Betroffen vom Facebook-Datenleck? Wir prüfen es!

Ratgeber Facebook-Datenleck: Das müssen Sie wissen!

(Lesezeit ca. 7 Minuten)

Sind Sie unsicher, ob Sie vom Facebook-Datenleck (Facebook-Datenleak) betroffen sind und welche Ansprüche Sie geltend machen können? Dieser Ratgeber soll die bisherigen Geschehnisse zusammenfassen, die Folgen des BGH-Urteils aufzeigen und Unklarheiten beseitigen. 

Inhaltsverzeichnis

1. Was ist passiert?
2. Warum ist ein Datenleck problematisch?
3. Was ist ein Datenleck?
4. Das Facebook-Datenleck im Detail: Was wurde geleakt?
5. Gefahren und Risiken für Betroffene
6. Wie finde ich heraus, ob ich betroffen bin?
7. Sie sind betroffen? - Das sind Ihre rechtlichen Möglichkeiten!
8. Wie hoch kann der Schadensersatz ausfallen?
9. Welche Voraussetzungen müssen gegeben sein, um Schadensersatzzahlungen über 100 Euro zu erhalten?
10. Prävention für die Zukunft
11. Fazit

Was ist passiert? 

Längst ist das digitale Zeitalter eingetreten und persönliche Daten zu einer wertvollen Ressource geworden. Online-Plattformen wie Facebook sind im Besitz Millionen solcher Daten, sodass ein Datenleck gravierende Folgen hat. Facebook selbst erkannte die Sicherheitslücke bereits 2019. Damals wurde diese von Angreifern ausgenutzt, welche durch die sogenannte Scraping-Methode automatisiert an eine sehr große Menge Daten gelangten. Bekannt wurde dieser Vorfall allerdings erst 2 Jahre später. 2021 kam heraus, dass über eine halbe Milliarde Menschen weltweit betroffen sind. Zwar schloss Facebook die Sicherheitslücke bereits 2019, aufgrund der mangelnden Kommunikation erntete der Konzern jedoch viel Kritik. Welche Auswirkungen das Urteil des BGH vom 18.11.2014 hat, wie Sie erkennen können, ob sie vom Leak betroffen sind und welche Ansprüche Sie gegenüber Facebook geltend machen können, soll im folgenden Ratgeber geklärt werden. Entscheidend ist dabei auch die Einhaltung der Frist zum 31.12.2024. Danach verjähren die meisten Ansprüche.

Warum ist ein Datenleck problematisch?

Bei den Daten, welche gestohlen wurden, handelt es sich um höchstpersönliche Nutzerdaten. Diese sind besonders wertvoll für Kriminelle, da sie für Identitätsdiebstahl, Phishing-Angriffe und gezielte Betrugsmaschen genutzt werden können. Betroffene Nutzer haben kaum eine Möglichkeit, sich im Nachhinein zu schützen, da einmal veröffentlichte Daten nicht zurückgerufen werden können.

Was ist ein Datenleck?

Ein Datenleck (Datenleak) bezeichnet die ungewollte Offenlegung oder den unautorisierten Zugriff auf vertrauliche Informationen. Dies kann durch Schwachstellen in IT-Systemen, menschliches Versagen oder gezielte Angriffe wie Hacking geschehen. Bei einem Datenleck gelangen personenbezogene Daten wie Namen, E-Mail-Adressen, Telefonnummern, Passwörter oder sogar Zahlungsinformationen in die Hände Dritter. Solche Informationen werden oft im Darknet gehandelt oder für kriminelle Zwecke wie Identitätsdiebstahl und Betrug verwendet.

Datenlecks entstehen häufig durch  technische Sicherheitslücken, etwa in schlecht konfigurierten Servern oder Software. Auch menschliches Versagen wie der Versand sensibler Informationen an falsche Empfänger, oder Cyberangriffe bei denen Hacker Sicherheitsvorkehrungen umgehen, spielen eine Rolle. Ein weiteres Problem sind Scraping-Techniken, bei denen öffentlich zugängliche Informationen systematisch gesammelt werden.

Bereits in der Vergangenheit gab es einige Fälle von Datenlecks. So waren im Jahr 2013 beispielsweise 1 Milliarde Nutzer von Yahoo betroffen. Geklaut wurden damals unter anderem Passwörter. Im selben Jahr waren auch 38 Millionen Kunden von Adobe betroffen. Auch hier wurden Passwörter und andere sensible Daten geleakt. 

