Irischer Datenschützer brummt Meta 91 Mio. Euro Strafe auf

Publiziert am 28. September 2024 von Günter Born

Irlands Datenschutzbehörde (Irish Data Protection Commission, DPC) hat einen DSGVO-Fall aus 2019 abgeschlossen und der Facebook-Mutter Meta eine Strafe in Höhe von 91 Mio. Euro auferlegt. Der Hintergrund: Meta bzw. Facebook hatte Passwörter im Klartext auf internen Servern gespeichert.

Anzeige

Die Vorgeschichte

Im März 2019 meldete die Meta Platforms Ireland Limited (MPIL) der irischen Datenschutzbehörde, dass es versehentlich bestimmte Passwörter von Nutzern sozialer Medien im "Klartext" (d. h. ohne kryptografischen Schutz oder Verschlüsselung) auf seinen internen Systemen gespeichert hatte. Das MPIL veröffentlichte im März 2019 auch Informationen zu diesem Vorfall. Der Fall hatte insoweit keine Konsequenzen, weil diese Passwörter keinem Dritten zugänglich gemacht wurden.

Die irische Datenschutzbehörde (Irish Data Protection Commission) leitete darauf hin im April 2019 eine Untersuchung ein. Es wurde geprüft, ob das MPIL die Datenschutzgrundverordnung (DSGVO) einhält, und insbesondere, ob das MPIL Maßnahmen ergriffen hat, um ein Sicherheitsniveau zu gewährleisten, das den mit der Verarbeitung von Passwörtern verbundenen Risiken angemessen ist. Weiterhin wurde geprüft, ob MPIL seinen Verpflichtungen nachgekommen ist, Verstöße gegen personenbezogene Daten zu dokumentieren und dem Datenschutzbeauftragten zu melden.

Die DSGVO verlangt von den für die Datenverarbeitung Verantwortlichen, dass sie bei der Verarbeitung personenbezogener Daten angemessene Sicherheitsmaßnahmen ergreifen und dabei Faktoren wie die Risiken für die Nutzer der Dienste und die Art der Datenverarbeitung berücksichtigen. Um die Sicherheit aufrechtzuerhalten, sollten die für die Datenverarbeitung Verantwortlichen die mit der Verarbeitung verbundenen Risiken bewerten und Maßnahmen zur Minderung dieser Risiken ergreifen.

Die Datenschutz-Grundverordnung verpflichtet die für die Verarbeitung Verantwortlichen außerdem, Verletzungen des Schutzes personenbezogener Daten ordnungsgemäß zu dokumentieren und die Datenschutzbehörden über Verletzungen zu informieren. Eine Verletzung des Schutzes personenbezogener Daten kann, wenn sie nicht angemessen und rechtzeitig behoben wird, zu Schäden wie dem Verlust der Kontrolle über personenbezogene Daten führen. Wenn ein für die Verarbeitung Verantwortlicher feststellt, dass eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, sollte er daher die Aufsichtsbehörde unverzüglich in der in Artikel 33 DSGVO vorgeschriebenen Weise benachrichtigen.

Anzeige

Bußgeld zum Abschluss des Verfahrens

Die Datenschutzkommission (DPC) Irlands hat zum 26. September 2024 die Untersuchung beendet und ihre Entscheidung im Fall Meta (MPIL) bekannt gegeben. Meta Platforms Ireland Limited (MPIL) erhielt eine Rüge und eine Geldbuße in Höhe von 91 Mio. EUR. In der Entscheidung des Datenschutzbeauftragten werden die folgenden Verstöße gegen die DSGVO festgestellt:

  • Artikel 33(1) DSGVO, da MPIL es versäumt hat, den Datenschutzbeauftragten über eine Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Speicherung von Benutzerpasswörtern im Klartext zu informieren;
  • Artikel 33 Absatz 5 DSGVO, da MPIL es versäumt hat, Verstöße gegen personenbezogene Daten im Zusammenhang mit der Speicherung von Benutzerpasswörtern im Klartext zu dokumentieren;
  • Artikel 5 Absatz 1 Buchstabe f DSGVO, da MPIL keine geeigneten technischen oder organisatorischen Maßnahmen ergriffen hat, um die Passwörter der Nutzer angemessen vor unbefugter Verarbeitung zu schützen; und
  • Artikel 32 Absatz 1 DSGVO, da MPIL keine geeigneten technischen und organisatorischen Maßnahmen ergriffen hat, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich der Fähigkeit, die ständige Vertraulichkeit der Benutzerpasswörter sicherzustellen.

Der stellvertretende Datenschutzbeauftragte Graham Doyle kommentierte: „Es ist allgemein anerkannt, dass Benutzerpasswörter nicht im Klartext gespeichert werden sollten, wenn man die Risiken des Missbrauchs bedenkt, die sich aus dem Zugriff von Personen auf solche Daten ergeben. Es ist zu bedenken, dass die Passwörter, um die es in diesem Fall geht, besonders sensibel sind, da sie den Zugang zu den Konten der Nutzer in den sozialen Medien ermöglichen würden."

Anzeige
Dieser Beitrag wurde unter Facebook, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Irischer Datenschützer brummt Meta 91 Mio. Euro Strafe auf

  1. Tom sagt:
    28. September 2024 um 10:54 Uhr

    Was bei ALPHABET/GOOGLE zu funktionieren scheint, gilt wohl nicht für META/FACEBOOK: gerade einmal 0,49 Prozent des Jahresüberschusses in 2019 ->

    https://www.finanzen.net/bilanz_guv/meta_platforms

    Antworten
  2. NoName sagt:
    29. September 2024 um 12:00 Uhr

    Ich hab auch gelesen, dass Zuckerberg sein Umstaz verdreifacht hat.
    Ist mir absolut unverständlich.

    Antworten
  3. Luzifer sagt:
    29. September 2024 um 19:06 Uhr

    Es war doch so das die irischen Datenschützer eigentlich gar nicht wollten, aber letzendlich durch die EU gezwungen wurden… von daher ist klar das die nicht gerade ne hohe Strafe verhängen. Den das Strafmaß ist nach neuesten Urteil Ermessenssache der verhängenden Behörde.

    (wenn ich mich nicht irre konte man das auch hier im Blog nachlesen, wenn nicht was Heise/Golem)

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.