
Datenklau. Werden private Daten öffentlich, weil Firmen sie unzureichend schützen, steht geschädigten Betroffenen eine Entschädigung zu. Derzeit zum Beispiel Millionen Facebook-Nutzern. © Getty Images
Nach der Datenpanne bei Facebook urteilen immer mehr Gerichte: Meta muss betroffene Nutzer entschädigen. test.de erklärt die Rechtslage und bietet einen Musterbrief.
Das Wichtigste in Kürze
Erste Urteile nach erfolgreicher Hacker-Attacke
Missbrauch von Facebook-Funktion. Über den Missbrauch einer nicht richtig gesicherten Facebook-Funktion griffen Hacker die Daten Hunderter Millionen Facebook-Nutzer ab, sechs Millionen davon in Deutschland.
Recht auf Schmerzensgeld. Erste Urteile bestätigen: Facebook hätte die Daten der Nutzer besser schützen müssen. Betroffenen steht bis zu 3 000 Euro Schmerzensgeld zu. Die Urteile sind aber noch nicht rechtskräftig.
Prüfung. Ob Sie betroffen sind, können Sie schnell und unverbindlich prüfen, zum Beispiel über die Seite haveibeenpwned.com („Have I been pawned?“, auf Deutsch in diesem Zusammenhang: Wurde ich übernommen?): Mobilfunknummer eingeben und los geht‘s. Wichtig: Geben Sie statt der 0 die 49 für Deutschland an. Beachten Sie: Das US-Angebot ist gemessen an der Datenschutzgrundverordnung in Europa rechtswidrig. Bei Nutzung werden Daten von Ihnen ohne ausreichende Rechtsgrundlage übertragen. Der Betreiber der Seite gilt aber als seriös und steht nicht im Verdacht, Daten zu missbrauchen oder weiterzugeben. Sie sind aber rechtlich nicht ausreichend gegen den Zugriff von US-Behörden abgesichert.
Forderung. Die Rechtsexperten von test.de empfehlen: Fordern Sie zunächst selbst Schadenersatz von Facebook-Mutterkonzern Meta. Die test.de-Experten helfen mit einem Mustertext mit genauer Anleitung. Aufwand: Einmal zur Post und höchstens 7,60 Euro Porto für den rechtssicheren Versand.
Rückenwind. Auch der oberste Datenschützer in Irland ist der Meinung: Facebook hat gegen Datenschutzregeln verstoßen. Er verhängte ein Bußgeld in Höhe von 265 Millionen Euro.
Antwort. Meta nimmt die Forderungen offenbar sehr ernst. Als Antwort kommt jedenfalls in einzelnen Fällen ein Schreiben von der renommierten Großkanzlei Freshfields. Sie weist die Forderung zurück. test.de überzeugt das Schreiben der Kanzlei nicht. Betroffene ohne Rechtsschutzversicherung sollten weitere Urteile abwarten. Wer eine Rechtsschutzversicherung hat, kann Rechtsanwälte – möglichst mit einschlägigen Erfolgen – beauftragen.
Weitere Datenpannen. Etliche weitere Datenpannen unter anderem beim Kurznachrichtendienst Twitter, Streaminganbieter Deezer, Fahrdienst Uber oder Vermögensverwalter Scalable Capital geben Betroffenen womöglich auch ein Recht auf ein Datenschmerzensgeld.
Missbrauch einer Facebook-Funktion

Chefsache. Facebook-Gründer und Chef der Muttergesellschaft Meta Mark Zuckerberg sieht sein Unternehmen Schadenersatzforderungen aus Deutschland ausgesetzt. © Getty Images / Justin Sullivan
So waren Facebook die Nutzerdaten verloren gegangen: Eine Funktion des sozialen Netzwerks ermöglichte es Nutzern, mit den Daten aus ihren Kontakten zu schauen, ob die dort aufgeführten Verwandten, Freunde und Bekannten ebenfalls einen Facebook-Account haben. Wenn die Handynummer aus dem Adressbuch zu Facebook-Nutzern passte, zeigte das Netzwerk alle wesentlichen Daten des Nutzers an. Findige Hacker fütterten die Facebook-Funktion automatisiert und massenhaft mit erfundenen Mobilfunknummern und griffen die von Facebook dazu angezeigten Daten ab.