Jetzt Schadensersatz einfordern

Das Facebook-Datenleck im Detail: Was wurde geleakt?

Beim Facebooke-Datenleck wurden sensible Informationen von etwa 533 Millionen Nutzern weltweit offengelegt, wozu auch etwa 6 Millionen Deutsche zählen. Die Kombination dieser Daten sorgt für eine besonders hohe Gefährdung, da Cyberkriminelle diese für einen Diebstahl Ihrer Identität oder anderen, gezielten Betrugsmaschen verwenden können. Zu den betroffenen Daten gehören: 

• Namen der Nutzer
• Telefonnummern, die besonders wertvoll für Betrüger und Hacker sind
• E-Mail-Adressen, die für Phishing-Kampagnen genutzt werden können
• Geburtsdaten, die häufig als Sicherheitsfragen verwendet werden
• Standorte, die anhand von Profilangaben oder IP-Adressen extrahiert werden
• Beziehungsstatus, berufliche Angaben oder andere Profildetails

Gefahren und Risiken für Betroffene

Der Facebook-Datenleak birgt erhebliche Gefahren für die Privatsphäre und Sicherheit der betroffenen Nutzer. Die veröffentlichten Daten können auf vielfältige Weise missbraucht werden, wodurch erhebliche finanzielle, emotionale und rechtliche Schäden entstehen können.

5.1 Identitätsdiebstahl und Betrug

Die Kombination aus Namen, Telefonnummern und weiteren persönlichen Daten eröffnet Angreifern zahlreiche Möglichkeiten für Identitätsdiebstahl. Sie können falsche Konten oder Profile erstellen, Kredite beantragen oder Einkäufe tätigen, die auf den Namen der betroffenen Personen laufen. Besonders problematisch ist, dass auch Geburtsdaten im Leak enthalten sind, die häufig als Sicherheitsmerkmale bei der Identitätsverifizierung verwendet werden.

5.2 Phishing und Spam

Mit den geleakten E-Mail-Adressen und Telefonnummern können Kriminelle gezielte Phishing-Kampagnen starten. Nutzer könnten etwa E-Mails oder SMS erhalten, die vermeintlich von vertrauenswürdigen Quellen wie Banken, Behörden oder sogar Facebook stammen. Ziel solcher Nachrichten ist es, sensible Informationen wie Passwörter oder Kreditkartendaten zu stehlen. Zudem können Betroffene einer Flut von Spam-Nachrichten ausgesetzt werden, da die veröffentlichten Daten oft an Drittanbieter weiterverkauft werden.

5.3 Langfristige Auswirkungen

Der Facebook-Datenleak hat nicht nur unmittelbare Folgen, sondern auch langfristige Auswirkungen. Einmal veröffentlichte Daten können nicht zurückgenommen werden. Selbst Jahre später könnten die Informationen für neue Betrugsmaschen genutzt werden. Der Vorfall verdeutlicht also, wie wichtig es ist, persönliche Daten besser zu schützen – sowohl durch Nutzer selbst als auch durch die Plattformen, die sie verwalten.

Wie finde ich heraus, ob ich betroffen bin?

Im ersten Schritt sollten Sie überprüfen, ob Sie überhaupt vom Facebook-Datenleck betroffen sind. Dies funktioniert ganz einfach über yourxpert. Sie müssen lediglich Ihre E-Mail-Adresse eingeben und erhalten von uns umgehend eine Rückmeldung, ob Sie betroffen sind. Sie sind nicht betroffen? – Sehr schön, dann erhalten Sie von uns einen Gutschein in Höhe von 5 € und können und gegebenenfalls bei anderen rechtlichen oder steuerlichen Angelegenheiten zu Rate ziehen. Wenn Sie jedoch betroffen sind, können Sie einen unserer Fachanwälte*innen kontaktieren. Diese können einschätzen, welche Ansprüche Sie geltend machen können, wie hoch Ihre Erfolgschancen sind und unterrichten Sie über das weitere Vorgehen. Im Rahmen dieser kostenlosen Ersteinschätzung können Sie anschließend entscheiden, wie sie weiter vorgehen möchten.

Jetzt Schadensersatz einfordern

Sie sind betroffen? - Das sind Ihre rechtlichen Möglichkeiten!

