Zum Inhalt springen
GFV Gesellschaft für Verbraucherschutz

Facebook Datenleck: Was muss ich wissen?

Anfang April 2021 wurden personenbezogene Daten von rund 533 Millionen Facebook-Nutzern aus 106 Ländern öffentlich im Internet verbreitet — darunter Millionen deutsche Nutzer. Mit dem Leitentscheidungsverfahren VI ZR 10/24 vom 18. November 2024 hat der Bundesgerichtshof (BGH) bestätigt, dass Betroffene Anspruch auf Schadensersatz nach Artikel 82 Abs. 1 der EU-Datenschutz-Grundverordnung (DSGVO) haben — bereits der bloße Kontrollverlust über die eigenen Daten reicht als immaterieller Schaden aus.

Was ist beim Facebook Datenleck passiert?

Im April 2021 tauchten in einem öffentlich zugänglichen Hackerforum umfangreiche Datensätze aus dem sozialen Netzwerk Facebook (Meta Platforms Ireland Ltd.) auf. Unbekannte Dritte hatten sich die damalige Kontakt-Import-Funktion zunutze gemacht: Durch die automatisierte Eingabe randomisierter Telefonnummern konnten sie prüfen, zu welchen Nummern ein Facebook-Profil existierte, und die öffentlich zugänglichen Profildaten mit der zugeordneten Telefonnummer verknüpfen. Dieses Vorgehen wird als Scraping bezeichnet.

Der Bundesgerichtshof hat den Hergang in seiner Pressemitteilung vom 18. November 2024 offiziell bestätigt. Die zuständige irische Datenschutzbehörde (Data Protection Commission, DPC) verhängte gegen Meta Platforms Ireland Ltd. bereits im November 2022 eine Geldbuße in Höhe von 265 Millionen Euro wegen Verstößen gegen die DSGVO-Grundsätze zum Schutz personenbezogener Daten.

Welche Daten sind betroffen?

Laut BGH waren bei dem konkreten Kläger in VI ZR 10/24 folgende Daten öffentlich zugänglich:

  • Facebook Nutzer-ID
  • Vor- und Nachname
  • Geschlecht
  • Arbeitsstätte
  • Telefonnummer — verknüpft mit den übrigen Profildaten

Je nach Profileinstellung waren bei anderen Nutzern zusätzlich E-Mail-Adresse, Beziehungsstatus, Geburtsdatum und Wohnort betroffen.

Welche Rechte haben Betroffene?

Die zentrale Anspruchsgrundlage ist Artikel 82 Abs. 1 DSGVO:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter."

Bis zum Leitentscheidungsverfahren war zwischen deutschen Gerichten umstritten, ob schon der Kontrollverlust über die eigenen Daten als immaterieller Schaden genügt oder ob ein konkreter Missbrauch nachgewiesen werden muss. Der BGH hat diese Frage nun geklärt.

Die BGH-Leitentscheidung vom 18. November 2024

Im Verfahren VI ZR 10/24 hatte das Oberlandesgericht Köln einen Schadensersatzanspruch abgelehnt, weil der Kläger keinen konkreten Missbrauch seiner Daten nachweisen konnte. Der BGH hob diese Entscheidung auf und stellte ausdrücklich fest:

„Nach der für die Auslegung von Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH kann bereits der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung einen immateriellen Schaden im Sinne dieser Bestimmung darstellen."

Konkret deutete der Senat an, dass eine Entschädigung „in einer Größenordnung von 100 Euro" rechtlich nicht zu beanstanden sei — allein für den Kontrollverlust, ohne dass weitere Schäden oder konkreter Missbrauch vorliegen müssen.

Bin ich betroffen?

Betroffen sind Facebook-Nutzer, die zum Zeitpunkt des Datenschutzvorfalls (April 2021) ihre Telefonnummer in ihrem Profil hinterlegt hatten — auch wenn die Nummer nicht öffentlich sichtbar war. Die Kontakt-Import-Funktion konnte die Zuordnung dennoch herstellen. In Deutschland wurde die Betroffenheit in bisherigen Verfahren unter anderem durch den Abgleich mit der Plattform Have I Been Pwned oder durch Auskunftsanfragen nach Art. 15 DSGVO an Meta nachgewiesen.

Wie geht es weiter?

Mit der BGH-Leitentscheidung ist der Weg für individuelle Schadensersatzansprüche klar vorgezeichnet. Die Verjährungsfrist richtet sich nach § 195 BGB (drei Jahre ab Kenntnis des Schadens und der Person des Ersatzpflichtigen). Für Betroffene, die erst durch die mediale Berichterstattung zur BGH-Entscheidung Kenntnis erlangt haben, beginnt die Frist entsprechend später zu laufen.

Die GfV prüft Ihre Ansprüche kostenlos und unverbindlich. Über unseren Online-Check erhalten Sie innerhalb weniger Minuten eine Ersteinschätzung, ob und in welcher Höhe Ihnen Schadensersatz zusteht.

→ Jetzt kostenlosen Facebook-Betroffenheitscheck starten

Quellen

  • BGH, Urteil vom 18.11.2024 — VI ZR 10/24 (Leitentscheidungsverfahren Facebook-Scraping). Pressemitteilung: bundesgerichtshof.de
  • Verordnung (EU) 2016/679 — Datenschutz-Grundverordnung, insbesondere Art. 82 Abs. 1. eur-lex.europa.eu
  • § 195 BGB — Regelmäßige Verjährungsfrist. gesetze-im-internet.de
  • Irish Data Protection Commission (DPC), Entscheidung vom 15.11.2022, Bußgeld 265 Mio. Euro gegen Meta Platforms Ireland Ltd. wegen DSGVO-Verstößen im Zusammenhang mit dem Scraping-Vorfall. dataprotection.ie

Haben Sie Fragen?

Kontaktieren Sie uns kostenlos und unverbindlich.

Jetzt kostenlos prüfen