Millionen Nutzer betroffen
Die Hacker erbeuteten auf diese Weise Daten von Millionen Facebook-Nutzern weltweit. Offenbar nutzten sie sie auch. Jedenfalls klagen betroffene Facebook-Nutzer seit 2019 vermehrt über Spam, Viren-E-Mails und ähnlichen Daten-Missbrauch. Im Frühjahr 2021 schließlich veröffentlichten die Datenräuber ihre Beute in einem Hacker-Forum und die Datenpanne wurde dadurch ruchbar. Der Datensatz kursiert nach wie vor.
Irischer Datenschützer verhängt 265 Millionen Euro-Bußgeld
Die Datenschutzbehörde in Irland ist der Meinung: Die Facebook-Datenpanne ist ein Verstoß gegen die Datenschutzgrundverordnung. Meta habe gegen die Pflicht zur Datenminimierung und Datenschutz-freundlichen Voreinstellung verstoßen. Der Commissioner in Dublin verhängte ein Bußgeld in Höhe von 265 Millionen Euro. Meta erklärte test.de gegenüber dazu nur: „Wir werden die Entscheidung sorgfältig prüfen“.
Recht auf Schmerzensgeld
Immer mehr Gerichte urteilen: Der Meta-Konzern muss von der Datenpanne betroffene Facebook-Nutzer entschädigen. Die Richter hielten zwischen 100 und 1 000 Euro Schmerzensgeld für angemessen. Das Netzwerk hätte den Missbrauch der Daten verhindern können und müssen. Zudem habe es Benutzer nicht korrekt über die Nutzung ihrer Daten informiert. Die Juristen bei test.de halten die Urteile für gut und überzeugend begründet. Sie sind aber nicht rechtskräftig.
Landgericht Lüneburg, Urteil vom 24.01.2023
Aktenzeichen: 3 O 83/22 (nicht rechtskräftig)
Klägeranwälte: Wilde Beuger Solmecke Rechtsanwälte, Köln
Landgericht Paderborn, Urteil vom 19.12.2022
Aktenzeichen: 2 O 185/22 (nicht rechtskräftig)
Klägeranwälte: Wilde Beuger Solmecke Rechtsanwälte, Köln
Landgericht Paderborn, Urteil vom 19.12.2022
Aktenzeichen: 2 O 212/22 (nicht rechtskräftig)
Klägeranwälte: Wilde Beuger Solmecke Rechtsanwälte, Köln
Landgericht Paderborn, Urteil vom 19.12.2022
Aktenzeichen: 2 O 236/22 (nicht rechtskräftig)
Klägeranwälte: Wilde Beuger Solmecke Rechtsanwälte, Köln
Landgericht Paderborn, Urteil vom 19.12.2022
Aktenzeichen: 3 O 99/22 (nicht rechtskräftig)
Klägeranwälte: Wilde Beuger Solmecke Rechtsanwälte, Köln
Landgericht Paderborn, Urteil vom 19.12.2022
Aktenzeichen: 3 O 193/22 (nicht rechtskräftig)
Klägeranwälte: Wilde Beuger Solmecke Rechtsanwälte, Köln
Landgericht Paderborn, Urteil vom 20.02.2023
Aktenzeichen: 4 O 190/22 (nicht rechtskräftig)
Klägeranwälte: Wilde Beuger Solmecke Rechtsanwälte, Köln
Landgericht Paderborn, Urteil vom 24.02.2023
Aktenzeichen: 3 O 220/22 (nicht rechtskräftig)
Klägeranwälte: Wilde Beuger Solmecke Rechtsanwälte, Köln
Landgericht Stuttgart, Urteil vom 26.01.2023
Aktenzeichen: 24 O 52/22 (nicht rechtskräftig)
Klägeranwälte: Wilde Beuger Solmecke Rechtsanwälte, Köln
Landgericht Stuttgart, Urteil vom 28.02.2023
Aktenzeichen: 24 O 56/22 (nicht rechtskräftig)
Klägeranwälte: Wilde Beuger Solmecke Rechtsanwälte, Köln
Landgericht Ulm, Urteil vom 16.02.2023
Aktenzeichen: 4 O 86/22 (nicht rechtskräftig)
Klägeranwälte: Wilde Beuger Solmecke Rechtsanwälte, Köln
Die Landgerichte Gießen und Zwickau hatten Facebook zu jeweils 1 000 Euro Schmerzensgeld und das Landgericht Oldenburg zu 3 000 Euro verurteilt.
