100 Euro - auch ohne konkrete Schäden
Facebook-Urteil: Musterbrief hilft beim Fordern der Entschädigung
Wie berichtet hat der Bundesgerichtshof (BGH) mit seinem gestrigen Urteil den Weg für Facebook-Nutzer frei gemacht, Schadenersatz von der Facebook-Mutter Meta zu fordern, wenn diese durch eine Datenpanne die Kontrolle über ihre Daten verloren haben.
Muss wohl zahlen: Meta-CEO Mark Zuckerberg
Auch ohne konkrete Schäden
Hintergrund ist eine Sicherheitslücke, bei der Hacker 2021 Daten von sechs Millionen deutschen Nutzern abgegriffen haben. Diese nutzten damals eine schlecht gesicherte Funktion, mit der Kontakte aus dem Adressbuch automatisch abgeglichen wurden. Die erbeuteten Daten, darunter auch Telefonnummern, wurden später veröffentlicht.
Das Urteil sieht Schadenersatz auch ohne nachweisbare Schäden vor. Der BGH hält 100 Euro pro Fall für angemessen, sofern keine zusätzlichen Beeinträchtigungen vorliegen. Härtere Fälle, bei denen auch ein erhöhtes Spam-Aufkommen oder mit den Kontaktdaten in Zusammenhang stehenden Betrugsversuche festgestellt wurden, können deutlich höhere Entschädigungen erhalten. In einem besonders schweren Fall sprach ein Gericht den Betroffenen 3.000 Euro zu.
Musterbrief verfügbar
Ihr solltet prüfen, ob eure Daten betroffen sind, beispielsweise über die Website haveibeenpwned.com und anschließend rasch handeln: Schadenersatzforderungen verjähren voraussichtlich Ende 2024.
Damit ihr hier schnellstmöglich aktiv werden könnt hat die Stiftung Warentest ein Musterschreiben veröffentlicht, das dabei helfen soll, Ansprüche gegen Meta geltend zu machen. Bleibt eine Rückmeldung aus, sollte für die Verjährungsunterbrechung zudem rechtzeitig ein Anwalt eingeschaltet werden:
- Musterbrief: Schmerzensgeld wegen Datenpannen
Das Urteil betrifft nicht nur Facebook. Auch Betroffene von Datenpannen bei Uber, Deezer oder anderen Unternehmen können ähnliche Ansprüche stellen. Der BGH folgt damit der Linie des Europäischen Gerichtshofs, der bereits entschieden hatte, dass der Verlust der Datenkontrolle Schadenersatz rechtfertigen kann.
Eine Schande wie mit unseren Diensten bei Anbietern umgegangen wird. Das muss richtig schmerzen die Strafe und die Gelder müssen zu den Betroffenen Kunden.
*Daten
Ich sehe das anders. Wenn man sich da etwas auskennt: so ein System ist sehr komplex und es besteht immer ein Wettrennen zwischen Hackern, die ein noch so kleines Loch finden und dem Anbieter, der immer dran ist, alles Mögliche zum Schutz umzusetzen. Minütlich werden alle Webseiten weltweit angegriffen. Jeder, der mit solchen Systemen arbeitet, muss das wissen. Wenn mal was schiefgeht ist der Anbieter in der Pflicht, sich mit allen Mittel darum zu kümmern, keine Frage. Aber dieses generelle Bashing ist einfach falsch.
eric, informiere dich mal, wie diese panne zustande gekommen ist. glaube die tagesschau von gestern hats ganz gut erklärt. facebook hat ein formular erstellt, in dem du eine handynummer eingeben konntest um freunde zu finden und facebook spuckt schön weitere daten dazu aus. dass da jemand auf die idee kommt und ein bot dazu schreibt, lag sowas von auf der hand. also fahrlässigkeit ist hier gar kein ausdruck.
Bei mir haben seitdem auch massiv die Anrufe und Werbemails bzw Fake-SMS zugenommen. Schön abgespeichert, könnte jetzt helfen.
