Im Frühjahr 2021 wurde bekannt: Hacker hatten sensible Daten von mehr als 530 Millionen Facebook-Profilen erbeutet und veröffentlicht. Darunter sollen auch Profile von rund sechs Millionen Menschen aus Deutschland sein. Nachdem die irische Datenschutzbehörde Data Protection Comissioner (DPC) den Facebook-Mutterkonzern Meta dafür abstrafte, zogen auch in Deutschland Betroffene des Datenlecks gegen Meta vor Gericht. Die Bremer Kanzlei Rightmart betreut zum Jahresanfang 2023 rund 300 Betroffene deutschlandweit in Verfahren gegen Meta. Jan Frederik Strasmann, Rechtsanwalt und Managing Partner von Rightmart, erklärt, was Betroffene wissen sollten.
Was genau ist passiert?
Hacker nutzen 2019 die Facebook-Funktion "Freunde finden", um Daten von Nutzern abzugreifen. Diese Funktion ermöglicht Facebook, auf das Adressbuch im Smartphone des Nutzers zuzugreifen und die darin enthaltenen Handynummern mit den Handynummern abzugleichen, die bei Facebook-Profilen hinterlegt wurden. Stimmt eine Nummer aus dem Adressbuch mit der Nummer eines Facebook-Kontos überein, wird das Facebook-Profil dem Nutzer als "Freund" vorgeschlagen. Durch die Angabe von wahllos erstellen Telefonnummern, konnten die Hacker dann mehr als 530 Millionen Handynummern existierenden Facebook-Konten – mit den darin enthaltenen zusätzlichen Angaben über zum Beispiel Wohnort, E-Mail-Adresse oder Beziehungsstatus – verknüpfen. "Das kann dann in der Gesamtheit ein relativ sensibler Datensatz sein", meint Anwalt Strasmann. Informiert hat Facebook die betroffenen Nutzer nicht.
Nachdem die Hacker die Daten veröffentlichten und das Datenleck im Frühjahr 2021 bekannt wurde, passierte lange Zeit erst mal nicht viel. Am 28. November 2022 verhängte die DPC eine Strafzahlung gegen Meta in Höhe von 265 Millionen Euro. Daraufhin klagten auch in Deutschland die ersten Betroffenen – und bekamen recht. So verhängte das Landgericht Zwickau im September 2022 etwa ein Bußgeld von 1000 Euro gegen Meta.
Wie wirkt sich das Datenleck aus?
Durch die Kombination aus Handynummern, E-Mail-Adressen und sehr persönlichen Daten, können Betrüger Betrugsmails und -SMS verschicken. "Und diese SMS können sehr individualisiert verfasst werden, weil sehr viele Daten verfügbar sind. Sprich, man kann denjenigen mit Namen adressieren, sogar mit Adresse", sagt Strasmann. In den SMS oder Mails könnte zum Beispiel stehen, dass ein Paket auf dem Weg ist. Für genauere Informationen solle man dann auf einen Link klicken. Mit diesem Link kommt allerdings nicht auf eine Tracking-Seite von DHL oder Hermes, sondern lädt Schadsoftware herunter. "Das ist im geringsten Maße nervig und im schlimmsten Maße kann dadurch ein Vermögensschaden entstehen", erklärt der Rechtsanwalt.
Wie findet man heraus, ob man betroffen ist?
Verschiedene Internetseiten bieten eine Abfragemöglichkeit an, um herauszufinden, ob die eigenen Daten in dem Datensatz der Hacker auftauchen. Auf der Seite des Hasso-Plattner-Institutes kann man zum Beispiel überprüfen, ob die eigene E-Mail-Adresse bereits durch irgendeinen bekannten Hack veröffentlicht wurde. Für das Facebook-Datenleck 2021 bietet auch die Bremer Kanzlei Rightmart ein Tool an, die die Handynummer im veröffentlichten Datensatz sucht. "Da gibt man dann die eigene Handynummer ein und bekommt sofort eine Rückmeldung", so Strasmann.
Was muss man vor der Klage beachten?
Um gegen Meta zu klagen, müsse man auch nicht viel tun. "Man muss nur beweisen, dass man betroffen ist vom Datenskandal. Und das ist ja relativ offenkundig, wer das ist", sagt Strasmann. "Und das bestreitet Facebook auch eigentlich nicht."
Wie stehen die Chancen vor Gericht?
Zwar bestreitet Meta nicht, dass Daten von Facebook-Nutzern in dem Hacker-Datensatz veröffentlicht wurden. Trotzdem fechtet der Tech-Konzern die bisherigen Urteile an. Die Begründung des Konzerns: Die Funktion "Freunde finden", mit der die Hacker die Daten abgefangen haben, sei eine ganz normale Funktion und verstoße nicht gegen die Datenschutz-Grundverordnung (DSGVO) der EU. Laut Strasmann ist diese Argumentation des Medienunternehmens aber relativ schwach, unter anderem aufgrund des Urteils der irischen Datenschutzbehörde. Die 1000 Euro Schmerzensgeld wurden im Urteil des Landgerichts Zwickau unter anderem damit begründet, dass das Unternehmen keine Sicherheitsvorkehrungen gegen einen Missbrauch der "Freunde finden"-Funktion aufgestellt hatte und dass Meta die betroffenen Nutzerinnen und Nutzer nicht über das Datenleck informiert hat.
"Das ist eine ganz normale juristische Strategie, die Meta da verfolgt", erklärt Strasmann. Betroffene, die sich dazu entscheiden, gegen Meta vorzugehen, müssten sich deswegen aber auf langwierige Verfahren einstellen. "Ich erachte die Erfolgschancen für Betroffene trotzdem für sehr gut." In den Klagen, die die Bremer Kanzlei Rightmart vertritt, verlagen Strasmann und seine Kolleginnen und Kollegen 1500 Euro Schadenersatz.