Landgericht Gießen, (Versäumnis-)Urteil vom 30.09.2022
Aktenzeichen: 3 O 256/22
Klägeranwälte: Wilde Beuger Solmecke Rechtsanwälte, Köln
Landgericht Zwickau, (Versäumnis-)Urteil vom 14.09.2022
Aktenzeichen: 7 O 334/22
Klägeranwälte: Wilde Beuger Solmecke Rechtsanwälte, Köln
Landgericht Oldenburg, (Versäumnis-)Urteil vom 20.10.2022
Aktenzeichen: 5 O 1809/22
Klägeranwälte: Ghendler Ruvinskij Rechtsanwälte, Köln
Dabei handelte es sich aber um Versäumnisurteile. Das heißt: Facebook hatte sich zunächst nicht gegen die Klagen verteidigt. Die Gerichte urteilten nur auf der Grundlage der Darstellung des Falls durch die Klägerinnenanwälte. Facebook hat Einspruch eingelegt und kann die Verteidigung jetzt nachholen.
test.de wird fortlaufend berichten und alle verbraucherfreundlichen Urteile und die erfolgreichen Kanzleien nennen. Bitte melden!
Facebook: Keine Hacker, kein Schadenersatz
Facebook hält die Urteile für falsch und legte jeweils Rechtsmittel ein. In anderen, ähnlich gelagerten Fällen hätten Gerichte bestätigt, dass keine Haftungs- oder Schadenersatzansprüche gegeben sind, erklärte eine Facebook-Sprecherin test.de gegenüber. Die Daten, um die es gehe, seien öffentlich zugänglich gewesen. Es handele sich nicht um eine klassische Hacker-Attacke, sondern um so genanntes „Scraping“ (deutsch: Abgreifen) von Daten, vor dem kein Unternehmen sicher sei. Tatsächlich haben verschiedene Landgerichte inzwischen über 30 Klagen auf Datenschutz-Schmerzensgeld abgewiesen. So meinten die Landgerichte Essen (Aktenzeichen: . 6 O 111/22), Halle (6 0 1951/22) und Heilbronn (Bu 8 O 131/22): Es liege schon keine Verletzung der Pflicht zum Datenschutz vor. Das dürfte überholt sein, nachdem die zuständige Datenschutzbehörde in Dublin einen solchen Verstoß für nachgewiesen hält, auch wenn die Entscheidung noch nicht rechtsbeständig ist und Meta gegen sie vorgeht.
Das Landgericht Bielefeld wies eine Klage ab, nachdem es den betroffenen Facebook-Nutzer persönlich angehört hatte. Das Gericht habe hier nicht erkennen können, dass der Kläger sich tatsächlich beobachtet gefühlt habe. Er habe nicht hilflos gewirkt, sich nicht zu einem reinen Objekt der Datenverarbeitung degradiert gesehen. Zu erkennen sei lediglich ein verständlicher Ärger („Mist“) über die Veröffentlichung der Handynummer im Internet gewesen, der dem Gericht nicht genügt habe. Schriftsätzlich hält das Gericht behauptete Sorgen und Ängste des Klägers nicht für glaubhaft, heißt es in der Urteilsbegründung (Aktenzeichen: 8 O 182/22). Beim Landgericht Gießen scheiterte eine Klage, nachdem der Facebook-Nutzer trotz Anordnung des Gerichts nicht zur Verhandlung erschienen war (Aktenzeichen: 5 O 195/22).
Tausende Klagen
Schon jetzt sind Tausende Klagen anhängig. Rund 10 000 Facebook-Nutzer haben allein die bekannte Kölner Medienrechtskanzlei Wilde Beuger Solmecke damit beauftragt, ihre Rechte gegen den Meta-Konzern durchzusetzen. In etlichen Tausend Fällen sei bereits Klage erhoben. Startvorteil der Kanzlei: Ein aufmerksamer Internetnutzer hatte die Mobilnummer von Rechtsanwalt Christian Solmecke persönlich in den Hackerdaten gefunden und ihn angerufen.
Weitere Anwälte klagen
Inzwischen haben etliche weitere Rechtsanwälte, darunter große Verbraucherrechtskanzleien wie etwa die Anwaltskanzlei Kraus Ghendler Ruvinskij in Köln, CLLB in München, Dr. Stoll & Sauer in Lahr und Rightmart in Bremen ebenfalls Klagen gegen Facebook erhoben und werben um weitere Mandanten. Rechtsanwalt Torben Schultz kündigte an: Er wird in den nächsten Tagen 200 bis 300 Klagen erheben. Wer noch nichts unternommen hat: Zeit ist noch genug. Die Datenpanne wurde erst 2021 bekannt. Schadenersatzforderungen verjähren damit frühestens Ende 2024. Betroffene, die eine Rechtsschutzversicherung haben, können ohne Kostenrisiko sofort Rechtsanwälte beauftragen.
