Die Datenschutz-Grundverordnung (DSGVO) erweist sich erneut als wirksames Instrument. Die irische Datenschutzbehörde (DPC) hat eine empfindliche Geldstrafe gegen Meta das Unternehmen hinter Facebook verhängt. Der Betrag beläuft sich auf stolze 251 Millionen Euro. Ein schwerwiegender Sicherheitsvorfall der 2018 ans Licht kam, war der Auslöser.
Sicherheitsvorfall mit weitreichenden Folgen
Die Ursprünge des Verstoßes lassen sich auf das Jahr 2017 zurückverfolgen. Facebook führte damals eine neue Videofunktion ein. Dadurch konnten Nutzer ihre Profile aus der Perspektive anderer sehen. Ein Designfehler eröffnete Angreifern die Möglichkeit Zugriffstoken zu generieren. Im September 2018 nutzen Unbekannte diese Sicherheitslücke aus und stahlen Informationen von etwa 29 Millionen Facebook-Nutzern. Rund drei Millionen dieser Konten befanden sich in der Europäischen Union.
Sensible Daten betroffen
Die erbeuteten Informationen betrafen sensible personenbezogene Daten. Darunter fielen Namen, Email-Adressen, Telefonnummern und sogar religiöse gleichermaßen politische Überzeugungen. Das drastische Ausmaß des Vorfalls und die Art der entwendeten Daten führten schlussendlich zur hohen Geldstrafe gegen Meta.
Gleich zwei Verfahren gegen Meta
Die irische Datenschutzbehörde nahm den Vorfall in zwei separaten Verfahren unter die Lupe. Zunächst erhebt sie den Vorwurf – dass Meta die Sicherheitsverletzung nicht rechtzeitig gemeldet hatte. Diese unzureichende Meldung wurde mit einem Bußgeld von 11 Millionen Euro bestraft. Nach zahlreichen Überprüfungen kam die DPC zu weiteren Kritikpunkten.
Mangelnder Datenschutz als gravierender Vorwurf
Ein schwerwiegenderer Punkt war die unzureichende Umsetzung von Datenschutzmaßnahmen durch Meta. Die DPC kritisierte die fehlenden technischen Vorkehrungen zum Schutz der Nutzerdaten. Dies führte zu einer weiteren Strafe in Höhe von 240 Millionen Euro.
Reaktionen und Folgen für Meta
Meta zeigt sich über das Urteil enttäuscht. Das Unternehmen kommuniziert – dass es die Schwachstelle sofort nach deren Entdeckung behoben habe und die betroffenen Nutzer informierte. Ein kritischer Blick auf die DPC offenbart, dass in der Vergangenheit immer wieder Vorwürfe laut wurden. Diese bezogen sich auf eine zu zögerliche Vorgehensweise gegen große Tech-Konzerne.
Einmaliges Urteil ohne Widerstand
In diesem Fall gab es jedoch keine Einsprüche von anderen europäischen Datenschutzbehörden. TechCrunch berichtet in einem aktuellen Artikel darüber. Die Strafe markiert einen weiteren Schritt in den Bestrebungen, starke Datenschutzmaßnahmen durchzusetzen. Meta sieht sich einmal ergänzend mit den Konsequenzen von Sicherheitsverletzungen konfrontiert.
Kommentare