Die irische Datenschutzkommission hat am 27. September 2024 bekannt gegeben, dass sie Meta Platforms Ireland Limited ein Bußgeld in Höhe von 91 Millionen Euro auferlegt hat. Dieser Schritt ist eine Reaktion auf einen schwerwiegenden Verstoß gegen die Datenschutzgrundverordnung (DSGVO), der im Jahr 2019 ans Licht kam. Bei einer internen Sicherheitsüberprüfung entdeckte Meta, dass Millionen von Passwörtern der Nutzer von Facebook und Instagram unverschlüsselt im Klartext auf ihren Servern gespeichert waren. Dies stellte nicht nur einen groben Missstand in den Sicherheitsmaßnahmen des Unternehmens dar, sondern führte auch dazu, dass theoretisch Tausende von Mitarbeitern Zugriff auf diese sensiblen Daten hatten.
Hintergrund des Vorfalls
Der Vorfall kam im Zuge einer routinemäßigen Sicherheitsüberprüfung bei Meta ans Licht. Die interne Untersuchung ergab, dass eine erhebliche Anzahl von Passwörtern, die Nutzer bei der Erstellung ihrer Konten eingegeben hatten, in ungesicherter Form gespeichert waren. Dies verstieß gegen die grundlegenden Sicherheitsstandards, die in der Branche allgemein anerkannt sind. Die Entdeckung führte zu einem sofortigen Alarm und stellte das Unternehmen vor die Herausforderung, die Sicherheit der Nutzerdaten und das Vertrauen der Nutzer wiederherzustellen. Trotz der proaktiven Maßnahmen von Meta, den Vorfall intern zu melden, wurde die irische Datenschutzkommission nicht rechtzeitig informiert, was die Schwere der Situation weiter verschärfte.
Schwere des Vorfalls und Konsequenzen
Die irische Datenschutzkommission bewertete diesen Vorfall als gravierenden Verstoß gegen die organisatorischen Pflichten, die nach der DSGVO zum Schutz personenbezogener Daten erforderlich sind. Laut dem stellvertretenden Kommissar der irischen Datenschutzkommission, Graham Doyle, ist es allgemein anerkannt, dass Benutzerpasswörter nicht im Klartext gespeichert werden sollten, da dies die Gefahr des Missbrauchs durch unbefugte Personen erheblich erhöht. Die betroffenen Passwörter ermöglichten den Zugang zu sensiblen Konten in sozialen Medien, was den Vorfall besonders schwerwiegend macht.
Zusätzlich kritisierte die irische Datenschutzkommission, dass Meta den Vorfall nicht rechtzeitig gemeldet und unzureichende Dokumentation bereitgestellt hatte. Die irische Datenschutzkommission betont, dass Unternehmen, die mit Nutzerdaten arbeiten, nicht nur dazu verpflichtet sind, diese Daten zu schützen, sondern auch, Datenschutzvorfälle unverzüglich zu melden.
Verstöße gegen die Datenschutzgrundverordnung
Die irische Datenschutzkommission identifizierte mehrere spezifische Verstöße gegen die Datenschutzgrundverordnung (DSGVO). Insbesondere wurden folgende Punkte angeführt:
- Integrität und Vertraulichkeit der Daten: Meta hat keine geeigneten technischen und organisatorischen Maßnahmen ergriffen, um die Sicherheit der Passwörter der Nutzer zu gewährleisten. Trotz der bewährten Verfahren zur Sicherung von Passwörtern, wie das „Salting“ und „Hashing“, waren die Passwörter in diesem Fall im Klartext gespeichert.
- Meldepflicht bei Datenschutzvorfällen: Gemäß Artikel 33 der Datenschutzgrundverordnung (DSGVO) muss ein Datenschutzvorfall, der ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, unverzüglich und innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden. Die irische Datenschutzkommission stellte fest, dass Meta diese Frist nicht eingehalten hat, da der Vorfall erst Monate später gemeldet wurde.
- Dokumentationspflicht: Unabhängig davon, ob ein Datenschutzvorfall meldepflichtig ist oder nicht, müssen Unternehmen solche Vorfälle dokumentieren. Es bleibt unklar, ob Meta eine solche Dokumentation vorgelegt hat oder ob diese nicht ausreichend war.
Zukunftsausblick und Bedeutung für die Branche
In Anbetracht der Höhe des Bußgeldes von insgesamt 91 Millionen Euro ist es offensichtlich, dass die irische Datenschutzkommission die Schwere des Vorfalls ernst nimmt. Unternehmen sollten sich bewusst sein, dass die Nichteinhaltung der Datenschutzgrundverordnung (DSGVO) erhebliche finanzielle und rechtliche Konsequenzen nach sich ziehen kann.
Die vorliegende Entscheidung könnte für die Branche von Bedeutung sein, da sie wichtige Lehren für Unternehmen bietet, die mit sensiblen Nutzerdaten arbeiten. Es ist entscheidend, geeignete Sicherheitsmaßnahmen zu implementieren und sicherzustellen, dass alle Datenschutzvorfälle zeitnah und ordnungsgemäß dokumentiert und gemeldet werden.
Folgende Beiträge könnten Sie auch interessieren: