Facebooks Muttergesellschaft Meta wurde von der irischen Datenschutzkommission (DPC) wegen einer Reihe historischer Datenschutzverletzungen mit einer Geldstrafe von 17 Millionen Euro (~18,6 Millionen US-Dollar) belegt.
Die fraglichen Sicherheitslücken, von denen anscheinend bis zu 30 Millionen Facebook-Nutzer betroffen waren, liegen mehrere Jahre zurück – und wurden 2018 von Facebook der irischen Aufsichtsbehörde gemeldet.
Die DPC, die führende Datenschutzbehörde von Meta/Facebook in der Europäischen Union, leitete diese sicherheitsbezogene Untersuchung Ende 2018 ein, nachdem sie in den sechs Monaten zwischen dem 7. Juni 2018 und Dezember nicht weniger als 12 Meldungen über Datenschutzverletzungen vom Technologieriesen erhalten hatte 4 2018.
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union – die im Mai 2018 in Kraft trat – verpflichtet Datenverantwortliche dazu, Verstöße gegen personenbezogene Daten unverzüglich einer Aufsichtsbehörde zu melden, wenn das Durchsickern von Informationen wahrscheinlich ein Risiko für Einzelpersonen darstellt . (Die schwerwiegendsten Verstöße sollten innerhalb von 72 Stunden gemeldet werden.)
„Die Untersuchung untersuchte, inwieweit Meta-Plattformen die Anforderungen der DSGVO-Artikel 5(1)(f), 5(2), 24(1) und 32(1) in Bezug auf die Verarbeitung personenbezogener Daten, die für die relevant sind, erfüllt haben zwölf Meldungen über Sicherheitsverletzungen“, schrieb das DPC in a Pressemitteilung Ankündigung einer endgültigen Entscheidung über seine Facebook-Untersuchung.
„Als Ergebnis seiner Untersuchung stellte das DPC fest, dass Meta-Plattformen gegen Artikel 5(2) und 24(1) DSGVO verstoßen. Das DPC stellte fest, dass Meta Platforms keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hatte, die es ihm ermöglichen würden, die von ihm implementierten Sicherheitsmaßnahmen ohne Weiteres nachzuweisen in der Praxis zum Schutz der Daten von EU-Nutzern im Zusammenhang mit den zwölf Verletzungen des Schutzes personenbezogener Daten.“
In einer Erklärung, die auf die Strafe des DPC reagierte, versuchte ein Meta-Sprecher, die Episode als bloßen Fall historisch laxer Aufzeichnungen herunterzuspielen – und schrieb:
„Bei dieser Geldstrafe geht es um Aufzeichnungspraktiken aus dem Jahr 2018, die wir seitdem aktualisiert haben, nicht um ein Versäumnis, die Informationen der Menschen zu schützen. Wir nehmen unsere Verpflichtungen aus der DSGVO ernst und werden diese Entscheidung bei der Weiterentwicklung unserer Prozesse sorgfältig abwägen.“
Die von der DPC angekündigte Strafe ist die erste endgültige Entscheidung Irlands zu einer DSGVO-Untersuchung gegen Facebook selbst seit Beginn der Anwendung der Verordnung vor fast vier Jahren – obwohl die Regulierungsbehörde letztes Jahr eine separate (größere) Sanktion gegen WhatsApp im Besitz von Facebook verhängt hat Verstöße gegen Transparenzregeln.
Die DPC bestätigte, dass ihr Entscheidungsentwurf zu dieser Facebook-Untersuchung auf einige Einwände anderer EU-Datenschutzbehörden gestoßen war – etwas, das auch bei einer früheren Untersuchung einer Twitter-Sicherheitsverletzung sowie bei der Transparenzentscheidung zu WhatsApp auftrat. (Und in beiden Fällen führte der Streitbeilegungsmechanismus der DSGVO dazu, dass höhere Strafen verhängt wurden, als Irland vorgeschlagen hatte.)
Die DPC sagte, zwei weitere Behörden hätten Einwände gegen ihren Entscheidungsentwurf zu dieser Facebook-Untersuchung erhoben. Irland gibt jedoch weder an, ob die Geldbuße aufgrund der Einwände erhöht wurde, noch welche Behörden Einspruch erhoben haben (oder warum).
