Zum Inhalt springen
GFV Gesellschaft für Verbraucherschutz

LinkedIn Datenleck: Was muss ich wissen?

Im Juni 2021 boten unbekannte Täter in einem Hackerforum einen Datensatz mit Informationen zu rund 700 Millionen LinkedIn-Nutzern zum Verkauf an — über 90 Prozent aller damaligen Nutzer des beruflichen Netzwerks. Die Daten wurden mittels sogenanntem Scraping aus öffentlich zugänglichen Profilen extrahiert. Mit der BGH-Leitentscheidung VI ZR 10/24 vom 18. November 2024 steht fest: Bereits der Kontrollverlust über die eigenen Daten rechtfertigt einen Anspruch auf Schadensersatz nach Artikel 82 Abs. 1 DSGVO.

Was ist beim LinkedIn Datenleck passiert?

Im Juni 2021 wurde in einem öffentlich zugänglichen Hackerforum ein Datensatz mit Profildaten von rund 700 Millionen LinkedIn-Nutzern zum Verkauf angeboten. Die Täter hatten die offiziellen LinkedIn-API und automatisierte Scraping-Skripte genutzt, um öffentlich sichtbare Profilinformationen massenhaft auszulesen und in einer strukturierten Datenbank zusammenzuführen. LinkedIn selbst erklärte daraufhin, es habe sich nicht um einen „Hack" im engeren Sinne gehandelt, sondern um einen Verstoß gegen die Nutzungsbedingungen der Plattform.

Aus datenschutzrechtlicher Sicht ist diese Einordnung unerheblich: Auch das automatisierte Zusammenführen öffentlicher Einzeldaten zu einem strukturierten Profildatensatz stellt eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 2 DSGVO dar — und LinkedIn als Verantwortlicher (Art. 4 Nr. 7 DSGVO) ist verpflichtet, durch geeignete technische und organisatorische Maßnahmen (Art. 32 DSGVO) ein solches Auslesen zu verhindern.

Welche Daten sind betroffen?

Laut Analyse des veröffentlichten Datensatzes durch Sicherheitsforscher enthielt die Sammlung pro Nutzer unter anderem:

  • Vollständiger Name
  • E-Mail-Adresse (teils auch private)
  • Telefonnummer
  • Beruflicher Werdegang und aktueller Arbeitgeber
  • Standort
  • LinkedIn-Profil-URL und Nutzer-ID
  • Soziale Verbindungen (Kontaktnetzwerk)

Welche Rechte haben Betroffene?

Die zentrale Anspruchsgrundlage ist Artikel 82 Abs. 1 DSGVO, der einen verschuldensunabhängigen Schadensersatzanspruch bei Verstößen gegen die Verordnung vorsieht. Die Norm lautet:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter."

Der Bundesgerichtshof hat in seinem Leitentscheidungsverfahren VI ZR 10/24 vom 18. November 2024 ausdrücklich klargestellt, dass diese Anspruchsgrundlage auf Scraping-Vorfälle anwendbar ist und dass der bloße Kontrollverlust über personenbezogene Daten einen ersatzfähigen immateriellen Schaden darstellt — ein konkreter Missbrauch der Daten oder weitere negative Folgen müssen nicht nachgewiesen werden.

Übertragbarkeit der BGH-Rechtsprechung auf LinkedIn

Zwar betraf das BGH-Leitentscheidungsverfahren unmittelbar den Facebook-Scraping-Vorfall; die rechtlichen Maßstäbe sind jedoch nicht auf eine bestimmte Plattform beschränkt. Der BGH hat sich ausdrücklich auf die Auslegung des Art. 82 DSGVO durch den Europäischen Gerichtshof berufen und allgemeine Grundsätze zur Schadensbemessung bei Kontrollverlust formuliert. Diese Grundsätze gelten für jeden vergleichbaren Datenschutzvorfall — und der LinkedIn-Vorfall weist in Ausmaß, Methode und Betroffenenkreis strukturelle Parallelen zum Facebook-Fall auf.

Bin ich betroffen?

Betroffen sind grundsätzlich alle Nutzer, die im Juni 2021 ein LinkedIn-Profil hatten, insbesondere mit hinterlegter E-Mail-Adresse oder Telefonnummer. Über die unabhängige Plattform Have I Been Pwned können Betroffene prüfen, ob ihre E-Mail-Adresse in dem Datensatz enthalten ist. Parallel empfiehlt sich ein Auskunftsersuchen nach Artikel 15 DSGVO direkt an LinkedIn, um die eigene Betroffenheit offiziell bestätigen zu lassen.

Wie geht es weiter?

Ansprüche auf Schadensersatz nach Art. 82 DSGVO verjähren gemäß § 195 BGB innerhalb von drei Jahren ab Kenntnis von Schaden und Ersatzpflichtigem. Für Betroffene, die erst durch die aktuelle Rechtsprechung des BGH auf die eigene Betroffenheit aufmerksam geworden sind, beginnt die Verjährung entsprechend später zu laufen.

Die GfV prüft Ihre Ansprüche kostenlos und unverbindlich. In unserem Online-Check erfassen wir in wenigen Minuten alle relevanten Daten und geben Ihnen eine qualifizierte Ersteinschätzung zu Höhe und Erfolgsaussichten Ihres Anspruchs.

→ Jetzt kostenlosen LinkedIn-Betroffenheitscheck starten

Quellen

  • BGH, Urteil vom 18.11.2024 — VI ZR 10/24 (Leitentscheidungsverfahren Scraping, anwendbar auf vergleichbare Datenschutzvorfälle). bundesgerichtshof.de
  • Verordnung (EU) 2016/679 — Datenschutz-Grundverordnung, insbesondere Art. 4, Art. 15, Art. 32 und Art. 82 Abs. 1. eur-lex.europa.eu
  • § 195 BGB — Regelmäßige Verjährungsfrist. gesetze-im-internet.de

Haben Sie Fragen?

Kontaktieren Sie uns kostenlos und unverbindlich.

Jetzt kostenlos prüfen