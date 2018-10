50 Millionen Facebook-Konten sind gehakt worden. Die irische Datenschutzkommission will nun herausfinden, ob sich das Unternehmen an die EU-Regeln zum Schutz der Privatsphäre gehalten hat. Doch worum geht es dabei eigentlich?

Die Datenschutz-Grundverordnung ist noch kein ganzes Jahr in Kraft, da steht sie schon vor einer ganz besonderen Herausforderung: dem Facebook-Hack. Dem Verfahren wird sehr viel Aufmerksamkeit zukommen, so viel ist sicher. Der Düsseldorfer Rechtsanwalt und Vorstand des Bundesverbands der Datenschutzbeauftragten Deutschlands (BvD) Jens Eckhardt erklärt, um welche Fragen es dabei geht.

Beim Facebook-Hack haben sich Unbekannte Zugang zu rund 50 Millionen Facebook-Konten verschafft. Facebook ist ein amerikanisches Unternehmen. Warum ist der Hack trotzdem ein Fall für den europäischen Datenschutz?

Die Datenschutz-Grundverordnung (DSGVO) regelt EU-weit den Schutz personenbezogener Daten. Das sind zum Beispiel der genaue Wohnort, das Alter oder auch persönliche Gespräche über einen Messenger. Jeder Bürger, der einen Wohnsitz in der EU hat, ist durch die DSGVO geschützt. Wenn EU-Bürger betroffen sind, kann sie daher auch in einem Fall zur Anwendung kommen, bei dem die eigentliche Datenverarbeitung beispielsweise in den USA stattgefunden hat.

Facebook hat nach dem Hack schnell reagiert und die irische Datenschutzkommission informiert. Liegt das an der DSGVO?

Wenn von einem Vorfall wie einem Hackerangriff ein Risiko für die betroffenen Menschen ausgeht, hat ein Unternehmen laut der DSGVO 72 Stunden Zeit, die zuständige Behörde zu informieren. Dabei ist die Frist erst einmal wichtiger als der Inhalt. Das Unternehmen muss sagen, was es zu dem Zeitpunkt schon über den Vorfall weiß und dann Informationen nachreichen. So wie ich das der Presse entnehmen konnte, spricht einiges dafür, dass sich Facebook bei seinem Vorgehen an der DSGVO ausgerichtet hat.

Betroffene Nutzer hat Facebook über den Newsfeed informiert. Warum?

Bei einem hohen Risiko für die Nutzer, müssen auch sie informiert werden. Das Unternehmen muss in klarer und einfacher Sprache beschrieben, was passiert ist, so dass sich die Betroffenen ein Bild von der Situation machen können. Die DSGVO verlangt hier aber keine Detailbeschreibung.

Manche der Betroffenen fanden sich tatsächlich durch den Hinweis im Newsfeed nicht ausreichend informiert.

Natürlich ist es nachvollziehbar, wenn Nutzer mehr wissen wollen. Doch aus Sicht des Unternehmens und des Datenschutzes muss man auch abwägen, ob man mit einer zu detaillierten Beschreibung keine Anleitung zum Nachmachen gibt. Man muss auch sagen: Die DSGVO ist erst seit einem halben Jahr in Kraft, was die Regeln im „Klein, Klein“ bedeuten, ist noch nicht ganz klar. Es wird sich zeigen, ob die Informationen nach den Regeln der DSGVO ausreichend waren. Wenn nicht – oder wenn Facebook gegen sonstige Meldepflichten verstoßen haben sollte – droht ein Bußgeld.

Wovon hängt es ab, ob Facebook für den Hack zur Verantwortung gezogen werden kann?

Angenommen die Ursache des Vorfalls basiert auf einer Verletzung der DSGVO, dann stellt sich die Frage, ob Facebook diesen Fehler fahrlässig begangen hat. Fahrlässig ist zum Beispiel, wenn Sie ein tiefes Loch in ihrem Garten ausheben und dann weggehen, ohne es zu sichern. Fällt dann ein Postbote oder ein spielendes Kind hinein und bricht sich den Arm, muss man fragen: Hätten Sie damit rechnen und deshalb zum Beispiel ein Flatterband hinstellen müssen?

Entscheidend ist also: Hätte Facebook erkennen müssen, dass die drei Bugs in Kombination ein Einfallstor für Hacker bilden können? Wenn die Antwort „Ja“ ist, was geschieht dann?

Wenn sich herausstellt, dass Facebook fahrlässig gehandelt hat, dann wäre das ein Verstoß gegen die DSGVO. Dann droht Facebook ein Bußgeld von bis zu zwei Prozent des gesamten weltweit erzielten Vorjahresumsatzes.

Könnten dann auch die betroffenen Nutzer Schadensersatz erhalten?

Grundsätzlich ist das in der DSGVO vorgesehen. In dem Fall müsste den Betroffenen aber auch ein Schaden entstanden sein. Das wäre zum Beispiel der Fall, wenn sich ein Dritter in Ihren Account einloggt und etwas bestellt, dass Sie bezahlen mussten. Soweit ich es der Berichterstattung entnommen habe, ist aber von Schäden bisher nichts bekannt.

Man kann nach der DSGVO zudem auch Schadensersatz für immaterielle Schäden fordern, also Schmerzensgeld. Für solche Fälle fehlt uns aber bisher eine etablierte Rechtsprechung. Doch wenn man sich vorstellt, dass es in Deutschland für ein gebrochenes Nasenbein nur ein sehr geringes Schmerzensgeld gibt, dann kann man sich ausmalen, was es für „Unbekannte haben auf meine Daten geschaut“ geben würde.

Von Anna Schughart/RND