Facebook-Datenskandal – Sind auch Sie betroffen?

1. Was ist beim Datenskandal von Facebook passiert?

Im Jahr 2019 tauchten in einem Forum für Hacker-Aktivitäten die Telefonnummern von etwa 420 Millionen Facebook-Nutzern auf. In den vergangenen Jahren wuchs diese Datenmenge auf insgesamt 533 Millionen User-Identitäten an. Etwa 6 Millionen Nutzer aus

Deutschland sollen betroffen sein. In den Foren sind die vollständigen Nutzernamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und Beziehungsstatus der betroffenen Personen zu finden.

So wurden die Daten geklaut

Die Betrüger habe auf eine Masche namens Scraping zurückgegriffen. Hierbei werden eigentlich nicht öffentliche Daten über einen Zufallsgenerator gesammelt. In die Freundesuche auf Facebook werden zufällig generierte Handynummern eingegeben und jeder Treffer wird gespeichert. So konnten vermeintlich unveröffentlichte Nutzerdaten über die Handynummern den Profilen zugeordnet werden und die Täter Geburtsdatum, Handynummer, Nutzername und Beziehungsstatus auslesen.

2. Was droht Facebook-Nutzern durch den Datenskandal nun?

Für betroffene Facebook-Mitglieder bedeutet der Datenleak ein großes Risiko, Opfer einer Betrugsmasche zu werden. Seit Veröffentlichung der Daten ist das Aufkommen von Spam-Nachrichten deutlich angestiegen. Verbraucher erhalten vermeintlich Mails von bekannten Firmen oder Banken. In diesen wird häufig zu einer Passwortänderung oder einer anderen Aktion aufgerufen. Wird der enthaltene Link aufgerufen, landet man auf einer Malware-Seite.

Besonders häufig werden aktuell sogenannte Smishing-SMS verschickt. Diese enthält eine gefälschte Paketbenachrichtigung. Auch hier darf der Link nicht aufgerufen werden. Zwar sehen solche Mails oder SMS bei genauerer Betrachtung unglaubwürdig aus, jedoch fallen Verbraucherinnen und Verbraucher zunehmend auf solche Maschen rein, je mehr konkrete Informationen von ihnen enthalten sind.

3. Kann Facebook für den Datenskandal haftbar gemacht werden?

Seit Inkrafttreten der DSGVO wurden Unternehmen, die mit sensiblen Nutzerdaten arbeiten, schon mehrmals abgestraft. Auch Facebook musste bereits eine Strafe in Höhe von 7 Millionen Euro zahlen, weil in ihren Datenschutzbestimmungen nicht ausreichend erklärt wurde, wie Facebook die Daten ihrer User intern verwendet. Facebook hat also eine Verantwortung, den Datenschutz ihrer Nutzer zu wahren.

Jedoch ist die Situation im Falle eines Hacker-Angriffs eine andere. Denn hier kam die Einwirkung von extern, sodass Facebook direkt nichts damit zu tun hat. Facebook ist nach einem solchen Leak dazu verpflichtet, umgehend die zuständigen Datenschutzaufsichtsbehörden zu informieren. Geschieht dies nicht, droht dem Datenverarbeiter ein Bußgeld. Jedoch kann die Meldung einer Datenpanne auch ausgelassen werden, wenn das Unternehmen sofort Maßnahmen ergreift, um Daten künftig besser zu schützen. Genau damit redet sich Facebook aus den aktuellen Veröffentlichungen heraus, weil bereits 2019 - nach dem ersten großen Leak - nachgebessert wurde.

Grundsätzlich muss Facebook auch seine Nutzer darüber informieren, wenn ihre vertraulichen Daten veröffentlicht wurden. Dies ist laut Art. 34 DSGVO nur notwendig, wenn „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ bestehen. Ob diese Bedingung bei diesem Datenleak erfüllt ist, muss nun geprüft werden.

4. Was können Facebook-Nutzer tun?

In erster Linie haben nach Art.15 DSGVO alle User von Facebook ein Recht auf Auskunft, ob auch ihre privaten Informationen von dem Datenleak betroffen sind. Reagiert Facebook gar nicht oder nur unzureichend auf diese Anfrage, kann auf Grundlage von Art. 82 DSGVO daraus bereits ein Schadenersatzanspruch resultieren. Facebook könnte – je nach Auslegung – auch noch andere Pflichtverletzungen vorgeworfen werden.

Die Chancen für betroffene Facebook-Nutzer stehen aktuell vor deutschen Gerichten gut. In den vergangenen Jahren wurden zunehmend verbraucherfreundliche Urteile bei DSGVO-Verstößen gefällt. Schadensersatzansprüche in vierstelliger Höhe sind bei solchen Verfahren keine Seltenheit. Richter wählen häufig hohe Schadensersatzsummen, um eine abschreckende Wirkung für Datenverarbeiter zu erzeugen.