Stellen Sie Ihre Uhren neu: Meta wurde in Europa erneut mit einer Datenschutzstrafe belegt. Am Freitag hat Irlands Datenschutzkommission (DPC) angekündigt ein Verweis und eine Geldstrafe von 91 Millionen Euro – etwa 101,5 Millionen US-Dollar zu aktuellen Wechselkursen –, nachdem eine mehrjährige Untersuchung zu einer Sicherheitsverletzung der Facebook-Muttergesellschaft im Jahr 2019 abgeschlossen wurde.
Das DPC leitete im April 2019 eine gesetzliche Untersuchung des fraglichen Vorfalls gemäß der Datenschutz-Grundverordnung (DSGVO) des Blocks ein, nachdem Meta, oder Facebook, wie das Unternehmen damals noch hieß, ihm mitgeteilt hatte, dass „Hunderte Millionen“ von Benutzerpasswörtern vorliegen war im Klartext auf seinen Servern gespeichert worden.
Der Sicherheitsvorfall ist in der Europäischen Union ein rechtliches Problem, da die DSGVO verlangt, dass personenbezogene Daten angemessen geschützt werden.
Nach der Untersuchung kam das DPC zu dem Schluss, dass Meta den gesetzlichen Standard des Blocks nicht erfüllte, da die Passwörter nicht durch Verschlüsselung geschützt waren. Dies stellte ein Risiko dar, da Dritte möglicherweise auf die vertraulichen Informationen zugreifen könnten, die in ihren Social-Media-Konten gespeichert sind.
Die Aufsichtsbehörde, die für die Überwachung der Einhaltung der DSGVO durch Meta verantwortlich ist, stellte außerdem fest, dass Meta gegen die Regeln verstoßen hat, indem es Meta nicht innerhalb der erforderlichen Frist über den Verstoß informiert hat (die Verordnung sieht im Allgemeinen vor, dass die Meldung von Verstößen spätestens 72 Stunden nach Bekanntwerden des Verstoßes erfolgen sollte). ). Laut DPC hat Meta den Verstoß auch nicht ordnungsgemäß dokumentiert.
In einer Erklärung schrieb der stellvertretende Kommissar Graham Doyle: „Es ist allgemein anerkannt, dass Benutzerpasswörter nicht im Klartext gespeichert werden sollten, angesichts der Missbrauchsrisiken, die durch den Zugriff von Personen auf solche Daten entstehen.“ Dabei ist zu bedenken, dass die Passwörter, um die es hier geht, besonders sensibel sind, da sie den Zugriff auf die Social-Media-Konten der Nutzer ermöglichen würden.“
Meta-Sprecher Matthew Pollard forderte eine Reaktion auf die jüngste DSGVO-Sanktion und schickte eine E-Mail mit einer Erklärung, in der das Unternehmen versuchte, die Feststellung herunterzuspielen, indem es behauptete, es habe „sofort Maßnahmen“ wegen eines „Fehlers“ in seinen Passwortverwaltungsprozessen ergriffen.
„Im Rahmen einer Sicherheitsüberprüfung im Jahr 2019 haben wir festgestellt, dass eine Teilmenge von FB [Facebook] Die Passwörter der Benutzer wurden vorübergehend in einem lesbaren Format in unseren internen Datensystemen protokolliert. Wir haben sofort Maßnahmen ergriffen, um diesen Fehler zu beheben, und es gibt keine Hinweise darauf, dass diese Passwörter missbraucht wurden oder unrechtmäßig darauf zugegriffen wurde“, schrieb Meta. „Wir haben dieses Problem proaktiv unserer führenden Regulierungsbehörde, der irischen Datenschutzkommission, gemeldet und während dieser Untersuchung konstruktiv mit ihr zusammengearbeitet.”
Meta hatte bereits einen Großteil der größten DSGVO-Strafen gegen Technologiegiganten verhängt, sodass die jüngste Sanktion lediglich das Ausmaß seiner Probleme bei der Einhaltung der Datenschutzbestimmungen unterstreicht.
Die Strafe ist deutlich höher als eine Geldstrafe von 17 Millionen Euro, die das DPC im März 2022 an Meta wegen einer Sicherheitsverletzung im Jahr 2018 verhängte. Seitdem kam es bei der irischen Aufsichtsbehörde zu einem Wechsel in der Geschäftsleitung. Allerdings sind die beiden Vorfälle auch unterschiedlich: Die früheren Sicherheitslücken von Meta betrafen bis zu 30 Millionen Facebook-Nutzer, im Vergleich zu den Hunderten Millionen, deren Passwörter angeblich aufgrund des Versäumnisses von Meta, Passwörter im Jahr 2019 zu sichern, offengelegt wurden.
Die DSGVO ermächtigt Datenschutzbehörden, Geldstrafen für Verstöße zu verhängen, wobei die Höhe etwaiger Strafen auf der Grundlage von Faktoren wie Art, Schwere und Dauer des Verstoßes berechnet wird; Umfang oder Zweck der Verarbeitung; und unter anderem die Anzahl der betroffenen Personen und die Höhe des erlittenen Schadens.
Die höchstmögliche Strafe nach der DSGVO beträgt 4 % des weltweiten Jahresumsatzes. Im Fall von Meta mag eine Strafe in Höhe von 91 Mio. Euro also wie ein erheblicher Teil der Veränderung klingen – aber es bleibt ein winziger Bruchteil der Milliarden, die das Unternehmen angesichts seiner Lage theoretisch drohen könnte Jahresumsatz für 2023 betrug unglaubliche 134,90 Milliarden US-Dollar.