Community
So prüfst du, ob Facebook dir für Leak Geld schuldet
Die Daten von über einer halben Milliarde Facebook-Nutzer wurden online veröffentlicht. Europäer sollen laut Gesetz Anrecht auf Schadensersatz haben.
Ein klaffendes Datenleck sorgte am Wochenende für einen Aufschrei unter Cyber-Security-Experten im Netz. In einem Hacker-Forum wurden die Daten von über einer halben Milliarde Facebook-User veröffentlicht. Name, Standort, Geburtsdatum und Telefonnummer waren einige der veröffentlichten Details. Abgesehen davon, dass vermutlich die wenigsten Menschen persönliche Daten wie ihren Beziehungsstatus gerne online breitgetreten sehen, besteht ein noch viel größeres Problem.
Irische Behörde forscht nach
Die Kombination an sensiblen Daten, die hier geleakt wurden, öffnen Tür und Tor für Online-Betrug. Name, Geburtstag, Adresse, Telefon und E-Mail – das allein reicht meistens, um online Identitätsdiebstahl zu begehen. Laut Facebook handele es sich bei den gestohlenen Daten um einen alten Datensatz, der im Zeitraum Juni 2017 bis August 2018 durch eine Sicherheitslücke erbeutet werden konnte. Diese soll seit 2019 geschlossen sein.
Diese Behauptung untersucht jetzt die irische Datenschutzbehörde. Irland übernimmt die Nachforschungen, weil das europäische Hauptquartier von Facebook seinen Sitz in Dublin hat. Aktuell habe man zur Sache noch keine proaktive Kommunikation durch Facebook erhalten.
Datenschutzbeauftragter Graham Doyle sagte in einem Statement: "Da das Datenleck vor dem Inkrafttreten der Allgemeinen Datenschutzverordnung passierte, entschloss sich Facebook, den Leak nicht zu kommunizieren." Nach Angaben von Facebook wurde die Sicherheitslücke allerdings erst 2019 geschlossen. Facebook-Vertreterin Liz Bourgeois schrieb auf Twitter: "Das sind alte Daten, darüber wurde schon 2019 berichtet. Wir haben das Problem August 2019 gefunden und berichtigt."
Stimmt diese Aussage, und Facebook fand die Sicherheitslücke tatsächlich im Jahr 2019, hätte dieses unter der Allgemeinen Datenschutzverordnung in der EU innerhalb 72 Stunden gemeldet werden müssen.
Europäer laut EuGD schadensersatzberechtigt
Die Europäische Gesellschaft für Datenschutz (EuGD) möchte nicht auf die Ergebnisse der irischen Behörde warten. Für sie ist der Fall klar: die vom Leak betroffenen Europäer sind durch die 2018 erlassene Allgemeine Datenschutz-Verordnung – auch General Data Protection Regulation (GDPR) – geschützt. Jeder Europäer, dessen Daten jetzt nackt vor dem gesamten Netz dastehen, hat laut der EuGD Anspruch auf Schadensersatz.
Noch steht nichts fest, auf der Website der EuGD kann man aber unverbindlich prüfen, ob man schadensersatzberechtigt ist.