Der Bundesgerichtshof (BGH) hat ein wegweisendes Urteil gefällt: Facebook-Mitglieder können immateriellen Schadenersatz fordern, wenn ihre persönlichen Daten ohne ihre Zustimmung gesammelt und veröffentlicht werden. Dies gilt auch, wenn die Daten nicht direkt für kriminelle Zwecke missbraucht wurden, sondern allein der Kontrollverlust über die eigenen Informationen eingetreten ist. Das Urteil stärkt die Rechte von Nutzern im digitalen Raum erheblich und betrifft potenziell Millionen von Menschen.
Wichtige Erkenntnisse
- Der BGH hat entschieden, dass der bloße Kontrollverlust über persönliche Daten einen Anspruch auf immateriellen Schadenersatz begründet.
- Dies ist relevant für Fälle wie das Facebook-Datenleck von 2021, bei dem Millionen von Telefonnummern und anderen Informationen veröffentlicht wurden.
- Apps können auch ohne Sicherheitslücken persönliche Daten von Facebook-Profilen abgreifen, oft unbemerkt von den Nutzern.
- Nutzer sollten regelmäßig die Zugriffsrechte ihrer Apps überprüfen und starke, einzigartige Passwörter verwenden.
- Verbraucherzentralen bieten Unterstützung bei Sammelklagen gegen Facebook.
Datenlecks bei Facebook: Ein wiederkehrendes Problem
Im Frühjahr 2021 erschütterte eine Nachricht die digitale Welt: Persönliche Daten von über 530 Millionen Facebook-Mitgliedern wurden im Internet veröffentlicht. Darunter befanden sich auch Informationen von rund sechs Millionen Menschen aus Deutschland. Die betroffenen Daten, darunter Handynummern, wurden offenbar über eine Sicherheitslücke erbeutet, die Facebook nach eigenen Angaben bereits im August 2019 geschlossen hatte. Diese Praxis, bekannt als „Scraping“, ermöglicht es, öffentlich zugängliche Informationen mit weiteren personenbezogenen Daten zu verknüpfen und so umfassende Profile zu erstellen.
Facebook bot bis Mitte 2025 ein Kontaktformular an, um Betroffenen die Prüfung zu ermöglichen. Als Antwort verwies Facebook auf die Webseite haveibeenpwned.com. Dort können Nutzer ihre E-Mail-Adresse oder Telefonnummer im internationalen Format eingeben, um zu prüfen, ob ihre Daten Teil eines bekannten Lecks sind. Diese Möglichkeit bleibt weiterhin bestehen und ist ein wichtiger erster Schritt für alle, die sich unsicher sind.
„Das Urteil des BGH ist ein klares Signal an Tech-Giganten, dass der Schutz persönlicher Daten nicht verhandelbar ist. Der bloße Kontrollverlust über die eigenen Informationen kann erhebliche Konsequenzen haben und muss entschädigt werden.“
Faktencheck: Das Facebook-Datenleck 2021
- Betroffene Nutzer weltweit: Über 530 Millionen
- Betroffene Nutzer in Deutschland: Rund 6 Millionen
- Art der Daten: Hauptsächlich Telefonnummern, aber auch weitere Profilinformationen
- Ursache: Ausnutzung einer im August 2019 geschlossenen Sicherheitslücke
- Methode: Daten-Scraping
Das BGH-Urteil: Anspruch auf Schadenersatz
Der Bundesgerichtshof hat im November 2024 eine grundlegende Entscheidung getroffen (Az. VI ZR 10/24). Das Gericht stellte klar, dass Facebook-Mitglieder einen Anspruch auf immateriellen Schadenersatz haben, wenn ihre Daten unrechtmäßig gesammelt und veröffentlicht wurden. Entscheidend ist dabei nicht, ob die Daten tatsächlich für kriminelle Zwecke, wie Phishing-Angriffe oder Betrugsversuche, genutzt wurden. Es reicht aus, dass Dritte die Kontrolle über die Daten erlangt haben und diese außerhalb von Facebook kursieren.
Diese Entscheidung ist ein Meilenstein für den Datenschutz in Deutschland. Sie stärkt die Position der Verbraucher erheblich und schafft eine klare Rechtsgrundlage für Entschädigungsansprüche. Betroffene können sich beispielsweise der Sammelklage des Verbraucherzentrale Bundesverbands (vzbv) kostenlos anschließen, um ihre Ansprüche geltend zu machen. Dies vereinfacht den Prozess erheblich und reduziert den individuellen Aufwand.
Immaterieller Schadenersatz
Immaterieller Schadenersatz, oft auch als Schmerzensgeld bezeichnet, wird für Schäden gewährt, die nicht direkt finanzieller Natur sind. Im Kontext von Datenlecks kann dies den Verlust der Kontrolle über persönliche Daten, die Sorge vor Missbrauch oder die psychische Belastung umfassen, die durch die Veröffentlichung sensibler Informationen entsteht. Das BGH-Urteil bestätigt, dass dieser Kontrollverlust als eigenständiger Schaden anzusehen ist.
