Die irische Datenschutzbehörde Data Protection Commission (DPC) hat den Meta-Konzern mit einer Geldstrafe in Höhe von 91 Millionen Euro belegt.
Der Anlass für das satte Bußgeld liegt schon ein paar Jahre zurück. Im April 2019 wurde bekannt, dass die Passwörter von rund 600 Millionen Nutzern der zu Meta gehörenden Plattformen Facebook und Instagram im Klartext gespeichert worden waren. Die fehlende Verschlüsselung war einer damals von Meta veröffentlichten Stellungnahme zufolge im Rahmen einer Sicherheitsüberprüfung aufgefallen.
Bei einer routinemäßigen Sicherheitsüberprüfung im Januar stellten wir fest, dass einige Benutzerpasswörter in einem lesbaren Format in unseren internen Datenspeichersystemen gespeichert wurden. … Wir gehen davon aus, dass wir hunderte Millionen Facebook Lite-Nutzer, zig Millionen andere Facebook-Nutzer und zehntausende Instagram-Nutzer benachrichtigen werden. Facebook Lite ist eine Version von Facebook, die hauptsächlich von Menschen in Regionen mit geringerer Konnektivität verwendet wird.
Datenpanne aus dem Jahr 2019 wird geahndet
Im Anschluss an diese „Selbstanzeige“ hatten die irischen Behörden eine Untersuchung eingeleitet. Irland ist für die Angelegenheit zuständig, weil die Europazentrale von Meta ihren Sitz in Dublin hat. Laut der irischen Datenschutzbehörde wären die Passwörter zwar nicht in die Hände von unbefugten Dritten gelangt, jedoch habe die ungeschützte Speicherung ein erhebliches Risiko dargestellt.
Mehrfach gegen die DSGVO verstoßen
Für die Höhe der Strafzahlung ist relevant, dass Meta in mehreren Punkten gegen die Bestimmungen der Datenschutz-Grundverordnung verstoßen hat. So sei die Datenschutzverletzung nicht ordnungsgemäß gemeldet worden. Zudem habe Meta die Vorfälle nicht ausreichend dokumentiert. Auch seien die technischen und organisatorischen Maßnahmen, die für den Schutz von Passwörtern notwendig sind, seitens Meta nicht in ausreichendem Maße umgesetzt worden.
Die irische Datenschutzbehörde betonte in ihrer Entscheidung, dass Passwörter als besonders sensible Daten anzusehen sind und deren Schutz als entsprechend wichtig anzusehen sei. Die Entscheidung ist rechtskräftig und wurde in der vergangenen Woche an Meta übermittelt.