Das Urteil des BGH ist grundsätzlich sehr verbraucherfreundlich ausgefallen. Die Hürden, um eine Schadensersatzzahlung zu erhalten sind daher vergleichsweise gering. Sie benötigen lediglich den Nachweis, dass Sie Opfer des Facebook-Datenlecks sind. Es genügt daher bereits, wenn Sie auf unserer Website Ihre E-Mail-Adresse eingeben und von uns prüfen lassen, ob Sie betroffen sind. Ein Beweis, dass Ihre Daten tatsächlich missbraucht wurden, ist nicht notwendig. Um den Worten des BGH zu folgen, geht es um den bloßen Kontrollverlust der Daten.

Wie hoch kann der Schadensersatz ausfallen?

Die Entscheidung des BGH ist vor allem deshalb von Bedeutung, da seit Bekanntwerden des Datenlecks bereits eine Vielzahl von Klagen angestrebt wurden, welche von den jeweiligen Gerichten jedoch oftmals abgewiesen wurden. Sie sahen keinen immateriellen Schaden durch den bloßen Kontrollverlust der Daten. Durch das Urteil vom BGH hat sich dies jedoch grundlegend geändert. Er gesteht allen Betroffenen einen Schadensersatz in Höhe von 100 Euro zu. Dies sorgt nun endlich für Klarheit und Rechtssicherheit. Der Schadensersatz von 100 Euro stellt jedoch nur die Untergrenze dar. So konnten einige Betroffene in der Vergangenheit bereits Ansprüche in Höhe von bis zu 1.000 Euro geltend machen.

8.1 LG Trier Urteil vom 17.03.2023

Das Landgericht Chemnitz entschied, dass die Beklagte gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hat, indem sie unzureichende Sicherheitsmaßnahmen für personenbezogene Daten ergriff. Der Verstoß führte zu immateriellen Schäden, wofür der Kläger 500 Euro Schadensersatz erhielt. Der Gerichtshof stellte fest, dass der Schaden durch die unzureichende Datensicherheit ursächlich war und Facebook fahrlässig handelte. Zudem wurde ein Feststellungsantrag zugunsten des Klägers bezüglich möglicher zukünftiger Schäden anerkannt. Der Kläger erhielt auch eine teilweise Erstattung der außergerichtlichen Rechtsanwaltskosten in Höhe von 90,96 Euro.

8.2 LG Stuttgart Urteil vom 28.02.2023

Das Landgericht Stuttgart entschied in diesem Fall, dass der Kläger Anspruch auf 1.000 Euro immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO hat. Durch den Scraping-Vorfall bei Facebook wurden seine personenbezogenen Daten, darunter seine Mobilfunknummer, ohne seine Zustimmung im Darknet zugänglich gemacht. Zudem hatte Facebook mehrere Verstöße gegen die DSGVO begangen, darunter unzureichende Belehrung des Klägers über die Datenverarbeitung sowie ungenügende Sicherheitsmaßnahmen. Der Kläger erlitt einen erheblichen Schaden, da seine Mobilfunknummer mit anderen öffentlich zugänglichen Daten in Verbindung gebracht wurde, was zu einem Verlust der Kontrolle über seine Daten führte. Auch künftige Beeinträchtigungen, wie Spam-Nachrichten, wurden als Folge des Vorfalls anerkannt.

8.3 LG Ravensburg Urteil vom 13.06.2023

In diesem Urteil wurde dem Kläger ebenfalls ein Anspruch auf immateriellen Schadensersatz in Höhe von 1.000 EUR gewährt. Facebook hat den Kläger durch unzureichenden Schutz seiner personenbezogenen Daten einem Scraping-Angriff ausgesetzt. Zudem wurde es versäumt, geeignete Sicherheitsmaßnahmen wie „Sicherheitscaptchas“ zu implementieren, um maschinelles Abfragen von Daten zu verhindern. Auch wurde der Datenschutzvorfall nicht innerhalb von 72 Stunden bei der Aufsichtsbehörde gemeldet und der Kläger nicht informiert. Dadurch wurden seine Daten unbefugt im Internet veröffentlicht. Diese Datenschutzverstöße führten zu einem erheblichen Schaden, der eine Entschädigung rechtfertigt. Der Kläger hat ein berechtigtes Interesse an der frühzeitigen Information über den Vorfall, was den Schaden zusätzlich verstärkt. Der Antrag auf weiteren Schadensersatz aufgrund unzureichender Auskunftserteilung wurde jedoch abgelehnt, da kein zusätzlicher immaterieller Schaden nachgewiesen wurde.

Welche Voraussetzungen müssen gegeben sein, um eine Schadensersatzzahlung von über 100 Euro zu erhalten?

