Das Wichtigste in Kürze:
- Durch gezieltes Ausnutzen von Funktionen können Daten von Facebook-Mitgliedern in falsche Hände geraten – ohne dass Betroffene dies unmittelbar mitbekommen.
- Wenn das passiert, können Betroffene Schadenersatz von Facebook fordern, hat der Bundesgerichtshof (BGH) entschieden.
- Ostern 2021 waren Daten von rund 530 Millionen Facebook-Mitgliedern außerhalb Facebooks aufgetaucht. Über ein spezielles Kontaktformular können Sie Facebook fragen, ob auch Ihre Daten betroffen sind.
- In diesem Artikel lesen Sie außerdem, wie Ihre personenbezogenen Daten auch ohne Sicherheitslücken in falsche Hände geraten und wie sie dies einschränken können.
Scraping-Fälle: Facebook bietet Prüfung an
Am Osterwochenende 2021 schreckt eine Meldung zahlreiche Facebook-Mitglieder auf: Persönliche Daten von mehr als 530 Millionen von ihnen sollen im Internet veröffentlicht worden sein. Darunter sollen auch Daten von rund 6 Millionen Menschen aus Deutschland sein. Nach Medienberichten wurden sie wohl über eine Sicherheitslücke erbeutet, die Facebook nach eigenen Angaben im August 2019 geschlossen hatte. Damals waren unter anderem Handynummern von Facebook-Profilen unverschlüsselt zugänglich. Durch das so genannte Scraping lassen sich solche Infos mit weiteren personenbezogenen Daten zusammenführen. Wer Fragen zu dem Vorfall an Facebook stellen möchte, findet im Hilfebereich des sozialen Netzwerks ein spezielles Online-Formular dafür.
Das Formular bietet verschiedene Anfrage-Möglichkeiten. Für jede Anfrage müssen Sie ein eigenes Formular abschicken. Wenn Sie darüber erfahren möchten, ob Ihre Daten betroffen sind, erhalten Sie per E-Mail eine automatische Antwort mit Verweis auf die Internetseite haveibeenpwned.com. Dort können Sie ins Eingabefeld entweder Ihre E-Mail-Adresse eintippen oder Ihre Telefonnummer (im internationalen Format, also +49123...) und erfahren direkt, ob die Angaben in einem bekannten Daten-Leak vorhanden sind.
Sammelklage der Verbraucherzentralen
Kommt bei der Prüfung heraus, dass Sie vom Scraping bei Facebook betroffen sind, können Sie Schadenersatz von Facebook fordern. Dafür können Sie sich zum Beispiel kostenlos der Sammelklage des Verbraucherzentrale Bundesverbands (vzbv) anschließen.
Im November 2024 entschied der Bundesgerichtshof (BGH) darüber, ob schon der bloße Kontrollverlust über die eigenen Daten die Betroffenen dazu berechtigt, Schadenersatz zu fordern. Die Frage ist dabei auch: Reicht es dafür aus, dass jemand anderes als Facebook die Daten bekommen hat? Oder müssen die Daten tatsächlich kriminell genutzt worden sein, etwa für Phishing-Angriffe oder andere Betrugsversuche? Das Urteil des BGH laut Pressemitteilung: Es gibt Anspruch auf immateriellen Schadenersatz – es reicht also, dass Fremde die Daten von Facebook sammeln konnten (Az. VI ZR 10/24).
Apps können persönliche Daten abgreifen
Ob Sicherheitslücke oder nicht: Daten von Facebook-Anwender:innen können zum Beispiel von Apps gesammelt werden. Dabei geht es um Anwendungen, die man auf Facebook nutzen kann. Schon im März 2018 wurde bekannt, dass die britische Analysefirma Cambridge Analytica über eine Facebook-Anwendung persönliche Daten von 87 Millionen Facebook-Mitgliedern gesammelt haben soll. Diese soll sie für Wahlwerbung vor allem in den USA missbraucht haben. Die Betroffenen wussten darüber nicht Bescheid. In Deutschland sollen rund 310.000 Facebook-Nutzer:innen von der Daten-Affäre betroffen gewesen sein.
