Meta wurde in der Europäischen Union wegen einer Facebook-Sicherheitsverletzung, von der Millionen von Nutzern betroffen waren und die das Unternehmen bereits im September 2018 offenlegte, mit einer Geldstrafe von 251 Millionen Euro (rund 263 Millionen US-Dollar) belegt.
Die Strafe, die am Dienstag von der irischen Datenschutzkommission (DPC) zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO) des Blocks verhängt wurde, ist bei weitem nicht die höchste DSGVO-Strafe, mit der Meta seit Inkrafttreten der Regelung vor über fünf Jahren konfrontiert wurde zeichnet sich dadurch aus, dass es sich um eine erhebliche Sanktion für einen einzelnen Sicherheitsvorfall handelt.
Der Verstoß, auf den es sich bezieht, geht auf den Juli 2017 zurück, als Facebook, wie das Unternehmen damals noch hieß, eine Video-Upload-Funktion einführte, die eine „Anzeigen als“-Funktion beinhaltete, die es dem Benutzer ermöglichte, seine eigene Facebook-Seite so zu sehen, wie sie von anderen gesehen würde ein anderer Benutzer.
Ein Fehler im Design ermöglichte es Benutzern, die diese Funktion nutzten, den Video-Uploader in Verbindung mit der „Happy Birthday Composer“-Funktion von Facebook aufzurufen, um ein vollständig berechtigtes Benutzer-Token zu generieren, das ihnen vollen Zugriff auf das Facebook-Profil dieses anderen Benutzers gewährte. Sie könnten den Token dann verwenden, um die gleiche Kombination von Funktionen auf anderen Konten auszunutzen und sich laut DPC unbefugten Zugriff auf die Profile und Daten mehrerer Benutzer zu verschaffen.
Zwischen dem 14. und 28. September 2018 nutzten Unbefugte Skripte, um diese Facebook-Schwachstelle auszunutzen, und erlangten so die Möglichkeit, sich als Kontoinhaber bei etwa 29 Millionen Facebook-Konten weltweit anzumelden, davon etwa 3 Millionen in der EU /Europäischer Wirtschaftsraum, was bedeutet, dass sie unter die Durchsetzungsbefugnisse des DPC fallen.
Zu den Kategorien personenbezogener Daten, die von dem Verstoß betroffen waren, gehörten die vollständigen Namen der Facebook-Nutzer; E-Mail-Adressen; Telefonnummern; Standort; Arbeitsorte; Geburtsdaten; Religion; Geschlecht; Beiträge zu Zeitleisten; Gruppen, denen sie angehörten; und personenbezogene Daten von Kindern.
Die große Bandbreite der betroffenen personenbezogenen Daten dürfte die Höhe der Geldbuße beeinflusst haben.
Zwei Vollstreckungsbeschlüsse
Am Dienstag erließ die irische Regulierungsbehörde eine endgültige Entscheidung zu zwei Untersuchungen, die sie zu dem Vorfall von 2018 eingeleitet hatte: Eine Entscheidung betrifft die Meldung von Verstößen durch Meta, da die DSGVO eine sofortige und umfassende Meldung schwerwiegender Sicherheitsvorfälle erfordert – die zweite Entscheidung betrifft die Regeln zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen .
In beiden Fällen stellte das DPC fest, dass Meta gegen die DSGVO des Blocks verstoßen hat.
Die vollständige Sanktion setzt sich wie folgt zusammen: Meta wurde im Zusammenhang mit ihrer ersten Entscheidung mit einer Geldstrafe von 11 Millionen Euro belegt, wobei das DPC feststellte, dass Metas Meldung über einen Verstoß nicht alle Informationen enthielt, die es „haben konnte und sollte“; Auch hat das Unternehmen den Sachverhalt des Verstoßes und die zur Behebung des Problems unternommenen Schritte nicht vollständig dokumentiert.
