{"id":303593,"date":"2024-09-28T00:40:53","date_gmt":"2024-09-27T22:40:53","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=303593"},"modified":"2024-09-28T00:41:24","modified_gmt":"2024-09-27T22:41:24","slug":"irischer-datenschuetzer-brummt-meta-91-mio-euro-strafe-auf","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/09\/28\/irischer-datenschuetzer-brummt-meta-91-mio-euro-strafe-auf\/","title":{"rendered":"Irischer Datensch\u00fctzer brummt Meta 91 Mio. Euro Strafe auf"},"content":{"rendered":"

Irlands Datenschutzbeh\u00f6rde (Irish Data Protection Commission, DPC) hat einen DSGVO-Fall aus 2019 abgeschlossen und der Facebook-Mutter Meta eine Strafe in H\u00f6he von 91 Mio. Euro auferlegt. Der Hintergrund: Meta bzw. Facebook hatte Passw\u00f6rter im Klartext auf internen Servern gespeichert.<\/p>\n

<\/p>\n

Die Vorgeschichte<\/h2>\n

Im M\u00e4rz 2019 meldete die Meta Platforms Ireland Limited (MPIL) der irischen Datenschutzbeh\u00f6rde, dass es versehentlich bestimmte Passw\u00f6rter von Nutzern sozialer Medien im \"Klartext\" (d. h. ohne kryptografischen Schutz oder Verschl\u00fcsselung) auf seinen internen Systemen gespeichert hatte. Das MPIL ver\u00f6ffentlichte im M\u00e4rz 2019 auch Informationen zu diesem Vorfall. Der Fall hatte insoweit keine Konsequenzen, weil diese Passw\u00f6rter keinem Dritten zug\u00e4nglich gemacht wurden.<\/p>\n

Die irische Datenschutzbeh\u00f6rde (Irish Data Protection Commission) leitete darauf hin im\u00a0April 2019 eine Untersuchung ein. Es wurde gepr\u00fcft, ob das MPIL die Datenschutzgrundverordnung (DSGVO) einh\u00e4lt, und insbesondere, ob das MPIL Ma\u00dfnahmen ergriffen hat, um ein Sicherheitsniveau zu gew\u00e4hrleisten, das den mit der Verarbeitung von Passw\u00f6rtern verbundenen Risiken angemessen ist. Weiterhin wurde gepr\u00fcft, ob MPIL seinen Verpflichtungen nachgekommen ist, Verst\u00f6\u00dfe gegen personenbezogene Daten zu dokumentieren und dem Datenschutzbeauftragten zu melden.<\/p>\n

Die DSGVO verlangt von den f\u00fcr die Datenverarbeitung Verantwortlichen, dass sie bei der Verarbeitung personenbezogener Daten angemessene Sicherheitsma\u00dfnahmen ergreifen und dabei Faktoren wie die Risiken f\u00fcr die Nutzer der Dienste und die Art der Datenverarbeitung ber\u00fccksichtigen. Um die Sicherheit aufrechtzuerhalten, sollten die f\u00fcr die Datenverarbeitung Verantwortlichen die mit der Verarbeitung verbundenen Risiken bewerten und Ma\u00dfnahmen zur Minderung dieser Risiken ergreifen.<\/p>\n

Die Datenschutz-Grundverordnung verpflichtet die f\u00fcr die Verarbeitung Verantwortlichen au\u00dferdem, Verletzungen des Schutzes personenbezogener Daten ordnungsgem\u00e4\u00df zu dokumentieren und die Datenschutzbeh\u00f6rden \u00fcber Verletzungen zu informieren. Eine Verletzung des Schutzes personenbezogener Daten kann, wenn sie nicht angemessen und rechtzeitig behoben wird, zu Sch\u00e4den wie dem Verlust der Kontrolle \u00fcber personenbezogene Daten f\u00fchren. Wenn ein f\u00fcr die Verarbeitung Verantwortlicher feststellt, dass eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, sollte er daher die Aufsichtsbeh\u00f6rde unverz\u00fcglich in der in Artikel 33 DSGVO vorgeschriebenen Weise benachrichtigen.<\/p>\n

Bu\u00dfgeld zum Abschluss des Verfahrens<\/h2>\n

Die Datenschutzkommission (DPC) Irlands hat zum 26. September 2024 die Untersuchung beendet und ihre Entscheidung im Fall Meta (MPIL) bekannt gegeben<\/a>. Meta Platforms Ireland Limited (MPIL) erhielt\u00a0eine R\u00fcge und eine Geldbu\u00dfe in H\u00f6he von 91 Mio. EUR. In der Entscheidung des Datenschutzbeauftragten werden die folgenden Verst\u00f6\u00dfe gegen die DSGVO festgestellt:<\/p>\n