Datenlecks: Die Liste der Facebook-Verstöße ist lang

Das aktuelle, ebenfalls Deutschland umfassende, Datenleck stellt nur eine Panne in einer langen Reihe ähnlicher Verstöße dar, die Facebook seit Gründung unterlaufen sind. Hier eine Chronologie der wichtigsten Verfahren und Urteile:

Juni 2022: Davis vs. Facebook

Moniert wird, dass Facebook seine Mitglieder, selbst wenn diese ihren Account schon länger deaktiviert hatten, mittels Tracking auf andere Seiten verfolgt. Dies geschieht mittels Cookies und Like-Button. Im Sommer 2022 erteilte ein kalifornisches Bezirksgericht deshalb die Genehmigung zur Erhebung einer Sammelklage, die das Ziel verfolgt, dass Facebook sämtliche auf diesem Weg gesammelten Informationen unverzüglich löscht. Facebook erklärte sich mit einem Jahr Verspätung bereit, die illegal gewonnen Daten von seinen Servern zu entfernen. Nach wenigen Wochen einigte man sich auf einen Vergleich in Höhe von 90 Mio. USD.

August 2022: Lundy et al. vs. Meta

Die Kläger behaupteten, dass Facebook Standortdaten der Mitglieder nachverfolgt, selbst wenn die User diese Funktion explizit deaktiviert haben, was sowohl gegen kalifornisches Recht als auch gegen die Datenschutzrichtlinien des Unternehmens verstößt. Meta einigte sich mit den Klägern im Rahmen eines Vergleichs auf eine Zahlung in Höhe von 37.5 Mio. USD.

September 2022: Biometric-Data-Verfahren

2015 wurde im Bundesstaat Illinois eine Sammelklage gegen Facebook eingereicht, weil das Unternehmen unerlaubt biometrische Daten der User erhoben und ausgewertet hatte, womit Facebook gegen den Illinois Biometric Information Privacy Act verstieß. Dieser Klage schlossen sich 1.6 Millionen Betroffene an. Im Raum steht ein Schadenersatz von 400 USD pro Geschädigtem, was sich in der Summe auf 640 Millionen USD Strafzahlung für das Unternehmen addiert.

Weitere Datenverstöße von Facebook

• September 2022: Ireland’s Data Protection Commission vs. Meta - Die irische Regulierungsbehörde belegte Facebook mit einer Geldstrafe in Höhe von 405 Mio. Euro, weil das Unternehmen die Privatsphäre von Kindern nur unzureichend schützt. U.a. Veröffentlichung von deren Telefonnummern und Mailadressen.
• Februar 2022: The State of Texas vs. Meta - Illegales Einsammeln biometrischer Daten (wie oben Illinois)
• Januar 2022: Gormsen vs. Meta - Klage in Höhe von 1.3 Mrd. GBP, weil Facebook illegal Daten von britischen Usern verwendet hat.
• Dezember 2018: District of Columbia vs. Facebook - Klage gegen Facebook, weil es die Daten von ca. der Hälfte der Einwohner von Washington D.C. während des Präsidentschaftswahlkampfs 2016 für Dritte offengelegt hatte. Im Rahmen dieses Verfahrens wurde auch CEO Mark Zuckerberg geladen.
• Oktober 2018: King et al. vs. Facebook - Sammelklage, der sich Nutzer aus Kalifornien, New Jersey und Colorado anschließen konnten. Aufgrund mangelhafter Sicherheitsmaßnahmen war es möglich, die Informationen der User aus den o.g. drei Staaten offen einzusehen.
• Mai 2016: Campbell vs. Facebook & Dezember 2013: Campbell, Hurley vs. Facebook - Facebook hat durch Auslesen privater Nachrichten Informationen für Marketingzwecke zweckentfremdet.
• März 2010: Lane vs. Facebook - Sammelvergleich, weil Facebook private Informationen seiner Nutzer nicht ausreichend geschützt hatte.

Die in diesem Beitrag aufgelisteten Klagen stellen nur eine kleine Auswahl der weltweit gegen Meta/Facebook angestrengten Verfahren wegen Verstößen gegen nationale Datenschutzgesetze dar.

Der Cambridge-Analytica-Skandal

In Facebooks langer Geschichte von Datenschutzverletzungen ragt bis heute der Cambridge-Analytica-Skandal heraus.

