Beispiel für eine zulässige und legale Nutzung ist die Arbeit von Suchmaschinen. Werden jedoch automatisierte Prozesse eingesetzt, um ohne die Zustimmung von Facebook Daten auszulesen, verstößt dies gegen die Nutzungsbedingungen des Unternehmens.

Sicherheitslücke in der Facebook „Kontakt-Import“-Funktion

Der Hauptangriffspunkt für den Datendiebstahl war die „Kontakt-Import“-Funktion von Facebook, die es Nutzern ermöglicht, ihre Handykontakte in das soziale Netzwerk hochzuladen. Hacker missbrauchten diese Funktion, indem sie automatisierte Tools einsetzten, um in großem Umfang zufällige Telefonnummern in Facebook einzugeben, diese mit den entsprechenden Profilen zu verknüpfen und die Daten der betroffenen Nutzer. abzugreifen. Hierbei wurden mithilfe eines Hackerprogramms unzählige, zufällig generierte Handynummern (000000001; 000000002 usw.) in die „Kontak-Import“ Funktion von Facebook eingesetzt. Das funktionierte auch dann, wenn die Telefonnummer in den Privatsphäre-Einstellungen vom Facebook-Nutzer auf „nicht-öffentlich“ gestellt wurde. Sobald eine der zufällig generierten Nummern mit einem beliebigen Facebook-Profil übereinstimmte, konnten die Hacker die Handynummer mit den anderen öffentlich einsehbaren Informationen auf dem Profil (beispielsweise Name und E-Mail-Adresse und manchmal sogar der Arbeitgeber) verknüpfen. So wurden Datenbanken mit insgesamt 533 Mio. Betroffenen (darunter 6 Mio. allein in Deutschland) erstellt und anschließend im Darknet veröffentlicht.

Effiziente Entscheidungen und Rechtssicherheit durch Leitentscheidung

In Deutschland sind wegen des Lecks bereits dutzende Klagen anhängig. Eine dieser Klagen wurde am letzten Montag vom Bundesgerichtshof (BGH) verhandelt. Das höchste deutsche Zivilgericht hat den Fall als „Leitentscheidungsverfahren“ ausgewählt und klärt in diesem Rahmen grundsätzlich, ob Nutzer vom Facebook-Mutterkonzern Meta Schadensersatz fordern können.

Laut einer erst am 31.10.2024 in Kraft getretenen Regelung, kann der Bundesgerichtshof in einem Massenverfahren einen Fall zu einem Leitentscheidungsfall erklären, wenn der Fall für eine Vielzahl anderer Verfahren von Relevanz ist.  In diesem Leitentscheidungsfall werden die streitigen Rechtsfragen grundsätzlich geklärt. Diese neuartige Regelung soll die Justiz vor einer Flut an Einzelklagen, wie es etwa beim Dieselskandal der Fall war, bewahren und effizientere Entscheidungen in Massenverfahren ermöglichen.

Die Besonderheit besteht darin, dass der BGH die Grundsatzentscheidung auch dann treffen kann, wenn sich die Parteien zwischenzeitlich einigen. Im Zusammenhang mit dem Scraping-Skandal hat Meta bereits mit vielen Betroffenen Vergleiche erzielt – eine gängige Praxis von Unternehmen in Massenverfahren, um die Schaffung eines Präzedenzfalls zu vermeiden.

Bekommen die betroffenen Kunden Geld für den Verlust ihrer Daten?

Der Bundesgerichtshof hat sich bereits in der mündlichen Verhandlung zum Datenleck bei Facebook auf die Seite der Nutzer gestellt und erklärt: Der faktische Kontrollverlust von Meta über die personenbezogenen Daten stellt bereits einen Schaden nach der DSGVO dar. Laut BGH reicht der faktische Kontrollverlust über die personenbezogenen Daten aus, um einen Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO zu belegen.

Obwohl diese Rechtsfrage von Europäischen Gerichtshof bereits beantwortet wurde, gab es von mehreren deutschen Gerichten abweichende Entscheidungen. Diese forderten von den betroffenen Nutzern einen objektiven Nachweis darüber, dass sie unter Ängsten wegen eines möglichen Datenmissbrauchs leiden, um einen Anspruch auf Schadensersatz geltend zu machen. Der BGH stellt klar, dass nachgewiesene Ängste vor Datenmissbrauch den Schadensersatz zusätzlich erhöhen.