Es ist bemerkenswert, dass die Strafe relativ gering ist – sicherlich ist sie weit entfernt vom theoretischen Maximum von 4 % des weltweiten Jahresumsatzes von Meta (was weit über einer Milliarde Dollar liegen würde).
Allerdings verhängte die DPC Ende 2020 eine noch geringere Geldbuße (~550.000 US-Dollar) an Twitter, ebenfalls wegen Verwaltungsfehlern im Zusammenhang mit einer Benachrichtigung über eine Sicherheitsverletzung.
Obwohl es wahrscheinlich Unterschiede bei den Fehlern in jedem Fall gibt, ist es ziemlich klar, dass Sicherheitsverletzungen, die von den EU-Behörden als unbeabsichtigt eingestuft werden, wahrscheinlich niedrigere Strafen nach sich ziehen als systematische oder eklatante Regelverstöße.
Daraus folgt auch a Eine ganze Reihe von Versäumnissen hat Facebook eine größere Strafe eingebracht als Twitter, das nur einen einzigen Verstoß (nicht ein ganzes Dutzend) gemeldet hatte.
Großer Token-Hack
Die Details aller 12 Sicherheitslücken, die Facebook im sechsmonatigen Zeitraum des Jahres 2018 zugestanden hat, werden von der DPC in ihrer Ankündigung der Sanktion nicht aufgeführt – aber im September 2018 hat der Technologieriese einen großen Hack öffentlich bekannt gegeben, von dem er behauptete, dass er zumindest betroffen sei 50 Millionen Konten, nachdem Hacker eine Sicherheitslücke auf der Website ausgenutzt haben.
Facebook behauptete daraufhin, dass nur 30 Millionen Benutzern tatsächlich ihre Token bei dem Hack gestohlen worden seien.
Der Fehler, der auf Juli 2017 zurückgeht, hatte es Hackern ermöglicht, Kontozugriffstoken zu erhalten, mit denen Benutzer angemeldet bleiben, wenn sie ihren Benutzernamen und ihr Passwort eingeben – was bedeutet, dass gestohlene Token es Hackern ermöglichen können, in Konten einzudringen.
Dieser große Token-Hack war jedoch nicht die einzige Sicherheitslücke für den Technologieriesen im Jahr 2018.
Im Juni benachrichtigte Facebook Benutzer über einen Fehler, der im Monat zuvor mehrere Tage lang eine Schwachstelle geschaffen hatte, die angeblich versehentlich die vorgeschlagene Datenschutzeinstellung für Statusaktualisierungen auf öffentlich geändert hatte, was auch immer die Benutzer eingestellt hatten – was möglicherweise bis zu 14 Millionen verursachte Benutzer, sensible Inhalte nur für Freunde mit Fremden zu teilen.
Ein weiterer Fehler, über den wir im November 2018 berichteten, hatte es jeder Website ermöglicht, Informationen aus dem Profil eines Facebook-Benutzers – einschließlich seiner „Gefällt mir“-Angaben und Interessen – ohne Wissen der Person abzurufen.
Und später im selben Jahr, im Dezember, veröffentlichte Facebook öffentlich einen Foto-API-Fehler, der angeblich App-Entwicklern zu viel Zugriff auf die Fotos von bis zu 5,6 Millionen Benutzern verschafft hatte.
Diese Reihe von Sicherheitslücken folgte unmittelbar auf die Geschichte von Cambridge Analytica, die im März 2018 zu einem weltweiten Skandal wurde, als Enthüllungen über Facebook-Benutzerdaten aus seiner Plattform gesaugt wurden, um für gezielte Werbung durch die Trump-Kampagne wiederverwendet zu werden versuchte, die US-Wahlen undurchsichtig zu beeinflussen, und wischte Milliarden von Dollar von seinem Aktienkurs ab.
Der Cambridge-Analytica-Skandal veranlasste auch Gesetzgeber und Aufsichtsbehörden auf der ganzen Welt, den Umgang von Facebook mit den Informationen von Menschen genauer zu prüfen – und hat letztendlich dazu beigetragen, die Schritte zur Überarbeitung und Verstärkung der Regulierung digitaler Plattformen zu beschleunigen (wie z. B. die neue Online-Sicherheit in Großbritannien). Rechtsvorschriften oder dem Digital Services Act der EU).
