Die Daten von etwa 533 Millionen Facebook-Nutzern sind aktuell in Hacker-Foren zu finden. Auch 6 Millionen deutsche Konten sollen betroffen sein. Veröffentlicht wurden Geburtsdaten, Mail-Adressen, Telefonnummern und sogar private Dinge wie der Beziehungsstatus. Doch betroffene Nutzer können aktiv werden und prüfen, ob auch sie vom Datenskandal bei Facebook betroffen sind.
Im kostenlosen Online-Check unseres Partner Gansel Rechtsanwälte können Sie in einer Minute herausfinden, ob Sie betroffen sind. Im Anschluss erhalten sie eine Ersteinschätzung zu Ihren Chancen auf Schadensersatz.
Im Jahr 2019 tauchten in einem Forum für Hacker-Aktivitäten die Telefonnummern von etwa 420 Millionen Facebook-Nutzern auf. In den vergangenen Jahren wuchs diese Datenmenge auf insgesamt 533 Millionen User-Identitäten an. Etwa 6 Millionen Nutzer aus
Deutschland sollen betroffen sein. In den Foren sind die vollständigen Nutzernamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und Beziehungsstatus der betroffenen Personen zu finden.
Die Betrüger habe auf eine Masche namens Scraping zurückgegriffen. Hierbei werden eigentlich nicht öffentliche Daten über einen Zufallsgenerator gesammelt. In die Freundesuche auf Facebook werden zufällig generierte Handynummern eingegeben und jeder Treffer wird gespeichert. So konnten vermeintlich unveröffentlichte Nutzerdaten über die Handynummern den Profilen zugeordnet werden und die Täter Geburtsdatum, Handynummer, Nutzername und Beziehungsstatus auslesen.
Im kostenlosen Online-Check unseres Partner Gansel Rechtsanwälte können Sie in einer Minute herausfinden, ob Sie betroffen sind. Im Anschluss erhalten sie eine Ersteinschätzung zu Ihren Chancen auf Schadensersatz.
Für betroffene Facebook-Mitglieder bedeutet der Datenleak ein großes Risiko, Opfer einer Betrugsmasche zu werden. Seit Veröffentlichung der Daten ist das Aufkommen von Spam-Nachrichten deutlich angestiegen. Verbraucher erhalten vermeintlich Mails von bekannten Firmen oder Banken. In diesen wird häufig zu einer Passwortänderung oder einer anderen Aktion aufgerufen. Wird der enthaltene Link aufgerufen, landet man auf einer Malware-Seite.
Besonders häufig werden aktuell sogenannte Smishing-SMS verschickt. Diese enthält eine gefälschte Paketbenachrichtigung. Auch hier darf der Link nicht aufgerufen werden. Zwar sehen solche Mails oder SMS bei genauerer Betrachtung unglaubwürdig aus, jedoch fallen Verbraucherinnen und Verbraucher zunehmend auf solche Maschen rein, je mehr konkrete Informationen von ihnen enthalten sind.
Seit Inkrafttreten der DSGVO wurden Unternehmen, die mit sensiblen Nutzerdaten arbeiten, schon mehrmals abgestraft. Auch Facebook musste bereits eine Strafe in Höhe von 7 Millionen Euro zahlen, weil in ihren Datenschutzbestimmungen nicht ausreichend erklärt wurde, wie Facebook die Daten ihrer User intern verwendet. Facebook hat also eine Verantwortung, den Datenschutz ihrer Nutzer zu wahren.
Jedoch ist die Situation im Falle eines Hacker-Angriffs eine andere. Denn hier kam die Einwirkung von extern, sodass Facebook direkt nichts damit zu tun hat. Facebook ist nach einem solchen Leak dazu verpflichtet, umgehend die zuständigen Datenschutzaufsichtsbehörden zu informieren. Geschieht dies nicht, droht dem Datenverarbeiter ein Bußgeld. Jedoch kann die Meldung einer Datenpanne auch ausgelassen werden, wenn das Unternehmen sofort Maßnahmen ergreift, um Daten künftig besser zu schützen. Genau damit redet sich Facebook aus den aktuellen Veröffentlichungen heraus, weil bereits 2019 - nach dem ersten großen Leak - nachgebessert wurde.
Grundsätzlich muss Facebook auch seine Nutzer darüber informieren, wenn ihre vertraulichen Daten veröffentlicht wurden. Dies ist laut Art. 34 DSGVO nur notwendig, wenn „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ bestehen. Ob diese Bedingung bei diesem Datenleak erfüllt ist, muss nun geprüft werden.
Im kostenlosen Online-Check unseres Partner Gansel Rechtsanwälte können Sie in einer Minute herausfinden, ob Sie betroffen sind. Im Anschluss erhalten sie eine Ersteinschätzung zu Ihren Chancen auf Schadensersatz.
In erster Linie haben nach Art.15 DSGVO alle User von Facebook ein Recht auf Auskunft, ob auch ihre privaten Informationen von dem Datenleak betroffen sind. Reagiert Facebook gar nicht oder nur unzureichend auf diese Anfrage, kann auf Grundlage von Art. 82 DSGVO daraus bereits ein Schadenersatzanspruch resultieren. Facebook könnte – je nach Auslegung – auch noch andere Pflichtverletzungen vorgeworfen werden.
Die Chancen für betroffene Facebook-Nutzer stehen aktuell vor deutschen Gerichten gut. In den vergangenen Jahren wurden zunehmend verbraucherfreundliche Urteile bei DSGVO-Verstößen gefällt. Schadensersatzansprüche in vierstelliger Höhe sind bei solchen Verfahren keine Seltenheit. Richter wählen häufig hohe Schadensersatzsummen, um eine abschreckende Wirkung für Datenverarbeiter zu erzeugen.
Es gibt bereits einige Urteile von deutschen Gerichten, bei denen Schadensersatz wegen Datenschutzverstößen zugesprochen wurde. Darunter zum Beispiel vom LG Darmstadt (26.05.2020, 13 O 244/19), LG Lüneburg (14.07.2020, 9 O 145/19) oder AG Hildesheim (05.10.2020, 42 C 145/19).
Der einfachste Weg ist der, gar nicht in den sozialen Medien präsent zu sein. Je weniger Daten von Ihnen im Internet kursieren, desto geringer ist das Risiko, dass Ihre sensiblen Daten geklaut werden. Möchten Sie darauf jedoch nicht verzichten, sollten Sie möglichst wenig Informationen einstellen und alle Datenschutz-Mechanismen verwenden, die die einzelnen Plattformen anbieten – z.B. das Konto privat zu stellen oder nicht über die Freundesuche gefunden werden zu können.
Telefonnummern, die Sie nicht kennen, sollten Sie skeptisch gegenüber stehen. Auch E-Mails, die Sie im ersten Moment verunsichern, sollten Sie ebenfalls genau prüfen. In manchen Fällen kann es sinnvoll sein, sich in das passende Konto einzuloggen, um zu sehen, ob auch dort die Benachrichtigung zu finden ist. So können Sie Scam-Mails häufig bereits auf die Schliche kommen. Sind Sie unsicher, besteht immer die Möglichkeit, das betroffene Unternehmen telefonisch zu kontaktieren, um zu überprüfen, ob die E-Mail wirklich von dort gesendet wurde.