Hackerangriff auf Social-Media-Account: So wehren sich User

Veröffentlicht am von

Hackerangriff auf Social-Media-Profile, einstweiliger Rechtsschutz und hohe Prozesskosten für Plattform – das Oberlandesgericht Rostock entschied mit Beschluss vom 07.04.2026, Az. 3 W 62/25: User haben bei einem Hackerangriff auf ihren Social-Media-Account einen Anspruch gegen den Plattformbetreiber auf Wiedereinräumung des Zugangs, der sich zumindest aus Leistungssicherungs- und Schutzpflichten im Sinne von § 241 Abs. 2 BGB ergibt. Bereits der Umstand des Hackerangriffs begründet regelmäßig einen Verfügungsgrund für ein Vorgehen im Wege des einstweiligen Rechtsschutzes.

Was war geschehen?

Die spätere Antragstellerin verlor im August 2024 durch einen Hackerangriff den Zugang zu ihren beiden Social-Media-Accounts bei einer großen Plattform. Dritte erlangten die unbefugte Kontrolle über die Konten und waren in der Lage, diese unter der Identität der Antragstellerin zu nutzen sowie Inhalte zu veröffentlichen. Die Antragstellerin sah hierin die konkrete Gefahr, dass über ihre Profile rechtswidrige oder ihr nachteilige Inhalte verbreitet werden könnten, die ihr sowohl rechtlich als auch tatsächlich zugerechnet werden könnten.

Die Antragstellerin wandte sich daraufhin an die Plattformbetreiberin, die spätere Antragsgegnerin. Sie forderte die Wiederherstellung des Zugangs zu ihren Konten sowie die Unterstützung bei der Beseitigung des Zugriffshindernisses. Die Plattformbetreiberin reagierte lediglich, indem sie eines der beiden Konten in einen sogenannten „Checkpoint“ versetzte, also eine Art Sicherheitssperre. Im Übrigen ließ sie der in Deutschland ansässigen Nutzerin nur eine vollständig in Englisch gehaltene E-Mail mit der Mitteilung einer Bearbeiternummer zukommen.  Auf eine nachfolgende anwaltliche Fristsetzung reagierte die Plattformbetreiberin nicht mehr.

Einschub: Welche Plattform versetzt Accounts in einen „Checkpoint“-Zustand?

Da in dem Beschluss ausdrücklich erwähnt wird, dass die Antragsgegnerin das betroffene Konto in einen „sogenannten Checkpoint“ versetzen konnte, und der Fall zwei Profile bei demselben Plattformbetreiber umfasst, dürfte es sich bei dem beklagten Unternehmen um Meta mit den beiden Plattformen Facebook und Instagram) handeln.

Was bedeutet der „Checkpoint“-Zustand bei Meta?

Wenn die automatisierten Sicherheitssysteme von Facebook oder Instagram verdächtige Aktivitäten feststellen – beispielsweise den Login-Versuch eines Hackers aus einem anderen Land oder ein ungewöhnliches Nutzungsverhalten –, wird ein Sicherheitsmechanismus (technisch oft als Fehlercode „checkpoint_required“ ausgegeben) ausgelöst:

  • Sicherheits-Einfrieren: Das Profil wird zum Schutz vorübergehend eingefroren und verriegelt. In diesem Zustand können oft weder der Hacker noch der eigentliche Besitzer auf die Funktionen zugreifen. Das Profil wird für die Öffentlichkeit vorläufig unsichtbar gemacht, um weiteren Schaden abzuwenden.
  • Identitätsprüfung: Um diesen Checkpoint zu passieren und das Konto wieder freizuschalten, verlangt die Plattform einen Identitätsnachweis. Dies geschieht in der Regel durch die Eingabe eines Sicherheitscodes, der an die ursprünglich hinterlegte Telefonnummer oder E-Mail-Adresse gesendet wird, oder im äußersten Notfall durch das Hochladen eines amtlichen Ausweisdokuments.

Wie reagierte die Antragstellerin?