Es stellte sich heraus, dass Cambridge Analytica kein Einzelfall war. So konnten Entwickler:innen zum Beispiel im September 2018 durch eine Panne auf Fotos von rund 7 Millionen Facebook-Mitgliedern zugreifen, auch wenn diese nicht öffentlich hochgeladen worden waren. Im Dezember 2019 wurde bekannt, dass persönliche Daten von 267 Millionen Facebook-Nutzer:innen offen im Internet verfügbar waren. Auch sie wurden möglicherweise mit Apps unbemerkt gesammelt.
Prüfen Sie Zugriffe unerlaubter Apps
Auf dieser Seite im Hilfebereich können Sie prüfen, ob Sie Apps bei Facebook verwendet haben, die unerlaubt Daten sammelten. Solche Anwendungen sperrt Facebook nämlich nach eigenen Angaben, sobald sie entsprechend auffallen. Ursprünglich wurde die Seite eingerichtet, um zu zeigen, ob Facebook-Mitglieder oder ihre Freunde jemals die Facebook-Anwendung "This Is Your Digital Life" verwendet haben. Damit konnte Cambridge Analytica an die Nutzerdaten gelangen.
Inzwischen ist die Seite allgemeiner aufgebaut und prüft Zugriffe durch weitere Anwendungen, die Facebook gesperrt hat. Darüber hinaus gibt es einen Link direkt zu dem Bereich in den umfangreichen Einstellungen, in dem die Zugriffsrechte für Apps und Internetseiten verwaltet werden können.
Auch "Login mit Facebook" läuft meist über eine App
Es ist wichtig zu wissen, dass Facebook in diesem Fall mit Apps nicht seine eigenen Apps meint, die man sich auf Smartphones und Tablets installieren kann. Es geht um Programme, die Facebook als Plattform nutzen und dort ebenfalls als Apps bezeichnet werden. Selbst wer meint, nie bewusst solche Anwendungen aktiviert zu haben, könnte auf der Seite in den Einstellungen einige Einträge finden. Denn solche Apps werden zum Beispiel von Firmen eingesetzt, um den Facebook-Login auf ihren eigenen Internetseiten zu ermöglichen. Dadurch müssen Sie kein neues Konto auf der Internetseite anlegen und sparen sich das Merken eines weiteren Passworts. Diese Methode hat aber auch Nachteile, die wir im Artikel über "Single-Sign-On" erklären.
In einem separaten Artikel erklären wir außerdem, wie Sie Änderungen an App-Zugriffen auf Facebook vornehmen können.
Weitere Möglichkeiten zur Prüfung
Selbst wenn Facebook anzeigt, dass Sie keine blockierte App genutzt hätten, können Daten von Ihnen im Internet missbraucht werden. Das gilt besonders für Login-Daten (Benutzername und Passwort) zu den unterschiedlichsten Online-Diensten. So können Sie zum Beispiel beim HPI Identity Leak Checker der Universität Potsdam oder beim Identity Leak Checker der Universität Bonn Ihre E-Mail-Adresse eingeben und erhalten anschließend eine E-Mail dorthin, ob Ihre Adresse und weitere Daten in bekannten dubiosen Datenbanken vorhanden sind. Auch Apples Browser Safari und weitere wie Firefox und Chrome bieten inzwischen Möglichkeiten, Sie über Passwort-Veröffentlichungen zu informieren.
Was sollten Betroffene unternehmen?
Wenn Daten von Ihnen in zwielichtigen Datenbanken kursieren oder durch Hacker-Angriffe erbeutet wurden, handeln Sie!
- Ändern Sie Ihr Passwort für das betroffene Internetangebot. Achten Sie dabei auf gängige Regeln für ein starkes Passwort und nutzen Sie für jeden Account ein anderes.
- Seien Sie besonders skeptisch bei E-Mails und SMS unbekannter Herkunft. Im Phishing-Radar zeigen wir typische Merkmale betrügerischer Nachrichten. Öffnen Sie keinesfalls Links oder Anhänge in solchen Nachrichten.
- Wenn möglich ändern Sie Ihre E-Mail-Adresse und Handynummer. Vor allem bei der E-Mail-Adresse ist es sinnvoll, mehrere zu nutzen – also etwa eine für soziale Netzwerke, eine andere für Freunde und Familie, eine dritte für Verträge etc.