DSGVO: 91 Millionen € Bußgeld gegen Meta

11. Oktober 2024

Die irische Datenschutzkommission (DPC) hat Meta Platforms Ireland Limited (Meta) am 27.09.2024 zu einem Bußgeld von 91 Millionen € aufgrund von Verletzungen gegen die Datenschutzgrundverordnung (DSGVO) verurteilt. Insbesondere soll Meta Passwörter von Nutzern in unverschlüsselter Form gespeichert haben.

Sicherheitsvorfall bei Meta

Der Fall begann im März 2019, als Meta die DPC darüber informierte, dass Passwörter von Nutzern sozialer Medien versehentlich im Klartext auf internen Systemen gespeichert wurden. Das soziale Netzwerk soll Passwörter jahrelang unverschlüsselt abgespeichert haben. Die Nutzerdaten seien für mehr als 20.000 Mitarbeiter sichtbar gewesen. Betroffen seien über 100 Millionen Nutzer von Facebook, Instagram und Facebook Lite gewesen. Ein interner Missbrauch der Daten habe laut Meta nicht stattgefunden. Infolgedessen begann die DPC im April 2019 mit der Untersuchung, ob Meta den Anforderungen der DSGVO hinsichtlich der Sicherheit von Datenverarbeitungsprozessen nachgekommen war.

Verstöße gegen die DSGVO

Die Untersuchung führte schließlich zu der Feststellung, dass Meta gegen mehrere Artikel der DSGVO verstoßen hatte. Zunächst habe es Meta entgegen Art. 33 Abs. 1 DSGVO versäumt, die DPC unverzüglich über die Datenschutzverletzung zu informieren. Die im März 2019 vorgenommene Meldung erfolgte verspätet. Zudem habe Meta nicht, wie in Art. 33 Abs. 5 DSGVO vorgeschrieben, die Datenschutzverletzung ordnungsgemäß dokumentiert. Im Übrigen habe Meta den Grundsatz der Integrität und Vertraulichkeit der Datenverarbeitung nach Art. 5 Abs. 1 lit. f DSGVO verletzt. Zuletzt habe es das Unternehmen versäumt, ein angemessenes Sicherheitsniveau für die Datenverarbeitung durch technische und organisatorische Maßnahmen (TOM) nach Art. 32 Abs. 1 DSGVO zu gewährleisten.

Die Entscheidung der DPC und ihre Auswirkungen

Die Entscheidung trafen nun fünf Jahre später die irischen Datenschutzkommissionäre Des Hogan und Dale Sunderland. Nach Abschluss ihrer Untersuchung hatte die DPC entsprechend Art. 60 DSGVO einen Entscheidungsentwurf im Juni 2024 an alle involvierten Datenschutzbehörden geschickt. Ein Widerspruch fand nicht statt. Eine Informierung von Meta erfolgte am 26.09.2024 zuvor. Die Entscheidung der DPC führte zu einer erheblichen Geldstrafe in Höhe von 91 Millionen € gegen Meta nach Art. 58 Abs. 2 lit. i DSGVO und Art. 83 DSGVO. Hinzu kommt eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO. Die vollständige Entscheidung soll demnächst veröffentlicht werden.

Relevanz für andere Unternehmen

Die Entscheidung zeigt die Wichtigkeit der Einhaltung der datenschutzrechtlichen Meldefristen, damit betroffene Nutzer und Behörden schnell auf potenzielle Gefahren reagieren können. Daneben sollten verantwortliche stets vor der Verarbeitung eine Risikoabschätzung vornehmen, um entsprechende Sicherheitsvorkehrungen abhängig von der potenziellen Gefahr treffen zu können. Graham Doyle, stellvertretender Kommissar der DPC, betonte in einer Stellungnahme, dass Meta eigentlich hätte klar sein müssen, dass Passwörter nicht im Klartext gespeichert werden sollten, da dies erhebliche Missbrauchsrisiken mit sich bringe.

Fazit

Das 91 Millionen € Bußgeld gegen Meta aufgrund von DSGVO-Verstößen reiht sich an die lange Kette an Datenschutzverletzungen, die der Social-Media-Konzern in den letzten Jahren begangen hat. Erst letzte Woche hat der EuGH entschieden, dass Meta bei personalisierter Werbung den Grundsatz der Datenminimierung beachten muss. Das aktuelle Bußgeld verdeutlich die Notwendigkeit einer ordnungsgemäßen Datenspeicherung und die Einhaltung der Meldepflichten bei Datenschutzverletzungen.

Kategorien: Bußgeld · DSGVO · Meta · Online-Datenschutz