Landgericht Zwickau: Schadensersatz gegen „Meta“

3. November 2022

Das Landgericht (LG) Zwickau erließ am 14. September 2022 ein Versäumnisurteil (Az. 7 O 334/22) gegen den U.S.-Konzern „Meta“ und sprach dem Kläger dabei einen Anspruch auf immateriellen Schadensersatz gegen den Konzern zu. Grund für den Schadensersatz nach Art. 82 DSGVO in Höhe von 1000 Euro waren mehrere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO).

Unzureichende Informationen

Zunächst stellte das Gericht fest, dass Meta seinen nach Art. 13 und 14 DSGVO bestehenden Informationspflichten nicht ausreichend nachgekommen sei. Demnach liege keine nach Art. 5 Abs. 1 lit. a DSGVO erforderliche faire und transparente Verarbeitung vor.

Insbesondere, so das Gericht, fehlten Informationen darüber, auf welche Weise und zu welchen Zwecken „Facebook“ die Telefonnummern seiner Nutzer verarbeite. Diese könnten auf der von Meta bereitgestellten Social-Media-Plattform Facebook ihre Telefonnummern freiwillig angeben.

Konkret sei es problematisch, dass Facebook nicht darüber informiere, dass Dritte die angegebenen Telefonnummern einsehen könnten. Dies sei möglich, obwohl der Nutzer sein Profil auf die Funktion „privat“ einstelle. Zusätzlich könnten Dritte die Telefonnummern abgreifen und diese für unlautere Zwecke weiterverwenden. Darüber informiere Facebook den Nutzer allerdings nicht.

Ferner sei der Informationsumfang über die sog. „Zwei-Faktor-Authentifizierung“ als problematisch zu bewerten. Dabei informiere Facebook lediglich darüber, dass er die Telefonnummern der Nutzer neben der Zwei-Faktor-Authentifizierung auch für „weitere Zwecke“ verwende. Eine genaue Erläuterung, welche weiteren Zwecke gemeint seien, erfolge nicht.

Außerdem bewertete das Gericht die Such-Option mittels Telefonnummer als kritisch. Dieser ermögliche es Nutzern andere Nutzer mit Hilfe der hinterlegten Telefonnummer zu suchen. Darüber informiere Facebook die Nutzer grundsätzlich. Doch diese Information sei nur über eine Unterverlinkung einzusehen.

Unzureichende Sicherheitsmaßnahmen

Darüber hinaus stellte das Gericht fest, dass Facebook gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO verstoßen habe. Demzufolge habe der Konzern keine angemessene Sicherheit für die verarbeiteten personenbezogenen Daten gewährleistet. Insbesondere habe Facebook es versäumt, hinreichende technische und organisatorische Maßnahmen zum Schutz der Nutzerdaten zu ergreifen.

Hintergrund dieser Sicherheitslücke war ein Vorfall aus dem Jahr 2019. Mit Hilfe eines automatisierten Verfahrens konnten unbekannte Dritte eine große Anzahl an Nutzerdaten abgreifen. Aus der Sicht des Gerichts hätte Facebook mehr Sicherheitsmaßnahmen ergreifen müssen, um den Datendiebstahl zu verhindern. Insbesondere habe das Unternehmen sog. „Sicherheitscapachas“ verwenden können. Diese Methode stelle sicher, dass ein Mensch und kein automatisiertes System die Daten abfrage.

Außerdem stellte das Gericht einen Verstoß gegen Art. 33 und 34 DSGVO fest. Demnach sei Facebook dazu verpflichtet gewesen, die zuständige Aufsichtsbehörde über den 2019 geschehenen Vorfall zu informieren. Dem sei das Unternehmen nicht nachgekommen.

Fazit

Abschließend stellte das Gericht fest, dass aufgrund der dargelegten Verstöße der Kläger einen erheblichen Kontrollverlust über seine personenbezogenen Daten erlitten habe. Mithin bestehe für die betroffene Person ein ersatzfähiger Schaden.