Geht mir genauso, leider erst vor paar Tagen rund mehrere hundert Spam Mails gelöscht.
SMS melde ich der BNA.
Werde bei nächster Gelegenheit meine Nummer wechseln, die wurde dadurch „verbrannt“.
Du musst jetzt noch wachsamer sein
Kann sein, dass Du mehr fordern kannst. 100,-€ ist nur wenn nix passiert ist. Musst aber jetzt sofort aktiv werde. -> Anwalt
Geht das auch in Österreich?
Eine Anwalt einschalten (Verjährungsunterbrechung) wg. 100,- Euro? Ob das viele machen werden?
Da ist das Porto teuer als das was man bekommt, lachhaft diese Nummer von unseren Gerichten. Dadurch schließen die schon 99 % der betroffenen aus. Danke.
Du zahlst für einen Brief mehr als 100,-€?
Junge, lass dich doch von deiner Postfiliale nicht so über’n Tisch ziehen!
Aber ansonsten stimme ich dir vollkommen zu: Die Strafen für Datenschutzverstöße sind (vor allem bei Großkonzernen) viel zu gering. Es gibt fast kein Incentive, sich um vernünftige Praktiken zu bemühen, die solche „Lecks“ verhindern.
Wie soll man denn nachweisen, dass die hunderten von Spam Geschichten von da kommen?
Ist doch inzwischen ein verflochtenes Netzwerk.
Außerdem ist nun wiederum die Frage: wem gebe ich da erneut meine Daten (inkl kontoverbindung) für die Einforderung des Geldes?
Wird das nicht auch wieder in einem Datendesaster landen ?
Und das für 100€ ?
Ne danke
Da fängst ja schon an – habe ich aus Langeweile versucht bei Facebook das Impressum zu finden. Meine Güte, wie kann man nur so viel Zeugs schreiben über hunderte von Seiten. Sicher alles KI generiert. Der Wahnsinn. Eine Email Adresse an die ich den Brief schicken könnte (die ja eigentlich zu den Anforderungen an ein Impressum zählt) kann ich nicht finden – ok, finde erst garkein Impressum. Nur eine Postadresse in Irland. Meine Telefonnummer erscheint auf dieser haveibeenpwned.com Seite, aber glaub das ist mir die Mühe nicht wert. Meine Standard Email Adresse, die ich schon seit den 90er Jahren nutze ist sogar schon 15 mal geklaut worden … da wundert mich nichts mehr ;-)
du hast zu weit gescrollt, siehe Musterbrief erster Brief, da ist die Adresse von FB drinne
Ich finde es gut, dass Personen/Organisationen für mehr „Schutz“ der Daten für Verbraucher klagen.
Aber mir persönlich wäre es für einen so geringen Betrag nicht Wert meine Daten und die Zeit dafür herzugeben.
Außerdem hätte ich Angst, dass der Dienst, den man eigentlich gerne noch nutzen würde, einen dann kündigt.
Wegen 100€ betreib ich doch nicht so einen Aufwand
Die Antwort von Meta auf die Vorlage vom Verbraucherschutz:
Ihr Schreiben an Meta Platforms Ireland Limited
Sehr geehrte/r Frau/Herr XXX,
hiermit nehmen wir Stellung zu Ihrem Schreiben an unsere Mandantin, Meta Platforms Ireland Limited („Meta Ireland“), zugegangen am 19. November 2024. In Ihrem Schreiben beziehen Sie sich auf eine angebliche Weitergabe Ihrer personenbezogenen Daten durch Meta Ireland an „Unberechtigte (…), die [das] Kontaktimporttool [von Meta Ireland] missbraucht haben, um in großem Umfang personenbezogene Daten von Facebook-Nutzern abzugreifen“. In diesem Zusammenhang fordern Sie unter anderem Informationen gemäß Art. 15 Abs. 1 der Allgemeinen Datenschutz-Grundverordnung 2016/679 („DSGVO“).
