Mehr als 500 Millionen Facebook-Nutzer waren im Frühjahr 2021 von einem Daten-Leck im Meta-Konzern betroffen. Während bei vielen Unternehmen bereits Existenzängste kursieren, sobald einzelne E-Mails verlorengehen, konnte man beim Social-Media-Dienst nur wenig Panik vernehmen.
Der Abfluss der personenbezogenen Daten (Namen, Adressen, Geburtstage, Telefonnummern) in Richtung eines Hacker-Forums hat jedoch durchaus Konsequenzen. Neben einem Bußgeld von immerhin 265 Millionen Euro mehren sich erfolgreiche Klagen gegen Facebook wegen unzureichender Sicherheitsmaßnahmen und fehlender Rechtsgrundlagen.
Wir beleuchten die Sach- und Rechtslage für Sie und ermöglichen Ihnen die Einschätzung Ihrer ganz persönlichen Erfolgsaussichten einer Klage. Für Unternehmen ziehen wir die Schlüsse aus der aktuellen Spruchpraxis.
Datenabfluss bei Facebook
Im Jahr 2021 kam es auf der Social-Media-Plattform Facebook zu einem Datenleck. Hacker hatten eine nicht vollständig gesicherte Facebook-Funktion ausgenutzt, um an Daten von Millionen von Nutzern zu gelangen. Hierbei handelte es sich wohl um Daten aus der Zeit vor August 2019.
Die Daten wurden verwendet, um mit den gestohlenen Identitäten Nachrichten zu versenden. Adressaten wurden dann aufgefordert, einen Link anzuklicken, der zur Installation von Schadsoftware führte. Auch hierüber wurden massenweise Daten abgegriffen.
Ob auch Ihre persönlichen Daten missbraucht wurden, lässt sich wohl über die Website „haveibeenpwned.com“ feststellen. Bezüglich der Richtigkeit und Vollständigkeit dieses Fremdservices können wir natürlich keine Aussage treffen. Er liefert jedoch interessante Informationen über die eigenen Daten.
Datenschutzrechtliche Beurteilung
Personenbezogene Daten, also solche Informationen, die einen unmittelbaren oder mittelbaren Rückschluss auf eine Person liefern, sind insbesondere über die Regelungen der Datenschutzgrundverordnung (DSGVO) geschützt. Neben einem generellen Schutzbedürfnis, das Art. 1 DSGVO festschreibt, existieren spezielle Regelungen, die Schutzgebote (Art. 5), Rechtmäßigkeitsvorgaben (Art. 6) oder erforderliche Sicherheitsmaßnahmen (Art. 32) vorschreiben.
Auch wenn man dem Meta-Konzern nur Fahrlässigkeit im Umgang mit den Nutzerdaten zur Last legt, führen Verstöße gegen diese Maßgaben zu einem Schadensersatzanspruch des betroffenen Nutzers nach Art. 82 DSGVO.
Klagen gegen Meta
Diese Schadensersatzforderungen wurden zuletzt in größerem Umfang geltend gemacht. Da in aller Regel kein außergerichtliches Einlenken des Konzerns stattfand, musste geklagt werden. Häufig waren diese Klagen erfolgreich, da der Datenabfluss recht eindeutig nachzuweisen war und sich Facebook nicht aus einer Einstandspflicht befreien konnte.
Die Bemessung des Schadens des Betroffenen, insbesondere des immateriellen Anteils, wurde von den Gerichten jedoch recht unterschiedlich vorgenommen. Hintergrund ist, dass eine solche Schadensberechnung auf Grundlage der richterlichen Schätzung erfolgt. Immerhin Beträge zwischen 300 und 1.000 € (z. B. LG Stuttgart, Beschluss vom 28.02.2023, Az. 3 O 220/22) wurden den Betroffenen zugesprochen. Hinzu kamen noch erstattungsfähige gesetzliche Anwaltsgebühren.
Entsprechend sind der Aufwand der Durchsetzung solcher Forderungen mit dem Umfang des Datenabflusses und dem wirklichen, eigenen Interesse an der Rechtsdurchsetzung abzuwägen. Eine Löschung der im Fremdzugriff befindlichen Daten wird über diesen Weg nämlich nicht mehr zu erreichen sein, wohl aber etwas Genugtuung gegenüber dem Meta-Konzern.
Prävention
Vorsorge bleibt auch bei personenbezogenen Daten besser als Nachsorge. Wer Daten (freiwillig) veröffentlicht, setzt sich einem gewissen Risiko des Missbrauchs aus. Je weniger Daten preisgegeben werden, desto geringer ist entsprechend die Eintrittswahrscheinlichkeit eines Datenmissbrauchs zu eigenen Lasten, aber auch die Partizipation an neuen Medien. Inwieweit eine echte Datenminimierung heutzutage durchgehalten werden kann, ist Typfrage. Immerhin hält der – für die DSGVO vielgescholtene – Gesetzgeber Mittel bereit, die Sicherheitslücken für Unternehmen kostspielig machen.
Im Umkehrschluss sollten Sie sich als Unternehmen stets die Frage stellen, ob die aktuell eingesetzte Technik ausreichende Sicherheit für Kunden- und Mitarbeiterdaten bietet. Denn auch außerhalb von Social-Media-Plattformen sind ähnliche Datenabflüsse denkbar. Da ein gewisses Risiko nie vollständig auszuschließen ist, sind Investitionen in Sicherheitsmaßnahmen nach dem Stand der Technik unvermeidlich. Dies bringt der Einsatz von IT-Technik eben mit sich.
Fazit
Prüfen Sie für sich, ob Ihnen die Durchsetzung von Forderungen gegen den Meta-Konzern Genugtuung beschert. Zumindest aber sollten Sie sorgsam überdenken, ob die Preisgabe von personenbezogenen Daten stets erforderlich ist.
Als Unternehmer müssen Sie Maßnahmen treffen, die die Sicherheit der personenbezogenen Daten in Ihrem Unternehmen gewährleisten um Schadensersatzansprüche und Bußgelder zu vermeiden.