Unseriöse SMS an Betroffene
Laut Dr. Stoll & Sauer Rechtsanwälte gibt es inzwischen auch mindestens ein unseriöses Angebot an Opfer der Facebook-Datenpanne. dsgvo2022.info verschicke unaufgefordert und ohne Einverständnis des Anschlussinhabers SMS an Mobilfunknummern aus der Hackerdatei. Das ist selbstverständlich illegal.
Betroffene sollten sich auf solche Angebote auf keinen Fall einlassen. Wer hinter dem Angebot steckt, ist noch unklar. Dr. Stoll & Sauer haben beim Landgericht Düsseldorf eine einstweilige Verfügung gegen einen dort ansässigen und nicht namentlich genannten Anwalt erwirkt, die es ihm untersagt, betroffene Nutzer ohne Einwilligung zu kontaktieren oder kontaktieren zu lassen, um für die eigenen Dienstleistungen zu werben. Verstößt er dagegen, sind bis zu 250 000 Euro Ordnungsgeld fällig.
So fordern Sie selbst Schadenersatz (mit Musterbrief)
Die Rechtsexperten der Stiftung Warentest empfehlen aber: Fordern Sie zunächst selbst Schadenersatz vom Facebook-Mutterkonzern Meta. Wir helfen Ihnen dabei mit einem Musterbrief und erklären Ihnen Schritt für Schritt, was Sie tun müssen, um sich die bestmögliche Chance auf Schadenersatz zu sichern.
Die Mühe lohnt
Vorteil der Mühe: Es entstehen zunächst keine Kosten – vom Porto fürs Forderungsschreiben abgesehen. Sie können nach erfolgloser Forderung eine Rechtsanwaltskanzlei einschalten. Meta muss dann auch für die außergerichtliche Tätigkeit Ihres Anwalts oder Ihrer Anwältin zahlen, wenn am Ende feststeht, dass das Unternehmen Ihnen den geforderten Schadenersatz zu Unrecht verweigert hat. Eine EU-Verbraucherschlichtung ist aktuell allerdings nicht erreichbar, so dass Verbrauchern keine kostenlose und einfache Möglichkeit zur Verfügung steht, um ihre Rechte gegen Facebook geltend zu machen. Möglich sind Beschwerden beim Data protection-Commissioner in Irland. Ob diese auf Deutsch möglich sind und die Verjährung stoppen, klären wir gerade.
Musterbrief mit detaillierter Anleitung
Mit unserem Musterbrief für Schmerzensgeld wegen der Facebook Datenpanne samt Anleitung ist es leicht, selbst wirksam Schadenersatz zu fordern. Eigentlich reicht es, den von Ihnen mit Ihren Daten ergänzten Mustertext per E-Mail an Facebook zu schicken. Doch dann können Sie den Zugang nicht nachweisen. Nötig ist deshalb, dass Meta Platforms Ireland Limited als zuständiges Unternehmen im Konzern Ihnen den Eingang Ihrer Forderung bestätigt. test.de vermutet: Das wird das Unternehmen nicht tun. Ihnen bleibt dann nur, die Forderung als Brief nach Irland zu schicken, am besten als Einschreiben mit Rückschein. Kostenpunkt: höchstens 7,60 Euro.
Ausführliche Antwort
Meta nimmt die Forderungen auf der Grundlage unseres Musterbriefs offenbar ernst. Einzelne Leser haben eine ausführliche Antwort von der renommierten Großkanzlei Freshfields erhalten. Zentrale Aussage: Es sei wichtig festzuhalten, „...dass die Facebook-Informationen, die in den durch Scraping abgerufenen Daten enthalten sind, weder durch Hacking noch infolge einer Schwachstelle, eines Fehlers oder eines Sicherheitsverstoßes der Facebook-Systeme erlangt wurden“, schreiben die Anwälte. Die test.de-Juristen, der irische Datenschutzbeauftragte und etliche Gerichte sind anderer Meinung. Wer eine Rechtsschutzversicherung hat, kann ohne Kostenrisiko einen Rechtsanwalt beauftragen, seine Forderung durchzusetzen. Wer keine hat, sollte weitere Urteile abwarten.