Gefahr durch Apps: Datenabgriff ohne Sicherheitslücke
Nicht nur Sicherheitslücken stellen eine Bedrohung dar. Auch scheinbar harmlose Apps können persönliche Daten von Facebook-Nutzern sammeln. Dabei handelt es sich um Anwendungen, die man direkt über Facebook nutzen oder mit seinem Facebook-Konto verknüpfen kann. Ein prominentes Beispiel war der Skandal um Cambridge Analytica im März 2018. Die britische Analysefirma soll über eine Facebook-Anwendung persönliche Daten von 87 Millionen Mitgliedern gesammelt und für politische Wahlwerbung missbraucht haben. Allein in Deutschland waren schätzungsweise 310.000 Facebook-Nutzer betroffen, ohne davon zu wissen.
Solche Vorfälle sind keine Einzelfälle. Im September 2018 konnten Entwickler aufgrund einer Panne auf Fotos von rund 7 Millionen Facebook-Mitgliedern zugreifen, selbst wenn diese nicht öffentlich geteilt wurden. Im Dezember 2019 wurden persönliche Daten von weiteren 267 Millionen Facebook-Nutzern offen im Internet zugänglich. Auch hier wird vermutet, dass Apps eine Rolle beim unbemerkten Datensammeln spielten.
Zugriffsrechte von Apps überprüfen
Facebook bietet eine spezielle Seite im Hilfebereich an, über die Nutzer prüfen können, ob sie Anwendungen verwendet haben, die unerlaubt Daten gesammelt haben. Facebook sperrt solche auffälligen Apps nach eigenen Angaben. Ursprünglich diente die Seite dazu, die Nutzung der App „This Is Your Digital Life“ zu überprüfen, die von Cambridge Analytica genutzt wurde. Inzwischen ist die Seite umfassender gestaltet und prüft weitere blockierte Anwendungen.
Ein direkter Link führt zu den umfangreichen Einstellungen, wo Nutzer die Zugriffsrechte für Apps und Internetseiten verwalten können. Es ist wichtig zu verstehen, dass es sich hierbei nicht um die Facebook-eigenen Apps für Smartphones handelt, sondern um Drittanbieter-Programme, die Facebook als Plattform nutzen. Auch der bequeme „Login mit Facebook“ auf anderen Webseiten läuft oft über solche Apps und gewährt ihnen bestimmte Zugriffsrechte. Nutzer sollten diese Einstellungen regelmäßig überprüfen und nicht benötigte Zugriffe widerrufen.
So prüfen Sie App-Zugriffe bei Facebook
Besuchen Sie die Facebook-Hilfeseite für gesperrte Apps, um zu sehen, ob Sie oder Ihre Freunde betroffene Anwendungen genutzt haben. Navigieren Sie anschließend zu den Einstellungen unter „Apps und Webseiten“, um alle Anwendungen zu überprüfen, die Zugriff auf Ihr Profil haben. Entfernen Sie alle Apps, die Sie nicht mehr nutzen oder denen Sie keine Zugriffsrechte mehr gewähren möchten.
Umgang mit Datenlecks: Was tun bei Betroffenheit?
Selbst wenn Facebook keine blockierte App anzeigt, können Ihre Daten im Internet missbraucht werden. Dies gilt insbesondere für Login-Daten wie Benutzernamen und Passwörter für verschiedene Online-Dienste. Es gibt unabhängige Dienste, die helfen können, dies zu überprüfen.
Der HPI Identity Leak Checker der Universität Potsdam und der Identity Leak Checker der Universität Bonn sind empfehlenswerte Tools. Dort können Sie Ihre E-Mail-Adresse eingeben und erhalten eine Benachrichtigung, falls Ihre Adresse und weitere Daten in bekannten dubiosen Datenbanken gefunden wurden. Auch moderne Browser wie Apple Safari, Mozilla Firefox und Google Chrome bieten inzwischen Funktionen, die Nutzer über veröffentlichte Passwörter informieren.
Handlungsempfehlungen bei Datenlecks
- Passwort ändern: Ändern Sie sofort das Passwort für das betroffene Internetangebot. Verwenden Sie ein starkes, einzigartiges Passwort für jeden Account.
- Skeptisch sein: Seien Sie besonders vorsichtig bei E-Mails und SMS unbekannter Herkunft. Phishing-Angriffe nutzen oft geleakte Daten. Öffnen Sie niemals Links oder Anhänge in verdächtigen Nachrichten.
- E-Mail-Adresse und Handynummer ändern: Wenn möglich, ändern Sie Ihre E-Mail-Adresse und Handynummer. Es ist ratsam, mehrere E-Mail-Adressen für verschiedene Zwecke zu nutzen (z.B. eine für soziale Netzwerke, eine für private Kontakte, eine für Verträge).
Der Schutz der eigenen Daten erfordert kontinuierliche Wachsamkeit. Regelmäßige Überprüfungen und proaktives Handeln sind entscheidend, um die Risiken von Datenlecks und dem Missbrauch persönlicher Informationen zu minimieren. Das BGH-Urteil unterstreicht die Bedeutung dieser Bemühungen und bietet eine neue Grundlage für den Schutz der Verbraucherrechte.
