Irische Datenschutzbehörde verhängt Millionenstrafe gegen Meta

Facebook-Logo
Die irischen Datenschützer hatten bereits im vergangenen Jahr mitgeteilt, es seien viele Nutzerinnen und Nutzer aus der EU betroffen. (Quelle: Pixabay)

Nachdem Unbekannte persönliche Daten von bis zu 533 Millionen Facebook-Nutzern veröffentlicht hatten, muss der Mutterkonzern Meta in Irland nun 265 Millionen Euro Strafe zahlen. Das hat die dortige Datenschutzbehörde DPC am Montag bekanntgegeben. Damit summieren sich die Datenschutzstrafen für Meta in Irland auf 910 Millionen Euro in den vergangenen 14 Monaten.

Wie die irischen Datenschützer mitteilten, wurde ein Verstoß gegen die europäische Datenschutzgrundverordnung festgestellt. Die Datenschutzbehörden der übrigen EU-Mitglieder hätten mit der irischen Behörde zusammengearbeitet und ihrer Entscheidung zugestimmt.

Hintergrund ist ein Vorfall aus dem vergangenen Jahr: Unbekannte hatten im April 2021 sensible Daten von rund 533 Millionen Nutzern aus 106 Ländern in einem Internetforum veröffentlicht. Darunter waren E-Mail-Adressen, Telefonnummern, Geburtsdaten, Geschlecht, Beziehungsstatus und Wohnadressen.

Daten wurden automatisiert abgegriffen

Medien hatten damals berichtet, es seien auch 6,05 Millionen Nutzerdaten aus Deutschland betroffen sowie 1,25 Millionen aus Österreich und 1,59 Millionen aus der Schweiz.

Auch die Telefonnummern deutscher Politiker und Mitarbeitern von Sicherheitsbehörden waren in dem veröffentlichten Datensatz enthalten. IT-Experten des Bundestages hatten Parlamentsabgeordnete damals gewarnt, dass ihre Daten veröffentlicht wurden.

Facebook hatte bereits im April 2021 erklärt, die Daten seien vor September 2019 durch sogenanntes Scraping abgeschöpft worden. Beim Scraping werden automatisiert öffentlich zugängliche Daten abgegriffen und zusammengetragen, ohne dass in IT-Systeme eingedrungen wird. Die entsprechende Funktion sei bereits 2019 geändert worden, um ein weiteres Abgreifen von Daten auf diesem Wege zu verhindern.

Daten können für Betrugsversuche missbraucht werden

Facebook hatte bereits 2018 einräumen müssen, dass vermutlich alle öffentlich zugänglichen Daten der damals bereits mehr als zwei Milliarden Nutzer durch automatische Abrufe systematisch eingesammelt wurden. Außerdem waren im Jahr 2019 Telefonnummern von mehr als 419 Millionen Nutzern im Netz aufgetaucht. Auch damals sollen Unbekannte die Daten per sogenanntem Scraping abgegriffen haben. Teils waren außer der Telefonnummer auch das Land der Nutzer in dem Datenleck enthalten.

Mithilfe von E-Mail-Adressen und Telefonnummern können Personen ohne deren Einverständnis gezielt kontaktiert werden, beispielsweise für Betrugsversuche oder unerwünschte Werbung. Wenn außerdem weitere persönliche Informationen wie Geburtsdaten und Adressen im Umlauf sind, steigt die Gefahr für Identitätsdiebstahl.

Die irische Datenschutzbehörde hatte im April 2021 angekündigt, den Vorfall zu untersuchen. Unter den Betroffenen seien viele Nutzer aus der EU. Facebook hatte die Behörde demnach nicht von sich aus kontaktiert.

Meta teilte mit, die nun ergangene Entscheidung zu prüfen. Kriminelle hätten die öffentlich zugänglichen Daten vor September 2019 durch Scraping abgeschöpft. Meta betonte, es habe keinen erfolgreichen Angriff auf die Systeme von Facebook gegeben.

Die irische Datenschutzbehörde ist für Meta zuständig, weil das Unternehmen seinen europäischen Sitz in dem Land hat. Die Behörde steht regelmäßig in der Kritik, bei Datenschutzverstößen der großen Tech-Konzerne zu langsam vorzugehen. Es ist nun das vierte Mal seit September 2021, dass die irische Behörde eine hohe Geldstrafe gegen Meta verhängt. Damals musste die Meta-Tochter WhatsApp 225 Millionen Euro wegen Verstößen gegen Datenschutzregeln zahlen.

Hinzu kam im März 2022 eine weitere Datenschutzstrafe von 17 Millionen Euro gegen den Mutterkonzern. Im September verhängte die DPC eine Geldstrafe von 405 Millionen Euro gegen Instagram wegen schwerer Verstöße gegen Datenschutzregeln für Kinder.

Meta hat gegen die Instagram- sowie die WhatsApp-Entscheidung jeweils Berufung eingelegt – in den Fällen müssen nun Richter entscheiden. (dpa /js)