Die Antragstellerin machte gegen die Plattformbetreiberin einen Verfügungsanspruch auf Wiedereinräumung des Zugangs zu ihren Benutzerkonten geltend, der sich aus dem zwischen den Parteien zustande gekommenen Vertrag über die Nutzung der sozialen Medien gemäß § 241 Abs. 2 BGB ergab. Sie beantragte dazu beim Landgericht Rostock den Erlass einer einstweiligen Verfügung. Sie forderte die vollständige Wiederherstellung des Zugangs zu ihren Profilen.

Das Landgericht gab dem Antrag nur teilweise statt und verurteilte die Antragstellerin, die gesamten Verfahrenskosten zu tragen. Gegen diese Kostenentscheidung legte die Nutzerin sofortige Beschwerde zum Oberlandesgericht ein.

Wie entschied das Gericht?

Das Oberlandesgericht Rostock änderte die Kostenentscheidung des Landgerichts zugunsten der Antragstellerin ab. Die Antragstellerin muss nur ein Drittel der Verfahrenskosten tragen, die Plattformbetreiberin zwei Drittel.

Das Gericht begründete dies damit, dass im Falle eines Hackerangriffs auf einen Social-Media-Account ein Verfügungsanspruch des Nutzers auf Wiedereinräumung des Zugangs zu seinem Konto gegen den Anbieter zumindest aus Leistungssicherungs- und Schutzpflichten im Sinne von § 241 Abs. 2 BGB bestehe:

„a. Ein Verfügungsanspruch der Antragstellerin gegen die Antragsgegnerin auf Wiedereinräumung des Zugangs zu ihren Benutzerkonten bei (…) und […] ergab sich aufgrund des Verlustes ihrer Zugriffsmöglichkeit wegen eines Hackerangriffs zumindest im Sinne einer entsprechenden Nebenpflicht der Antragsgegnerin aus dem unstreitig zwischen den Parteien zustande gekommenen Vertrag über die Nutzung der betreffenden sozialen Medien gemäß § 241 Abs. 2 BGB. Denn unabhängig von ihrer konkreten rechtlichen Einordnung beinhalten derartige Verträge die (Haupt)Pflicht des Plattformbetreibers, dass sämtliche Funktionen ohne Einschränkungen genutzt werden können, mit der Folge umgekehrt eines korrespondierenden Anspruchs des Nutzers darauf (vgl. Gerecke-Heins, Handbuch Social-Media-Recht, 1. Aufl., 2023, § 4 Rn. 86).

aa. Scheitert die Nutzung eines Accounts im Verlauf des Vertragsverhältnisses an einem Eingriff von dritter Seite, muss sich dann eine Verpflichtung des Anbieters zur Unterstützung des Nutzers bei einer Wiederherstellung des verloren gegangenen Zugangs zu dem betroffenen Konto schlichtweg daraus ergeben, dass dieser selbst über keine Möglichkeiten verfügte, um ein bestehendes Zugriffshindernis eigenständig zu beheben oder zu überwinden (vgl. allgemein zu Leistungssicherungspflichten Staudinger-Olzen, BGB, Neubearbeitung 2024, § 241 Rn. 265 ff. m. w. N.). Das Vertragsverhältnis könnte ansonsten rein tatsächlich nicht mehr umgesetzt werden.

bb. Gleiches folgt aus denselben Gründen zudem im Hinblick darauf, dass sich die Vertragspartner bei Abwicklung des Schuldverhältnisses so zu verhalten haben, dass die Rechtsgüter des anderen Teils nicht verletzt werden (vgl. allgemein zu Schutzpflichten Hau/Poseck-Sutschet, BeckOK BGB, Stand: 01.02.2026, § 241 Rn. 89 m. w. N.). Die Übernahme eines Benutzerkontos durch einen Dritten im Wege eines Hackerangriffs enthebt den Vertragspartner des Plattformbetreibers der Möglichkeit, selbst über die unter seiner Identität eingestellten Inhalte zu entscheiden mit dem Risiko, dass sowohl seine (höchst)persönlichen als auch seine Vermögensrechte dadurch nachteilig in Mitleidenschaft gezogen werden.“

Das Gericht stellte klar, dass sich das Risiko der Antragstellerin nicht als lediglich „rein spekulativ“ einordnen lasse:

„… dem steht eben der Umstand entgegen, dass eine Übernahme ihrer Konten im Wege eines Hackerangriffs erfolgt ist, dem kaum lautere Motive zugrunde gelegen haben dürften, sondern der eine Verwendung der Zugriffsmöglichkeit zu Zwecken, mit denen man nicht selbst erkennbar in Erscheinung treten möchte, geradezu indiziert.“

Und weiter zur Eilbedürftigkeit:

„Die unmittelbaren Möglichkeiten zur Nutzung eines gehackten Social-Media-Accounts durch einen Dritten zur Verbreitung von Inhalten schließen ein längeres Zuwarten bis zur Erwirkung einer Hauptsacheentscheidung im Hinblick darauf, ein solches Verhalten wirksam zu unterbinden, im Übrigen grundsätzlich aus.“

Allerdings gab das Gericht der Plattform insoweit Recht, als im Eilverfahren zunächst nur eine Sicherung durch Sperre der Konten, nicht aber die vollständige Wiedereinräumung des Zugangs verlangt werden könne. Eine Befriedigungsverfügung sei nur dort gerechtfertigt, wo das Versagen einer solchen Verfügung zu einer irreparablen Schädigung des Antragstellers führe. Diese Prüfung verlange zunächst die Feststellung, dass unter Beachtung von Art und Umfang der Gefahr sowie aufgrund der Interessenabwägung keine einstweilige Maßnahme in Frage komme, die „unterhalb“ des geltend gemachten Anspruchs die Rechtsstellung sichere.

Es habe hier zur ausreichenden Absicherung der Antragstellerin genügt, ihre Benutzerkonten generell, also auch für die Dritten, welche sich einen Zugang mittels Hacking verschafft hatten, zu sperren, und so von diesen vorgenommene Handlungen zum Nachteil der Antragstellerin zu verhindern.

Hinsichtlich der Kosten stellte das Gericht fest, dass die Plattform das Verfahren veranlasst habe. Der Rechtsgedanke des § 93 ZPO könne eine Kostenpflicht des Antragsgegners trotz von Anfang an unbegründeten Antrages zu rechtfertigen, wenn er durch sein Verhalten – wie beispielsweise mangelnde Information des Antragstellers – die Einleitung des gerichtlichen Verfahrens veranlasst habe.

Die Antragstellerin habe keinerlei Anhaltspunkte dafür gehabt, dass ihrem Anliegen kurzfristig nachgekommen würde oder dies sogar schon geschehen sei. Ein in dem angefochtenen Beschluss offenbar als notwendig angenommener Zeitraum zum Zwecke einer „umfassenden Prüfung durch die Antragsgegnerin“ habe sich der Antragstellerin nicht erschließen müssen.

Hinsichtlich des Informationsgehaltes der E-Mail könne bereits im Ansatz nicht außer Acht gelassen werden, dass die Nachricht ausschließlich auf Englisch verfasst war, sodass die Antragsgegnerin kein durchgehendes und umfassendes Verständnis ihres Inhaltes im Falle eines deutschen Nutzers unterstellen könne.

Das Oberlandesgericht setzte einen Streitwert von bis zu 10.000,00 € an. Die daraus berechneten Verfahrenskosten waren dann keine Taschengeldbeträge mehr…

Welche Auswirkung hat die Entscheidung auf die Praxis?

Die Entscheidung des OLG Rostock bringt wichtige Klarstellungen für alle Nutzer von Social-Media-Plattformen, insbesondere für Unternehmer und Händler, die diese Kanäle geschäftlich nutzen.

Plattformbetreiber haben Mitwirkungspflichten

Die Entscheidung bestätigt, dass Plattformbetreiber nicht nur technische Dienstleister sind, sondern vertragliche Schutzpflichten und deshalb Mitwirkungspflichten gegenüber ihren Nutzern haben. Ein Hackerangriff allein begründet bereits die Eilbedürftigkeit für gerichtliche Maßnahmen – Betroffene müssen nicht erst abwarten, bis konkrete Schäden wie betrügerische Nachrichten an Kunden oder gefälschte Angebote entstehen.