Im Fall des Datenlecks bei Facebook können die Voraussetzungen für eine Schadensersatzzahlung über 100 Euro durch die Verletzung von Datenschutzbestimmungen nach der DSGVO gegeben sein. Wenn personenbezogene Daten durch Scraping unrechtmäßig erlangt und veröffentlicht werden, besteht ein Schaden, der konkret und kausal durch den Vorfall verursacht wird. Um eine Zahlung über 100 Euro zu erhalten, muss der Schaden erheblich sein, wie etwa der Verlust der Kontrolle über persönliche Daten, die Gefahr von Identitätsdiebstahl oder Missbrauch durch Dritte. Ebenso muss Facebook gegen Schutzpflichten und Informationspflichten verstoßen haben, etwa durch unzureichende Sicherheitsmaßnahmen oder fehlende Benachrichtigung über den Vorfall. Ein weiterer wichtiger Punkt ist, dass der Schaden nicht nur immateriell, sondern auch messbar und relevant für die betroffene Person ist. Die Wahrscheinlichkeit einen höheren Schadensersatz zu erlangen ist vor allen Dingen dann hoch, wenn Sie Beweise haben. Diese können beispielsweise darin bestehen, dass sie über längere Zeit Protokoll über anonyme Anrufe geführt haben oder Sie Spam-Mails in erhöhtem Umfang erreicht haben.

Jetzt Schadensersatz einfordern

Prävention für die Zukunft

10.1 Sicherheitsbewusstsein stärken

Der Schutz persönlicher Daten beginnt mit einer bewussten Nutzung sozialer Netzwerke. Nutzer sollten regelmäßig ihre Privatsphäre-Einstellungen überprüfen und nur die notwendigsten Informationen öffentlich sichtbar machen. Dazu gehört, die Sichtbarkeit von Telefonnummern, E-Mail-Adressen und Geburtstagen auf „nur ich“ oder „Freunde“ zu beschränken.
Vermeiden Sie es zudem, auf verdächtige Links zu klicken oder unbekannten Anfragen zu vertrauen. Ein bewusster Umgang mit persönlichen Informationen – etwa, welche Inhalte Sie posten – reduziert die Angriffsfläche für Datenlecks oder gezielte Betrugsmaschen.

10.2 Passwörter ändern

Falls Sie das gleiche Passwort auf mehreren Plattformen verwenden, sollten Sie dies umgehend ändern. Nutzen Sie dabei starke, einzigartige Passwörter, idealerweise in Kombination mit einem Passwortmanager.

10.3 Zwei-Faktor-Authentifizierung (2FA)

Aktivieren Sie 2FA bei Facebook und anderen Diensten. Dadurch wird ein zusätzlicher Sicherheitscode erforderlich, den Angreifer selbst mit geleakten Daten nicht umgehen können.

10.4 Datenmissbrauch überwachen

Bleiben Sie wachsam, um mögliche Folgen wie Identitätsdiebstahl frühzeitig zu erkennen. Beobachten Sie ungewöhnliche Aktivitäten, etwa unautorisierte Anmeldungen bei Diensten, unerwartete Abbuchungen oder Mahnungen. Sollten solche Vorfälle auftreten, melden Sie diese umgehend Ihrer Bank, Kreditkartenfirma oder den zuständigen Behörden. Je früher Sie reagieren, desto besser lassen sich potenzielle Schäden begrenzen.

Fazit

Das Facebook-Datenleck von 2019 verdeutlicht die weitreichenden Folgen eines unzureichenden Datenschutzes. Durch eine Sicherheitslücke wurden die Daten von über 500 Millionen Nutzern weltweit gefährdet. Besonders problematisch ist, dass Facebook die Schwachstelle zwar 2019 schloss, aber die betroffenen Nutzer erst Jahre später informiert wurden. Das Urteil des BGH stellt nun klar, dass Betroffene auch ohne direkten Nachweis von Missbrauchs Anspruch auf Schadensersatz haben. Dies stärkt die Rechte der Verbraucher und stellt sicher, dass Unternehmen für ihre Datenschutzpflichten zur Verantwortung gezogen werden können.

Zukünftig müssen sowohl Nutzer als auch Unternehmen ihre Verantwortung im Umgang mit persönlichen Daten ernst nehmen. Nutzer sollten verstärkt auf Datenschutzmaßnahmen achten, während Unternehmen ihre Sicherheitsstandards regelmäßig überprüfen müssen, um solche Vorfälle zu verhindern.

Jetzt Schadensersatz einfordern