Im Jahr 2021 veröffentlichen Hacker im Internet die Daten von über 530 Millionen Facebook-Nutzerinnen und -Nutzern, darunter auch die Daten von sechs Millionen Deutschen. Mit den persönlichen Daten der Geschädigten können Kriminelle etwa Identitätsdiebstahl begehen. Schadenersatz wurde vom Facebook-Mutterkonzern Meta bislang jedoch noch nicht gezahlt.

Jetzt reicht der Verbraucherzentrale Bundesverband (vzbv) eine Sammelklage gegen Meta ein, mit der die Opfer des Datendiebstahls auf eine Entschädigung hoffen können. Wer betroffen ist, kann sich für die Klage anmelden, sobald ein Klageregister vom Bundesamt für Justiz (BfJ) eingerichtet wurde. Der Anspruch auf Schadenersatz verjährt Ende dieses Jahres. Für Klägerinnen und Kläger, die bei der Sammelklage mitmachen, bleibt der Anspruch jedoch weiter bestehen.

Mit der Klage möchte der Verbraucherzentrale Bundesverband erreichen, dass Nutzer Schadenersatz für das bloße Entwenden ihrer persönlichen Daten erhalten, ohne dass diese bislang missbraucht worden sind. Die Klage soll deshalb feststellen, dass Facebook das Datenschutzrecht missachtet hat. Betroffen kann jeder User sein, der in den Jahren 2018 und 2019 ein Facebook-Profil und darin seine Telefonnummer angegeben hatte.

So können Sie prüfen, ob Sie betroffen sind

Im Hilfebereich von Facebook gibt es ein Online-Formular, mit dessen Hilfe Verbraucherinnen und Verbraucher herausfinden können, ob ihre Daten durch sogenanntes Scraping entwendet wurden.

Wenn Sie das Formular ausfüllen und abschicken, erhalten Sie eine automatische E-Mail, die Sie zu der Internetseite haveibennpwned.com verweist. Dort können Sie Ihre E-Mail-Adresse oder Ihre Telefonnummer eintragen. In Anschluss erfahren Sie direkt, ob Ihre Daten von dem Datenleak betroffen waren. Wenn dem so ist, haben Sie Anspruch auf Schadensersatz, wie der Bundesgerichtshof (BGH) im November entschieden hat.

Um bei der Sammelklage, die der Verbraucherzentrale Bundesverbands am Montag beim Hanseatischen Oberlandesgericht Hamburg gegen Facebook einreicht, mitwirken zu können, müssen Sie sich in das Klageregister des BfJs eintragen, sobald es dieses eröffnet hat. Auf der Internetseite der Verbraucherzentrale können Sie sich für einen News-Alert rund um die Sammelklage anmelden, um über das Verfahren auf dem Laufenden zu bleiben.

So hoch kann der Schadensersatz ausfallen

Laut dem Urteil des BGH kann alleine der Kontrollverlust über die eigenen Daten für einen Schadensersatzanspruch in Höhe von 100 Euro ausreichen. Dazu müssen die Daten noch nicht einmal dazu benutzt worden sein, um das Opfer zu schädigen.

Der Verbraucherzentrale Bundesverband möchte mit der Klage auch feststellen, ob in einigen Fällen nicht ein größerer Anspruch auf Schadensersatz besteht, etwa wenn besonders sensible Daten des Opfers veröffentlicht wurden. Wenn psychische oder finanzielle Schäden entstanden sind, kann der Schadensersatz auch höher ausfallen. Das muss dann allerdings von Fall zu Fall entschieden werden und kann nicht pauschal über die Sammelklage festgelegt werden.

Das sollten Sie tun, wenn Sie Opfer von Datendiebstahl geworden sind

Wenn Sie feststellen, dass Ihre sensiblen oder persönliche Daten im Internet entwendet worden sind, sollten Sie folgendes tun, um den Schaden einzudämmen:

Ändern Sie Ihr Passwort für die Internetseite, auf denen Ihre Daten entwendet wurden. Wenn Sie das Passwort für mehre Accounts im Internet nutzen, etwa für Bezahldienste wie Paypal, dann sollten Sie auch diese Passwörter ändern. Darüber hinaus sollten Sie für jeden Account, den Sie im Internet habe, ein anderes Passwort verwenden. Sie sollten auch in Betracht ziehen, Ihre E-Mail-Adresse oder die Telefonnummer zu ändern, die Sie bei diesem Account angegeben haben. Seien Sie vorsichtig bei E-Mails unbekannter Herkunft. Wenn Ihre Daten entwendet wurden, werden Sie häufig für sogenannte Phishing-Attacken per E-Mail genutzt. Öffnen Sie keine Links bei unbekannten Absendern und antworten Sie nicht auf E-Mails vermeintlicher Unternehmen oder Organisationen mit persönlichen Angaben. Diese werden von Behörden und Unternehmen in der Regel nicht per E-Mail abgefragt. (tsch)