2013 entwickelte das britische Markt- und Meinungsforschungsunternehmen Cambridge Analytica eine App namens „This is your digital life“, die Facebook-Nutzern vordergründig anbot, mittels der Beantwortung einiger Fragen ein kostenloses psychologisches Profil zu erstellen. Von dieser Offerte machten knapp 90 Millionen US-Amerikaner Gebrauch, die gutgläubig eine Menge persönlicher Informationen in die App eingaben. Was Cambridge Analytica den Usern jedoch verschwieg, war der wahre Zweck des Unterfangens – nämlich die gewerbliche Verwendung der Daten.

So dienten diese Informationen u.a. 2016 dem Wahlkampfteam des damaligen Präsidentschaftskandidaten Donald Trump, um zielgenaues Targeting bei unentschlossenen Wählern zu betreiben. Experten sehen darin eine bis dahin nie erreichte Beeinflussung des Wählerverhaltens, was sicher einer der Gründe für den überraschenden Erfolg Trumps gegen die favorisierte Hillary Clinton war.

Facebooks Geschäftsmodell begünstigt Missbrauch

Bis heute ist nicht abschließend geklärt, inwieweit Facebook über die illegalen Aktivitäten von Cambridge Analytica informiert war. Das Unternehmen stritt jegliche Kenntnis der illegalen Weiterverwertung der Daten ab und erklärte sich selbst zum Geschädigten. 2018 einigte man sich auf eine Strafzahlung in Höhe von 5 Mio. USD an die US Federal Trade Commission und zahlte zusätzlich ein Bußgeld von 500.000 GBP an das UK Information Commissioner’s Office. Beide Male wegen gravierender Verstöße gegen Datenschutzrichtlinien.

Wie man unschwer erkennen kann, begünstigt das Facebook zugrundeliegende Geschäftsmodell – kostenlose Nutzung der Plattform im Gegenzug zur Bereitstellung persönlicher Informationen und Nutzung dieser Daten für zielgenaue Werbung – zum einen den Missbrauch und zum anderen das Entstehen von Sicherheitslücken.

So ist das aktuelle Leck, das 2021 von der IT-Sicherheitsfirma Hudson Rock bei der Inspektion eines Hackerforums aufgedeckt wurde, nicht die erste, und wahrscheinlich auch nicht die letzte, Datenpanne des Social-Media-Riesen.

Was Facebook-Nutzer jetzt tun sollten

Auf der Grundlage von Art. 15 DSGVO können Nutzer Auskunft von Facebook verlangen, ob ihre Informationen geleakt wurden. Darüber hinaus hat jede Person, der wegen eines Verstoßes ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gem. Art. 82 DSGVO. Daneben kommen weitere Pflichtverletzungen von Facebook in Betracht, die zusätzliche Ansprüche zur Folge haben.

Betroffenen ist zu empfehlen, Kontakt mit Rechtsanwälten und Experten im Bereich Datenschutz und -sicherheit aufzunehmen. Diese können einen Verstoß feststellen und Schadenersatzansprüche prüfen. Deutsche Gerichte urteilen bei Verstößen gegen die DSGVO zunehmend verbraucherfreundlich und sprechen den geschädigten Nutzern zum Teil Schadenersatz in bis zu vierstelliger Höhe zu. Ob Ihr Rechtsschutzversicherer den Fall übernimmt, wird von der Kanzlei mittels Deckungsanfrage geklärt, bevor kostenauslösende Maßnahmen ergriffen werden. Andernfalls stehen Prozessfinanzierer bereit, die das Kostenrisiko des Verfahrens für den Geschädigten gegen eine Erfolgsbeteiligung übernehmen.

Aufgrund der verbraucherfreundlichen Rechtsprechung sind die Erfolgsaussichten, Schadenersatzzahlungen zu erhalten, gut. Mit einem Prozesskostenfinanzierer oder einer eintrittspflichtigen Rechtsschutzversicherung haben Sie kein Kostenrisiko.

Wir raten Facebook-Mitgliedern unseren Online-Check Datenleck zu nutzen, um zu prüfen, ob sie vom Facebook Datenverstoß oder einem anderen Datenleck betroffen sind. Stellen wir einen Verstoß fest, prüfen wir in einem weiteren Schritt Ihren individuellen Schadenersatzanspruch.