Worauf müssen Verbraucher achten?

Verbraucher sollten bei einem Hackerangriff auf ihre Social-Media-Konten nicht passiv bleiben. Sie haben einen rechtlichen Anspruch auf Unterstützung durch den Plattformbetreiber. Automatisierte E-Mails in fremder Sprache ohne konkrete Hilfestellung reichen nicht aus. Verbraucher können im Eilverfahren zunächst eine Sperre des Kontos verlangen, um weiteren Missbrauch zu verhindern. Die vollständige Wiederherstellung des Zugangs kann dann in einem Hauptsacheverfahren durchgesetzt werden.

Worauf müssen Unternehmer achten?

Für Unternehmer, die Social-Media-Kanäle geschäftlich nutzen, ist die Entscheidung besonders relevant. Der Verlust des Zugangs zu Firmen-Accounts kann erhebliche wirtschaftliche Folgen haben: Kundenkontakte gehen verloren, das Unternehmensimage wird beschädigt, und Hacker können im Namen des Unternehmens betrügerisch handeln.

Unternehmer sollten bei einem Hackerangriff sofort handeln:

  • Dokumentieren Sie den Vorfall genau
  • Kontaktieren Sie den Plattformbetreiber umgehend
  • Setzen Sie eine angemessene Frist zur Reaktion
  • Schalten Sie bei Untätigkeit oder unzureichender Reaktion einen Rechtsanwalt ein
  • Beantragen Sie notfalls im Eilverfahren eine Kontosperre

Die Entscheidung zeigt auch, dass Plattformbetreiber nicht mit rein automatisierten, fremdsprachigen Antworten reagieren dürfen. Von international tätigen Unternehmen wird erwartet, dass sie in der Sprache des jeweiligen Marktes kommunizieren und konkrete Hilfestellung leisten.

Welche wichtige Einschränkung gilt im Verfügungsverfahren?

Beachten Sie, dass im Eilverfahren (Verfügungsverfahren) grundsätzlich nur eine Sperre des Kontos, nicht aber die vollständige Wiederherstellung des Zugangs verlangt werden kann. Dies dient der Schadensbegrenzung. Die vollständige Wiedereinräumung des Zugangs muss gegebenenfalls in einem nachfolgenden Hauptsacheverfahren durchgesetzt werden.

Kostenrisiko des Plattformbetreibers

Die Entscheidung zeigt, dass Plattformbetreiber, die nicht angemessen auf Hackerangriffe reagieren, mit einer Kostentragungspflicht rechnen müssen – selbst wenn der Nutzer im Eilverfahren nur teilweise obsiegt. Dies erhöht den Druck auf die Plattformen, schnell und effektiv zu handeln.

Checkliste: Was tun bei einem Hackerangriff auf Social-Media-Accounts?

Sofortmaßnahmen

  • Hackerangriff dokumentieren (Screenshots, Zeitpunkt, betroffene Accounts)
  • Passwörter aller verbundenen Accounts ändern
  • Zwei-Faktor-Authentifizierung aktivieren (falls noch möglich)
  • Plattformbetreiber über offizielle Kanäle kontaktieren

Kommunikation mit dem Plattformbetreiber

  • Schriftliche Meldung des Hackerangriffs
  • Fristsetzung zur Reaktion (z.B. 3-5 Werktage)
  • Dokumentation aller Kommunikation
  • Bei englischsprachiger Antwort: Übersetzung verlangen oder selbst übersetzen lassen

Rechtliche Schritte bei Untätigkeit:

  • Rechtsanwalt einschalten
  • Anwaltliches Aufforderungsschreiben mit Fristsetzung
  • Bei weiterer Untätigkeit: Antrag auf einstweilige Verfügung

Antrag im Eilverfahren

  • Sperre des gehackten Accounts (auch für die Hacker)
  • Nicht: Vollständige Wiederherstellung des Zugangs (nur im Hauptsacheverfahren möglich)

Begründung des Eilantrags

  • Vertragliche Schutzpflicht des Plattformbetreibers (§ 241 Abs. 2 BGB)
  • Gefahr des Missbrauchs durch Hacker
  • Risiko für persönliche und wirtschaftliche Interessen
  • Unmöglichkeit der eigenständigen Problembehebung

Nach erfolgreicher Sperre

  • Hauptsacheverfahren für vollständigen Zugang erwägen
  • Schadensersatzansprüche prüfen
  • Sicherheitsmaßnahmen für die Zukunft verstärken

Adressliste: Wo melden Sie einen Hackerangriff?

