251 Millionen Euro Bußgeld gegen Meta
Die irische Datenschutzbehörde (DPC) hat am 17.12.2024 verkündet, dass sie ein Bußgeld in Höhe von 251 Millionen Euro gegen Meta verhängt hat. Anlass war ein vom Social-Media-Konzern gemeldeter Datenschutzvorfall im Jahr 2018, der die persönlichen Informationen von 29 Millionen Facebook-Nutzern weltweit kompromittierte, darunter 3 Millionen Nutzer aus der EU. Die DPC wirft Meta verschiedene Verstöße gegen die Datenschutzgrundverordnung (DSGVO) vor, wie etwa die Verletzung von Melde- und Dokumentationspflichten.
Datenschutzvorfall bei Meta
Die Datenschutzverletzung geht auf eine Schwachstelle zurück, die durch die Einführung einer Video-Upload-Funktion in Kombination mit einer Vorschau auf das eigene Facebook-Profil im Jahr 2017 entstand. In Verbindung mit der „Happy Birthday Composer“-Funktion konnten Nutzer einen Token generieren, der vollständigen Zugriff auf Facebook-Profile ermöglichte.
Zwischen dem 14. und 28. September 2018 nutzten Angreifer dies und verschafften sich Zugang zu einer Vielzahl von Konten. Zu den kompromittierten Daten gehörten laut der Pressemitteilung der DPC unter anderem Namen, E-Mail-Adressen, Telefonnummern, Standortdaten, Religionen, Geschlechter und sogar persönliche Beiträge sowie Informationen über Kinder. Der Datenschutzvorfall kompromittierte persönlichen Daten von 29 Millionen Facebook-Nutzern weltweit, darunter 3 Millionen Nutzer aus der EU. Als Facebook-Mitarbeiter kurz danach durch erhöhte Video-Uploads auf den Vorfall aufmerksam wurden, eliminierten sie diese Sicherheitslücke.
Entscheidungen der DPC
Die DPC stellte verschiedene Verstöße fest, die sie in zwei Entscheidungen aufgliederte und verhängte insgesamt ein Bußgeld in Höhe von 251 Millionen Euro gegen Meta. Der vollständige Beschluss soll in Kürze veröffentlicht werden.
Verletzung von Melde- und Dokumentationspflichten
Die DPC stellte zunächst eine Missachtung von Art. 33 Abs. 3 DSGVO fest. Meta habe es versäumt, in der Vorfallsmeldung an die DPC alle notwendigen Informationen bereitzustellen. Dafür verhängte sie eine Geldstrafe von 8 Millionen Euro. Außerdem liege ein Verstoß gegen Art. 33 Abs. 5 DSGVO vor, da Meta die relevanten Fakten und die ergriffenen Gegenmaßnahmen nicht ausreichend dokumentiert habe. So habe sich die Überprüfung durch die Aufsichtsbehörden erschwert. Dies führte zu einer weiteren Strafe von 3 Millionen Euro.
Fehlende Datenschutzmaßnahmen im Systemdesign
Daneben moniert die DPC das Fehlen von Schutzmechanismen im System Design. Hierin liege ein Verstoß gegen den Grundsatz „Privacy by Design“ entgegen Art. 25 Abs. 1 DSGVO. Die Strafe hierfür beläuft sich auf 130 Millionen Euro. Im Übrigen habe Meta nicht sichergestellt, dass nur die für spezifische Zwecke erforderlichen personenbezogenen Daten verarbeitet werden und damit Art. 25 Abs. 2 DSGVO verletzt. Daraus resultierte ein zusätzliches Bußgeld von 110 Millionen Euro.
Fazit
Der Vorfall zeigt die Risiken, die unzureichende Sicherheitsmaßnahmen und fehlerhafte Designs für Individuen mit sich bringen können, wie der DPC Deputy Commissioner Graham Doyle betont. Nicht selten enthalten Facebook-Profile hochsensible Informationen, darunter religiöse Ansichten, politische Überzeugungen und sexuelle Orientierung, auf die Angreifer durch solche Sicherheitslücke Zugriff haben können. Unternehmen sollten den Fall als Anlass nehmen, ihre eigenen Datenschutzpraktiken und insbesondere Systemdesigns zu überprüfen und sicherzustellen, dass sie den gesetzlichen Vorgaben entsprechen.