Ihr Schreiben und die darin erhobenen Forderungen scheinen auf einem grundlegenden Missverständnis eines Sachverhalts zu beruhen, über den im April 2021 in den Medien berichtet wurde (der „Scraping-Sachverhalt“) und welcher die Veröffentlichung von Facebook-Nutzerdaten in einer ungesicherten Datenbank betraf (im Kontext des Scraping-Sachverhalts als „durch Scraping abgerufene Daten“ bezeichnet). Es ist wichtig zu verstehen, dass der Abruf der o. g. Daten entgegen der Behauptung in Ihrem Schreiben nicht das Resultat einer Verletzung des Schutzes personenbezogener Daten (gemäß der Definition in Art. 4 Nr. 12 DSGVO) bzgl. von Meta Ireland verarbeiteter personenbezogener Daten war. Im Gegenteil ist anzunehmen, dass die in den durch Scraping abgerufenen Daten enthaltenen Informationen durch sog. Scraping öffentlich abrufbarer Profilinformationen von Facebook-Nutzerprofilen im Zeitraum bis September 2019 erlangt wurden, wobei Funktionen verwendet wurden, die es ordnungsgemäßen Nutzern ermöglichen sollen, diese Informationen einzusehen, um ihnen zu helfen, mit anderen in Kontakt zu treten. Soweit die in den durch Scraping abgerufenen Daten enthaltenen Informationen von der Facebook-Plattform stammen, waren sie öffentlich. Insofern ist es wichtig festzuhalten, dass die Facebook-Informationen, die in den durch Scraping abgerufenen Daten enthalten sind, weder durch Hacking noch infolge einer Schwachstelle, eines Fehlers oder eines Sicherheitsverstoßes der Facebook-Systeme erlangt wurden. Aufgrund dieses Missverhältnisses geht das in ihrem Schreiben geltend gemachte Auskunftsersuchen weitgehend fehl.
Ungeachtet der unzutreffenden Darstellung des Scraping-Sachverhalts in Ihrem Schreiben antwortet Meta Ireland gemäß Art. 15 Abs. 1 DSGVO wie folgt.
Damit Nutzer verstehen können, welche personenbezogenen Daten in Bezug auf das Konto eines Nutzers, einschließlich der Daten in dem Profil eines Nutzers, Meta Ireland verarbeitet, stellt Meta Ireland Nutzern die Möglichkeit zur Verfügung, mittels des „Zugriff auf deine Informationen“ Tools (https://www.facebook.com/your_information) jederzeit auf bestimmte Arten von Informationen zuzugreifen. Die Informationen sind nach Arten kategorisiert, sodass Nutzer die gesuchten Informationen leicht finden können.
Diese Tools stehen Nutzern zur Verfügung, nachdem sie sich in ihr Facebook-Konto eingeloggt haben, und stellen somit sicher, dass die Informationen nur für den Nutzer des betreffenden Facebook-Kontos zugänglich sind.
Sie können mit dem Tool „Deine Informationen herunterladen“ (https://www.facebook.com/dyi) auch eine Kopie Ihrer Facebook-Informationen herunterladen. Das Herunterladen von Informationen ist ein passwortgeschützter Prozess, auf den nur Sie als Nutzer selbst Zugriff haben. Sobald Sie eine Kopie erstellen, steht diese für einige Tage zum Herunterladen zur Verfügung. Für eine vollständige Übersicht der Kategorien von Facebook-Daten, die Ihnen in ihrem Konto sowie im Tool „Deine Informationen herunterladen“ zur Verfügung stehen, sehen Sie hier: https://www.facebook.com/help/930396167085762.
Die Anweisungen zum Benutzen dieser Tools mit einem Facebook-Konto auf einem Computer lauten wie folgt:
Klicken Sie image001.jpg den Pfeil oben rechts auf der jeweiligen Facebook-Seite (d. h. den Konto-Navigationsbereich).
Wählen Sie „Einstellungen & Privatsphäre“ und dann „Einstellungen“.
Klicken Sie „Deine Facebook-Informationen“ in der linken Spalte.
