Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

21. Januar 2025

Kontrollverlust als Schaden

DP+
Über eine halbe Milliarde Facebook-Datensätze landeten ohne Zustimmung der Betroffenen im öffentlichen Internet. Für diese stellt das laut BGH einen immateriellen Schaden dar. Ein solcher Schaden droht auch bei Ransomware-Angriffen.
0,00 (0)
DSGVO-Schadensersatz
Der Begriff des Schadens ist laut EuGH weit auszulegen. Bei einem Datenschutzvorfall, der 533 Millionen Facebook-Nutzerkonten betraf, zog der BGH daraus jetzt die Konsequenzen: Schon der bloße Verlust der Kontrolle über die eigenen Daten stellt einen Schaden dar. Die Folgen dieser Auslegung reichen weit über den konkreten Fall hinaus.

Der Ausgangsfall betraf Facebook. Bis September 2019 gab es bei Facebook eine Kontakt-Import-Funktion. Damit konnte jeder Facebook-Nutzer das Facebook-Profil eines anderen Nutzers finden, wenn er dessen Mobilfunknummer in die Anwendung eingab. Das funktionierte unter zwei Voraussetzungen:

  • Zum einen musste die Mobilfunk­nummer Verwendung finden, die im gesuchten Facebook-Profil hinterlegt war.
  • Zum anderen durfte der gesuchte Facebook-Nutzer die Voreinstellungen nicht verändert haben, die Facebook für die Suche über die Kontakt-Import-Funktion vorgegeben hatte.

Im „gefundenen“ Profil waren Daten sichtbar, die als Pflichtangaben in allen Facebook-Profilen öffentlich einsehbar sind, etwa Vorname und Familienname, aber darüber hinaus weitere Daten, die der Facebook-Nutzer als „öffentlich“ gekennzeichnet hatte.

Tückische Datenschutz-­Voreinstellungen

Viele Facebook-Nutzerinnen und -Nutzer glaubten, die Kontakt-Import-Funktion durch die Datenschutzeinstellung für ihre Mobilfunknummer ausbremsen zu können. Zu diesem Zweck stellten sie die Sichtbarkeit der ­Mobilfunknummer in ihrem Profil auf „nur ich“ ein.

Das wirkte sich jedoch zu ihrer Überraschung nicht auf die Kontakt-Import-Funktion aus. Die dort vorhandene standardmäßige Voreinstellung, dass „alle“ diese Suchmöglichkeit hatten, blieb trotzdem bestehen. Nur wer auch diese Voreinstellung gezielt von „alle“ auf „Freunde von Freunden“ oder „Freunde“ veränderte, war von anderen Personen nicht mehr mittels der Mobilfunknummer aufzufinden.

Unbekannte nutzten die Schwachstelle aus

Die Struktur von Mobilfunknummer…

Dr. Eugen Ehmann
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.