Darüber hinaus wurde Meta im Zusammenhang mit der zweiten Entscheidung, in der das DPC bestätigte, dass das Unternehmen gegen die DSGVO-Grundsätze des Datenschutzes durch Technikgestaltung verstoßen hat, eine Geldstrafe von 240 Millionen Euro auferlegt, da es keine geeigneten Maßnahmen zum Schutz der Daten von Personen vor unbeabsichtigter Verarbeitung getroffen hat.
DPC-Vizekommissar Graham Doyle kommentierte in einer Erklärung: „Diese Durchsetzungsmaßnahme macht deutlich, wie das Versäumnis, Datenschutzanforderungen während des gesamten Entwurfs- und Entwicklungszyklus einzubauen, Einzelpersonen sehr ernsten Risiken und Schäden aussetzen kann, einschließlich einer Gefahr für die Grundrechte und.“ Freiheiten des Einzelnen.
„Facebook-Profile können und tun dies oft auch, Informationen über Themen wie religiöse oder politische Überzeugungen, Sexualleben oder Orientierung und ähnliche Dinge enthalten, die ein Benutzer möglicherweise nur unter bestimmten Umständen offenlegen möchte. Durch die unbefugte Offenlegung von Profilinformationen stellten die Schwachstellen hinter diesem Verstoß ein großes Risiko des Missbrauchs dieser Art von Daten dar.“
Ein weiteres bemerkenswertes Element der Durchsetzung unter den beiden Kommissaren des DPC, Dr. Des Hogan und Dale Sunderland, die Anfang des Jahres die Nachfolge der (ehemals alleinigen) Kommissarin Helen Dixon angetreten haben, besteht darin, dass von gleichrangigen Behörden keine Einwände gegen Irlands Entscheidungsentwurf erhoben wurden.
„Das DPC ist dankbar für die Zusammenarbeit und Unterstützung seiner vergleichbaren EU-/EWR-Aufsichtsbehörden in diesem Fall“, schrieb die Regulierungsbehörde in einer Pressemitteilung.
Kritiker des DPC unter Dixon warfen der Regulierungsbehörde vor, die DSGVO gegenüber Meta und anderen Technologiegiganten routinemäßig nicht ausreichend durchzusetzen. Und viele seiner damaligen Entscheidungsentwürfe zu Big Tech wurden von seinen Kollegen angefochten. Eine Reihe von Durchsetzungsverfahren gegen Meta waren insbesondere mit sehr langwierigen Streitbeilegungsverfahren verbunden – einige erforderten verbindliche Entscheidungen des Europäischen Datenschutzausschusses, um das Verfahren abzuschließen.
Es ist daher bemerkenswert, dass diese jüngste Durchsetzung gegen Meta, die laut DPC im Juli 2024 als Entscheidungsentwurf dem DSGVO-Kooperationsmechanismus vorgelegt wurde, unbeschadet überstanden wurde.
Um eine Antwort auf die Strafe zu erhalten, schickte Meta-Sprecherin Emily Westcott per E-Mail eine Erklärung, in der das Unternehmen schrieb: „Diese Entscheidung bezieht sich auf einen Vorfall aus dem Jahr 2018. Wir haben sofort Maßnahmen ergriffen, um das Problem zu beheben, sobald es erkannt wurde, und wir haben proaktiv informiert.“ Betroffene Personen sowie die irische Datenschutzkommission. Wir verfügen über eine breite Palette branchenführender Maßnahmen, um die Menschen auf unseren Plattformen zu schützen.“
Bereits im September erließ das DPC eine weitere Entscheidung gegen Meta im Zusammenhang mit einer Sicherheitsverletzung im Jahr 2019 – in diesem Fall wurde dem Unternehmen eine Geldstrafe von 91 Millionen Euro im Zusammenhang mit einem Vorfall auferlegt, bei dem „Hunderte Millionen“ Passwörter von Benutzern gespeichert worden waren im Klartext auf seinen Servern.
Die 10 höchsten DSGVO-Bußgelder gegen Big Tech