Nutzer können dann die Information auswählen, die sie einsehen möchten, und auf „Ansehen“ klicken oder neben „Deine Informationen herunterladen“ ebenfalls auf „Ansehen“ klicken.
Nutzer können dann den Anleitungen zum Ansehen ihrer Informationen folgen oder diese vollständig herunterladen.
Weitere Informationen für den Zugang zu den Selbstbedienungs-Tools sind im Facebook-Hilfebereich unter https://www.facebook.com/help/1701730696756992 und https://www.facebook.com/help/contact/180237885820953 verfügbar.
Soweit Sie im Zusammenhang mit dem Scraping-Sachverhalt um weitere Informationen zu dem in Ihrem Schreiben genannten Facebook-Konto bitten, hat Meta Ireland noch keine ausreichenden Informationen erhalten, um Ihre Identität zu bestätigen. Insbesondere hat Meta Ireland keine Möglichkeit, Ihre Identität auf der Grundlage der in Ihrem Schreiben gemachten Angaben zu überprüfen und kann daher nicht bestätigen, dass Sie der Inhaber des in Ihrem Schreiben in Bezug genommenen angeblichen Facebook-Kontos sind.
Sollten Sie Ihrer Anfrage weiterverfolgen wollen, müssen Sie gemäß Art. 12 Abs. 6 DSGVO zusätzliche Identifikationsinformationen zur Überprüfung Ihrer Identität vorlegen. Wir werden uns in Kürze erneut mit Ihnen in Verbindung setzen, um Sie aufzufordern, einen Verifizierungsprozess durchzuführen.
Abschließend möchten wir noch einmal betonen, dass die durch Scraping abgerufenen Daten weder durch einen Hack noch durch eine „Weitergabe an Unberechtigte“ gesammelt wurden – Scraping ist die automatisierte Sammlung von öffentlich einsehbaren Daten von einer Website oder Anwendung. Sollten Sie sich dennoch entscheiden, Ihre Ansprüche weiter zu verfolgen, beachten Sie bitte, dass Meta Ireland nicht bereit ist, an einer Mediation, einem sonstigen außergerichtlichen Einigungsversuch oder einem Streitbeilegungsverfahren gemäß § 204 Abs. 1 Nr. 4 BGB teilzunehmen.
Wir gehen davon aus, dass dies Ihre Bedenken ausräumt und Ihre Fragen beantwortet. Der guten Ordnung halber weisen wir insofern darauf hin, dass wir in dieser Angelegenheit weder für Meta Ireland noch für irgendeine andere Meta Platforms-Gesellschaft zustellungsbevollmächtigt sind. Meta Ireland behält sich in diesem Zusammenhang alle Rechte vor.
Mit freundlichen Grüßen
Freshfields PartG mbB
Bockenheimer Anlage 44
60322 Frankfurt am Main
This email is confidential and may well also be legally privileged. If you have received it in error, you are on notice of its status. Please notify us immediately by reply email and then delete this message from your system. Please do not copy it, use it for any purpose or disclose its contents to any other person; to do so could be a breach of confidence. Thank you for your co-operation. Please contact our IT Helpdesk on +44 (0) 20 7785 2000 or email GlobalITServiceDesk@freshfields.com if you need assistance.
Freshfields Bruckhaus Deringer LLP is a limited liability partnership registered in England and Wales with registered number OC334789. It is authorised and regulated by the Solicitors Regulation Authority (SRA no. 484861). For further regulatory information please refer to our Legal notices. For information about how Freshfields Bruckhaus Deringer processes personal data please refer to this Privacy notice.
A list of the members (and of the non-members who are designated as partners) of Freshfields Bruckhaus Deringer LLP is available for inspection at its registered office, 100 Bishopsgate, London, EC2P 2SR. Any reference to a partner means a member, or a consultant or employee with equivalent standing and qualifications, of Freshfields Bruckhaus Deringer LLP or any associated firms or entities.
Jo, hier der gleiche Text.