Aber da der Cambridge-Analytica-Skandal vor dem Inkrafttreten der DSGVO stattfand, entging Facebook wegen dieser speziellen Episode weitgehend direkten behördlichen Sanktionen in Europa. Wäre das Timing etwas anders gewesen, könnte es jetzt zu einer etwas größeren Strafe kommen.
Das britische Information Commissioner’s Office hat Facebook eine Geldstrafe von 500.000 £ wegen Cambridge Analytica auferlegt, das Maximum, das unter seinem Datenschutzregime vor der DSGVO möglich war. Obwohl Facebook die Entscheidung der Regulierungsbehörde angefochten hat – bevor es sich bereit erklärte, seine Berufung fallen zu lassen und die Geldbuße für den Vergleich mit dem ICO zu zahlen, ohne eine Haftung einzugestehen. Später stellte sich heraus, dass das ICO zugestimmt hatte, über die Bedingungen dieser Einigung geknebelt zu werden.
Die endgültigen Ergebnisse des vollständigen Plattform-App-Audits, das Facebook angeblich nach dem Cambridge-Analytica-Skandal durchführen würde, um den Benutzern zu versichern, dass es schlechte Akteure eliminiert und Benutzerdaten sperrt, erblickten unterdessen nie das Licht der Welt.
Seitdem hat die DSGVO eine strengere gesetzliche Regelung gegen Datenmissbrauch eingeführt – zumindest in der gesamten EU (das Vereinigte Königreich ist kein Mitgliedstaat mehr) – jedoch behindern lange Verzögerungen zwischen Datenskandalen und der Durchsetzung weiterhin das reibungslose Funktionieren der Verordnung.
Irlands breitere Bilanz bei grenzüberschreitenden Fällen bedeutet, dass eine einzige Entscheidung gegen Facebook jetzt wahrscheinlich nichts dazu beitragen wird, die scharfe Kritik an seinem Tempo der DSGVO-Durchsetzung gegen Big Tech zu mildern – nicht zuletzt angesichts der Tatsache, dass mehrere andere Facebook-Anfragen unentschieden bleiben. (Und wie wir gestern berichteten, wird die DPC jetzt wegen Untätigkeit wegen einer separaten DSGVO-Beschwerde verklagt, die sich gegen Googles Adtech richtet.)
Es ist daher wohl kein Zufall, dass sich die Regulierungsbehörde – auch heute – für die Veröffentlichung entschieden hat ein Bericht zum Umgang mit grenzüberschreitenden DSGVO-Fällen.
Unter den Statistiken es wählt Spotlight sind die folgenden Forderungen (für den Zeitraum 25. Mai 2018 bis 31. Dezember 2021):
- 1.150 gültige grenzüberschreitende Beschwerden sind beim DPC eingegangen; 969 (84 %) als federführende Aufsichtsbehörde (LSA) und 181 (16 %) als betroffene Aufsichtsbehörde (CSA).
- 588 (61 %) grenzüberschreitende Beschwerden, die von der DPC als LSA bearbeitet wurden, wurden ursprünglich bei einer anderen Aufsichtsbehörde eingereicht und an die DPC weitergeleitet.
- 65 % aller grenzüberschreitenden Beschwerden, die seit Mai 2018 von der DPC als LSA bearbeitet wurden, wurden abgeschlossen, wobei 82 % der im Jahr 2018 eingegangenen und 75 % der im Jahr 2019 eingegangenen Beschwerden inzwischen abgeschlossen wurden.
- Von den 634 abgeschlossenen grenzüberschreitenden Beschwerden, die von der DPC als LSA bearbeitet wurden, wurden 544 (86 %) durch gütliche Beilegung im Interesse des Beschwerdeführers gelöst.
- 72 (22 %) offene grenzüberschreitende Beschwerden sind mit einer Untersuchung verbunden und werden nach Abschluss der Untersuchung abgeschlossen. Ein Großteil der verbleibenden offenen Beschwerden aus den Jahren 2018 und 2019 ist mit einer Anfrage verbunden.
- 86 % aller grenzüberschreitenden Beschwerden, die von der DPC als LSA bearbeitet werden, beziehen sich auf nur 10 Datenverantwortliche.
- 38 % der Beschwerden, die von der DPC an andere LSAs in der EU/im EWR (ohne das Vereinigte Königreich) weitergeleitet wurden, wurden abgeschlossen.