Wenn der Bundesgerichtshof Verurteilungen von Meta zu Schmerzensgeld wegen der Datenpanne bestätigt, ist es auch ohne Rechtsschutzversicherung sinnvoll, gegen Facebook vorzugehen. Das dauert aber noch. Gut für Betroffene: Ab dem Tag nach Zugang des Schreibens der Meta-Anwälte hat der Konzern zusätzlich zum Schmerzensgeld auch Zinsen zu zahlen, wenn die Gerichte den Konzern am Ende verurteilen – so wie Verbraucheranwälte und wir das für richtig halten.
Zusätzlich Universal-Musterbrief für andere Fälle
Wegen anderer Datenpannen, wie es sie zum Beispiel beim Kurznachrichtendienst Twitter, Streamingdienst Deezer, Fahrdienst Uber oder Vermögensverwalter Scalable Capital gegeben hat, haben wir in unsere Musterbrief-Datei noch eine allgemeine Vorlage für Forderungsschreiben an andere Unternehmen als Meta aufgenommen. Schadenersatz zu fordern liegt immer dann nahe, wenn die jeweilige Datenschutzbehörde wegen eines Verstoßes ein Bußgeld verhängt hat, von dem Sie betroffen sind.
-
Datenschutz-Grundverordnung Regeln für persönliche Daten
- Der Umgang mit Daten ist in der Europäische Datenschutz-Grundverordnung (DSGVO) geregelt. Wir erklären, welche Rechte sich daraus für Verbraucher ergeben.
-
Gewusst wie Facebook löschen
- Viele Internetnutzer sind empört über Facebooks Umgang mit Kundendaten. Andere haben einfach keine Lust mehr auf die ständigen Benachrichtigungen. Wer dem...
-
Online-Zimmervermittlung Zimmersuche24 macht Kasse
- Das Portal Zimmersuche24 umwirbt Vermieter von Reiseunterkünften mit einem kostenlosen Testeintrag. Dieser geht automatisch in einen mehrere hundert Euro teuren Vertrag...
5 Kommentare Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
@Alexander_79 Facebook hat uns inzwischen zum Kanal für Schadenersatzforderungen geschrieben: Die von uns verwendete E-Mail-Adresse ist richtig für das Anliegen. Die Ihnen gegebene Antwort sei bedauerlicherweise schlicht falsch.
Richtig ist: impressum-support@support.facebook.com
Nichts Neues von den Schlichtungsstellen: Wir haben noch keine Schlichtungsstellen ausfindig gemacht, die sich für die Schmerzensgeldforderung gegen Meta Platforms Ireland Ltd. zuständig fühlt.
@Alexander_79: Soweit es um die schriftliche Geltendmachung von Schadenersatzforderungen bei Meta Platforms Ireland Ltd. geht: Die ist das Unternehmen als Vertragspartner deutscher Facebook-User verpflichtet zu bearbeiten. Als digitaler Kanal erschien uns der im Artikel genannte passend. Wir werden bei Facebook nachfragen, wo und wie dass Unternehmen Schadenersatzforderungen digital entgegennimmt. Auch die Rechtsauffassung der Schlichtungsstelle werden wir gleich am Montag prüfen. Es kann aus unserer Sicht eigentlich nicht sein, dass deutsche Facebook-Nutzer keinen Zugang zu einem deutschsprachigen Schlichtungsverfahren haben.
Für Ihre Rückmeldung: Vielen Dank!
Hallo Test-Team,
besten Dank für den guten Musterbrief und die Anleitung. Bei mir hat Facebook direkt (ablehnende) geantwortet bzw. sogar gesagt, dass es der falsche Kanal sei und man solche Anfragen über den im Musterbrief vorgeschlagenen Kanal gar nicht bearbeitet. Daraufhin habe ich dann wie im Musterbrief vorgeschlagen die Universalschlichtungsstelle des Bundes eingeschaltet. Hier ein Auszug aus der Antwort, der interessant sein könnnte:
"Für das Streitbeilegungsverfahren ist nötig, dass die Antragsgegnerin ein Unternehmen mit Niederlassung in Deutschland ist.
Die Meta Platforms lreland Ltd. hat ihren Sitz in Irland. Eine Niederlassung in Deutschland ist nicht ersichtlich.
Mit der in Deutschland ansässigen Facebook Germany GmbH besteht (soweit aus den vorliegenden Informationen ersichtlich) kein Vertragsverhältnis, wie es beispielsweise aus der Inanspruchnahme einer Dienstleistung der Fall wäre und kann somit auch nicht von uns bearbeitet werden."
Was meinen Sie dazu?
MfG!
Kommentar vom Autor gelöscht.
Danke für den Hinweis! Ich werde die Formulierung in unserem Artikel ergänzen.