Meta muss wegen Datenleck Millionenstrafe zahlen
Die irische Datenschutzbehörde DPC hat dem Facebook-Mutterkonzern Meta eine Strafe von 251 Millionen Euro auferlegt. Hintergrund ist eine Sicherheitslücke, durch die Unbekannte im Jahr 2018 persönliche Daten von Facebook-Nutzern abgreifen konnten.
Wie die Behörde am Dienstag mitteilte, waren damals gut 29 Millionen Facebook-Nutzer weltweit betroffen – etwa 3 Millionen davon stammten aus der EU.
Unbefugte hatten die Lücke ausgenutzt, um persönliche Daten zu stehlen, die Nutzerinnen und Nutzer auf der Plattform hinterlegt hatten. Laut den Datenschützern zählten dazu vollständige Namen, E-Mail-Adressen und Telefonnummern, Geburtsdaten sowie der Wohnort. Auch Angaben zu Geschlecht, Religion und Arbeitgeber konnten die Angreifer demnach abgreifen. Unbefugte konnten auch sehen, welche Beiträge Nutzer auf Facebook veröffentlicht hatten und in welchen Gruppen sie Mitglied waren. Auch persönliche Daten von Kindern seien damals gestohlen worden, so die DPC.
Meta hatte Sicherheitslücke gemeldet
Die Behörde hatte mit ihrer Untersuchung begonnen, nachdem Meta (damals Facebook) den Sicherheitsvorfall im September 2018 gemeldet hatte. Der Konzern hatte damals erklärt, die Sicherheitslücke habe von Juli 2017 bis September 2018 in der Funktion “Anzeigen aus Sicht von” bestanden. Nutzerinnen und Nutzer können damit sehen, wie ihr Profil für andere Personen auf Facebook angezeigt wird, mit denen sie nicht befreundet sind.
Die Sicherheitslücke ermöglichte es Unbefugten, die sogenannten “Access Tokens” von Facebook zu stehlen – eine Art digitaler Schlüssel, durch die Nutzer in der Facebook-App eingeloggt bleiben.
Ursprünglich war der Konzern damals sogar von rund 50 Millionen Betroffenen ausgegangen – hatte die Zahl nach seiner Untersuchung aber nach unten korrigiert. Eigenen Angaben zufolge hatte die Plattform die Sicherheitslücke innerhalb von zwei Tagen geschlossen, nachdem sie im September 2018 gefunden wurde.
Die irische Datenschutzbehörde stellte nun mehrere Verstöße gegen die Europäische Datenschutzgrundverordnung (DSGVO) fest, für die jeweils Bußgelder verhängt wurden – insgesamt summieren sich diese auf 251 Millionen Euro.
Der stellvertretende Datenschutzbeauftragte Graham Doyle sagte, die Maßnahme verdeutliche, wie Versäumnisse beim Design- und Entwicklungsprozess Menschen ernsthaften Risiken und Schäden aussetzen können. Er fügte hinzu, Facebook-Profile würden häufig Informationen zu religiösen und politischen Ansichten oder der sexuellen Orientierung enthalten, die Nutzer nur unter bestimmten Umständen offenlegen wollten. Die Sicherheitslücke bei Facebook habe es ermöglicht, unbefugt auf diese Angaben zuzugreifen – das berge ein großes Risiko für den Missbrauch der betroffenen Daten.
Die irische Datenschutzbehörde ist in der EU für Meta zuständig, weil sich die Europazentrale des Unternehmens in Dublin befindet. Die DPC hat bereits mehrfach Datenschutzstrafen gegen Meta verhängt – Kritiker werfen ihr allerdings immer wieder vor, Fälle nur schleppend zu bearbeiten.
2,8 Milliarden Euro an gesammelten Strafen
Wie der öffentlich-rechtliche irische Rundfunk RTÉ berichtet, belaufen sich die von der DPC gegen Meta verhängten Geldbußen inzwischen auf 2,8 Milliarden Euro. Davon seien bisher aber nur 17 Millionen Euro tatsächlich gezahlt worden, weil der Konzern gegen einige Entscheidungen der Behörde Einspruch eingelegt hat. Auch im aktuellen Fall werde erwartet, dass Meta Widerspruch gegen das Bußgeld einlegen wird.
In Deutschland hatte der Bundesgerichtshof (BGH) im November entschieden, dass bereits der “bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten” infolge eines DSGVO-Verstoßes ein immaterieller Schaden “im Sinne der Norm” sein kann – und damit Anspruch auf Schadenersatz bestehen kann. Weder müsse eine konkrete missbräuchliche Verwendung der Daten erfolgt sein, noch bedürfe es sonstiger zusätzlicher spürbarer negativer Folgen.
Hintergrund des Verfahrens war ebenfalls ein Vorfall bei Facebook: Unbekannte hatten dort im September 2019 Daten mittels sogenanntem Scraping abgegriffen. Dabei werden automatisiert öffentlich zugängliche Daten abgegriffen und zusammengetragen, ohne dass in IT-Systeme eingedrungen wird. Häufig verstößt dies gegen die Nutzungsbedingungen von Plattformen.
In der Folge wurden persönliche Daten von bis zu 533 Millionen Facebook-Nutzern aus 106 Ländern in einem Internetforum veröffentlicht. Darunter waren E-Mail-Adressen, Telefonnummern, Geburtsdaten, Geschlecht, Beziehungsstatus und Wohnadressen. Die irische Datenschutzbehörde hatte deswegen bereits vor zwei Jahren eine Geldstrafe in Höhe von 256 Millionen Euro gegen den Meta-Konzern verhängt.
Nach dem BGH-Urteil hat der Verbraucherzentrale Bundesverband (vzbv) Anfang Dezember eine Sammelklage gegen Meta eingereicht. Von dem Scraping-Vorfall Betroffene sollen so kostenlos Schadenersatzansprüche gegenüber Facebook durchzusetzen können. (dpa / js)