Meta erhält 251 Millionen Euro Busse

Die irische Datenschutzkommission (DPC) hat Meta mit einer Geldstrafe in Höhe von 251 Millionen Euro belegt. Grund dafür sind Verstösse gegen die Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) im Zusammenhang mit einer Sicherheitsverletzung im Jahr 2018, die 29 Millionen Facebook-Nutzerkonten betraf, wie die Behörde berichtet, davon rund 3 Millionen Konten in der EU bzw. im EWR.

Unbefugte hatten damals Zugriff auf personenbezogene Daten, etwa auf die vollständigen Namen der User, E-Mail-Adresse, Telefonnummer, Wohnort, Arbeitsplatz, Geburtsdatum, Religion, Geschlecht, seine Beiträge in der Timeline, die Gruppen, in denen der Nutzer Mitglied war, sowie die personenbezogenen Daten von Kindern. Zwischen dem 14. und 28. September 2018 nutzten demnach Unbefugte Skripte, um diese Schwachstelle auszunutzen. Die Sicherheitsverletzung entstand demnach durch die Ausnutzung von Nutzer-Tokens auf der Facebook-Plattform. Kurz nach ihrer Entdeckung wurde die Sicherheitsverletzung von Meta behoben. 

Dennoch entschieden die irischen Datenschützer eine Reihe von Verweisen und die Verhängung von teils massiven Geldbussen pro Verstoss gegen die folgenden Artikel der EU-DSGVO:

• Artikel 33, Absatz 3: Unvollständige Angaben zur Meldung der Sicherheitsverletzung: 8 Millionen Euro Geldstrafe

• Artikel 33, Absatz 5: Unzureichende Dokumentation der Fakten der Datenschutzverletzung/Abhilfemassnahmen: 3 Millionen Euro Geldstrafe

• Artikel 25 Absatz 1: Versäumnis, den Datenschutz in die Systemgestaltung einzubeziehen → 130 Millionen Euro Geldbusse

• Artikel 25 Absatz 2: Unterlassene Beschränkung der Datenverarbeitung auf das erforderliche Mass → 110 Millionen Euro Geldbusse

Schuld war neue Video-Upload-Funktion

Der Verstoss, der Anlass für die Beschlüsse des Datenschutzausschusses war, entstand durch die Einführung einer Video-Upload-Funktion auf der Facebook-Plattform im Juli 2017. Die Funktion "Anzeigen als" von Facebook ermöglichte es einem Nutzer, seine eigene Facebook-Seite so zu sehen, wie sie von einem anderen Nutzer gesehen würde. Ein Nutzer, der diese Funktion anwendete, konnte den Video-Uploader in Verbindung mit der Funktion "Happy Birthday Composer" von Facebook aufrufen, wie es seitens DPC weiter heisst.

Der Video-Uploader würde dann ein Benutzer-Token mit voller Berechtigung generieren, das ihm vollen Zugriff auf das Facebook-Profil des anderen Nutzers gewährt. Ein Nutzer konnte daraufhin dieses Token verwenden, um die gleiche Kombination von Funktionen in anderen Konten zu nutzen, was ihm den Zugriff auf die Profile mehrerer Nutzer und die über sie zugänglichen Daten ermöglichte.

Der stellvertretende DPC-Kommissar Graham Doyle kommentierte die Verhängung der Busse wie folgt: "Diese Durchsetzungsmassnahme macht deutlich, wie das Versäumnis, Datenschutzanforderungen in den gesamten Design- und Entwicklungszyklus einzubauen, Einzelpersonen sehr ernsten Risiken und Schäden aussetzen kann, einschliesslich eines Risikos für die Grundrechte und -freiheiten des Einzelnen. Facebook-Profile können Informationen über religiöse oder politische Überzeugungen, das Sexualleben oder die sexuelle Orientierung und ähnliche Dinge enthalten, die ein Nutzer nur unter bestimmten Umständen preisgeben möchte. Indem sie die unbefugte Offenlegung von Profilinformationen ermöglichten, verursachten die Schwachstellen hinter dieser Verletzung ein ernsthaftes Risiko des Missbrauchs dieser Art von Daten."

Diese Busse ist eine weitere hohe Geldstrafe nachdem bereits die EU-Kommission im November eine Busse in Höhe von fast 800 Millionen Euro erhoben hatte. Lesen sie hier mehr darüber.