Amazon:

  • Amazon Seller Central: Über „Hilfe“ → „Kontakt“ → „Konto- und Anmeldeprobleme“
  • Amazon-Kundenservice: www.amazon.de/gp/help/customer/contact-us
  • Bei Seller-Accounts: sellercentral.amazon.de → Case öffnen
  • Telefon-Hotline: 0800 363 8000 (kostenlos aus Deutschland) – hier ist allerdings Vorsicht geboten: Amazon hat direkte Inbound-Hotlines für Endkunden wohl weitestgehend deaktiviert. Oft führt ein Anruf dort nur noch zu einer Bandansage, die auf die Website verweist.

eBay:

  • eBay-Kundenservice: www.ebay.de/help/home
  • „Mein eBay“ → „Konto“ → „Sicherheit“ → „Verdächtige Aktivitäten melden“
  • Telefon: 0800 322 9675 (kostenlos aus Deutschland) – aber auch eBay Deutschland hat den telefonischen Direkt-Support stark eingeschränkt.

Facebook:

Instagram:

  • In der App: Profil → Menü → „Einstellungen und Privatsphäre“ → „Hilfe“ → „Konto gehackt melden“
  • Online: help.instagram.com → „Privatsphäre und Sicherheit“ → „Gehackte Konten“
  • Direktlink: www.instagram.com/hacked
  • Kein Telefonsupport – nur App- und Web-Formulare

TikTok:

  • In der App: Profil → Menü (drei Striche) → „Einstellungen und Datenschutz“ → „Problem melden“
  • Online: support.tiktok.com
  • Kategorie: „Konto und Profil“ → „Konto gehackt“
  • E-Mail: privacy@tiktok.com
  • Nutzer sollten ein gehacktes Konto am schnellsten über das Formular in der App melden (Option: „Konto wiederherstellen“ direkt auf dem Login-Bildschirm, falls man nicht mehr reinkommt).

LinkedIn:

Xing:

  • Hilfebereich: faq.xing.com
  • „Sicherheit“ → „Verdächtige Aktivitäten“
  • E-Mail: support@xing.com
  • Telefon: +49 40 419 131 300 (Mo-Fr 9-18 Uhr) – allerdings leistet Xing wohl telefonisch in der Regel keinen direkten IT-Support für Account-Wiederherstellungen, sondern verweist auf den schriftlichen Weg.
  • Online-Formular: www.xing.com/support

Allgemeine Hinweise zur Kontaktaufnahme:

Bei allen Plattformen gilt:

  • Nutzen Sie offizielle Kanäle (keine Links aus verdächtigen E-Mails)
  • Dokumentieren Sie alle Kontaktversuche mit Datum und Uhrzeit
  • Bewahren Sie Screenshots und Bestätigungsnummern auf
  • Fordern Sie deutschsprachige Kommunikation ein
  • Setzen Sie klare Fristen (z.B. 3-5 Werktage)
  • Schalten Sie bei Untätigkeit einen Rechtsanwalt ein

Wichtig: Viele Plattformen bieten keinen direkten Telefonsupport. Nutzen Sie die offiziellen Online-Formulare und dokumentieren Sie Ihre Meldungen. Bei ausbleibender oder unzureichender Reaktion sollten Sie rechtliche Schritte erwägen.

 

© RA Stefan Loebisch | Kontakt

 

Ähnliche Artikel

  1. OS-Plattform: Nach dem Link-Chaos
  2. OS-Plattform freigeschaltet – Informationspflicht für Webshop-Händler
  3. OS-Plattform: Link überprüfen – Abmahnung droht
  4. OS-Plattform: Neue Informationspflicht für Webshop-Betreiber
  5. http-Link zur OS-Plattform funktioniert wieder