Die Leitentscheidung des Bundesgerichtshofs gibt neben den betroffenen Facebook-Nutzern auch allen anderen Opfern von DSGVO-Verletzungen in Zukunft Rechtssicherheit bei der Forderung nach immateriellem Schadensersatz.

Heutiges Urteil des BGH- Nur 100 Euro Schadensersatz!

Der Bundesgerichtshof in Karlsruhe verkündete heute sein Urteil im Leitentscheidungsfall zum Facebook-Datenleck:

Bereits der vorübergehende Verlust der Kontrolle über personenbezogene Daten kann laut Urteil einen Verstoß gegen die Datenschutz-Grundverordnung darstellen und Schadenersatzansprüche begründen. Betroffene müssen lediglich nachweisen, dass sie Opfer eines Datendiebstahls wurden, wie der Vorsitzende Richter Stephan Seiters bei der Urteilsverkündung in Karlsruhe erklärte. Ein Nachweis spürbarer negativer Folgen ist dabei jedoch nicht erforderlich. Ebenso muss nicht nachgewiesen werden, dass die unbefugt veröffentlichten Daten tatsächlich missbraucht wurden.

Die Landes- und Oberlandesgerichte müssen nun die konkreten Detailfragen klären, etwa ob tatsächlich ein Datenschutzverstoß vorlag. Der BGH deutete jedoch an, dass dies wahrscheinlich der Fall war, da Meta die Suchbarkeit der Daten standardmäßig auf „alle“ eingestellt hatte, was dem Grundsatz der Datenminimierung widerspricht, wie Vorsitzender Richter Seiters erklärte.

Die Gerichte müssen auch überprüfen, ob die Klägerinnen und Kläger wirksam in die Datenverarbeitung eingewilligt haben. Weitere zu prüfende Faktoren sind, welche Daten betroffen sind, wie sensibel diese Daten sind, sowie das Ausmaß und die Dauer des Kontrollverlusts. Auch die Frage, ob durch eine Änderung der Rufnummer die Kontrolle über die Daten wiedererlangt werden kann, ist von Bedeutung.

Wie viel Geld steht den Betroffenen jetzt zu?

Was den Schadenersatz betrifft, so betonte Seiters, dass dieser nur dem Ausgleich des erlittenen Schadens dient und keine abschreckende Funktion hat. Falls es nur um den bloßen Kontrollverlust über die Daten geht, hält der Senat Betrag von 100 Euro für angemessen.

Höhere Entschädigungen bei weitergehenden Nachweisen
Das Urteil geht noch einen Schritt weiter: Wenn Betroffene nachweisen können, dass sie durch den Datenverlust beispielsweise unter Ängsten oder anderen psychischen Belastungen gelitten haben, kann der Schadensersatz deutlich höher ausfallen. Der Europäische Gerichtshof (EuGH) hatte zuvor klargestellt, dass Datenverluste in ihrer Schwere mit körperlichen Verletzungen vergleichbar sein können. Diese Entscheidung des BGH folgt in dieser Hinsicht der Linie des EuGH.

Darüber hinaus wurden auch potenzielle zukünftige Schäden, wie der Missbrauch von Daten im Darknet – etwa für Phishing oder andere kriminelle Aktivitäten – vom Gericht berücksichtigt. In solchen Fällen könnte auch Facebook für den entstandenen Schaden haftbar gemacht werden.

Was bedeutet das für Betroffene?

Das Urteil bringt für betroffene Facebook-Nutzer Erleichterung, da es die Geltendmachung von Ansprüchen vereinfacht und möglicherweise ein Umdenken bei Unternehmen anstößt. Datenschutz wird zunehmend zum zentralen Thema, und der Druck auf Unternehmen wie Facebook wächst. Für Betroffene ist das Urteil eine Erleichterung, während es für Unternehmen einen Weckruf darstellt. Wer betroffen ist sollte sich beeilen auf Schadensersatz zu Klagen, da mit Ablauf diesen Jahres Verjährung droht.

Zum Newsletter anmelden

und immer aktuell im Datenschutz informiert.