Im Streit um Schadenersatzansprüche nach einem umfangreichen Datendiebstahl bei Facebook hat der Bundesgerichtshof (BGH) in Karlsruhe die Rechte der betroffenen Nutzerinnen und Nutzer gestärkt. Hintergrund ist ein Fall des sogenannten Scrapings: Diebe hatten vor Jahren Daten von mehr als einer halben Milliarde Facebook-Konten gestohlen. Nutzer, deren Daten in den Jahren 2018 und 2019 illegal abgegriffen und im Internet verbreitet wurden, können nun grundsätzlich Schadenersatz von dem Konzern verlangen, das hat der Bundesgerichtshof am Montag in einem Grundsatzurteil entschieden.
- Zum Artikel: EuGH schränkt Datennutzung durch Facebook & Co ein
BGH-Urteil: Facebook drohen hohe Schadenersatzzahlungen
Die unerlaubte Verbreitung von Namen, Land, Geschlecht und Telefonnummern im Netz stelle einen immateriellen Schaden dar, der Schadenersatzansprüche der Betroffenen zur Folge habe. Dazu genüge der Verlust der Kontrolle über die eigenen Daten, es müsse kein wirtschaftlicher Schaden entstanden sein. Im konkreten Fall verlangt ein Nutzer 1000 Euro. Diese Summe dürfte aber zu hoch gegriffen sein, so der BGH in einem Hinweis. Bei einem bloßen Kontrollverlust könnten 100 Euro angemessen sein.
Nach Auskunft der Bundesrechtsanwaltskammer sind Tausende Klagen zu dem Thema vor den deutschen Land- und Oberlandesgerichten anhängig. Der BGH hat das aktuelle Verfahren zu einem Leitentscheidungsverfahren bestimmt. Mit dem Urteil können die Instanzgerichte ihre Fälle jetzt zügig entscheiden.
Was ist Scraping?
Scraping heißt auf Deutsch so viel wie Schürfen und bedeutet, dass Daten etwa von Internetseiten systematisch gesammelt und gespeichert werden. Ein Beispiel dafür ist etwa auch die Arbeit von Suchmaschinen: Dabei wird das Scraping allerdings autorisiert und legitim genutzt. Wenn allerdings automatisierte Prozesse genutzt werden, um Daten auf Facebook ohne Zustimmung des Konzerns auszulesen, stellt das einen Verstoß gegen die Nutzungsbedingungen dar.
Was war im konkreten Fall passiert?
Datendiebe hatten eine Funktion zur Freunde-Suche in dem sozialen Netzwerk ausgenutzt, um Angaben von rund 533 Millionen Nutzern und Nutzerinnen aus 106 Ländern abzugreifen und diese im April 2021 im Internet zu verbreiten. Sie hatten sich laut BGH den Umstand zunutze gemacht, dass Facebook es damals in Abhängigkeit von den Einstellungen der User ermöglichte, dass die jeweiligen Profile mithilfe der eigentlich nicht offen sichtbaren Telefonnummern gefunden werden konnten. Die unbekannten Täter arbeiteten mit willkürlich generierten Telefonnummern und landeten so Treffer. Auf diese Weise wurden etwa Nutzer-ID, Vor- und Nachname, Land und Geschlecht mit der jeweiligen Telefonnummer verknüpft.
Was sagt Facebook zu dem Fall?
Weil die Sicherheitsmaßnahmen aus ihrer Sicht zu lasch waren, klagten zig Betroffene. Sie fordern Schadenersatz wegen des erlittenen Ärgers und des Kontrollverlusts über ihre Daten – sogenannte immaterielle Schäden. Solche Ansprüche lehnt der Facebook-Mutterkonzern Meta ab, weil weder ein Verstoß gegen die Datenschutz-Grundverordnung vorliege, noch den Klägern ein Schaden entstanden sei, der sich unmittelbar aus dem Vorfall ergebe. "Wir sind der festen Überzeugung, dass die Scraping-Klagen unbegründet sind", hieß es.
Was unternimmt Facebook gegen Scraping?
"Da Scraper den normalen menschlichen Umgang mit unseren Produkten imitieren, werden wir nie in der Lage sein, jegliches Scraping vollständig zu unterbinden, ohne gleichzeitig die Möglichkeiten der Menschen zu beeinträchtigen, unsere Apps und Websites wie gewünscht zu nutzen", hatte Meta schon 2021 mitgeteilt.
Ein Team unter anderem aus Daten- und Analyse-Fachleuten sowie Entwicklern soll das unerlaubte Auslesen erkennen und blockieren. Um den Vorgang technisch zu erschweren, arbeiten sie den Angaben nach unter anderem mit Übertragungslimits, die die Häufigkeit von Interaktionen regeln. Datenlimits sollen verhindern, dass jemand mehr Daten bezieht, als zur normalen Nutzung der Produkte nötig. Und wenn sich bestimmte Muster herauskristallisieren, würden Anfragen blockiert.
Wie kann ich meine Daten schützen?
Die Verbraucherzentrale rät zu Datensparsamkeit. "Wer sich bei Online-Diensten anmeldet, sollte, wenn möglich, nicht alle abgefragten Daten preisgeben." Mit dem Geburtsdatum etwa lasse sich leicht die Identität stehlen. "Überlegen Sie also bei jeder Veröffentlichung, ob Sie die Info auch laut durch einen Bus rufen würden." Ferner sollte man regelmäßig überprüfen, welche persönlichen Daten veröffentlicht sind. Wer sein Nutzerkonto nicht mehr gebraucht, sollte es löschen – das verringere das Risiko eines Datenmissbrauchs. Wichtig dabei: "Es reicht nicht, die App zu deinstallieren. Zunächst muss das Nutzerkonto gelöscht werden!"
Facebook empfiehlt zudem, die Einstellungen im "Privatsphäre-Check" zu prüfen. User können darin festlegen, wer sie anhand von E-Mail-Adresse und Telefonnummer finden und wer grundlegende Informationen im Profil sehen kann.
Mit Informationen von dpa und Reuters
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!