Die irische Datenschutzkommission (DPC) verhängte am Dienstag (17.12.2024) eine Geldstrafe in Höhe von 251 Millionen Euro gegen die irische Tochtergesellschaft von Meta wegen einer massiven Datenschutzverletzung, von der zwischen 2017 und 2018 weltweit 29 Millionen Facebook-Konten betroffen waren.
Die Ermittlungen begannen im September 2018, nachdem Meta Platforms Ireland Limited (MPIL) eine seit Juli 2017 bestehende Code-Schwachstelle entdeckt und diese freiwillig an die irische Aufsichtsbehörde gemeldet hatte, so die DPC in einer Erklärung.
Die technische Schwachstelle im Design von Facebook ermöglichte es Unbefugten, auf die Profile anderer Nutzer zuzugreifen und sich Zugang zu Daten wie dem vollständigen Namen, der E-Mail-Adresse, der Telefonnummer, dem Geburtsdatum, der Religion oder dem Geschlecht des Nutzers zu verschaffen, um nur einige zu nennen.
Die Datenschutzbeauftragten Des Hogan und Dale Sunderland stellten am Dienstag die beiden endgültigen Entscheidungen zu zwei freiwilligen Untersuchungen und die Feststellung eines Verstoßes gegen die EU-Datenschutzgrundverordnung (DSGVO) vor, die eine Reihe von Verwarnungen“ sowie die bereits erwähnte Geldbuße in Höhe von 251 Millionen Euro umfasst.
Gemäß Artikel 25 der Datenschutz-Grundverordnung (DSGVO) hat die Aufsichtsbehörde Meta zur Zahlung von 130 Millionen Euro verurteilt, weil das Unternehmen es versäumt hat, den Datenschutz bei der Gestaltung der Verarbeitungssysteme zu gewährleisten, sowie zur Zahlung von weiteren 110 Millionen Euro, weil es gegen seine Verpflichtung verstoßen hat, als für die Verarbeitung Verantwortlicher sicherzustellen, dass nur personenbezogene Daten verarbeitet werden, die für bestimmte Zwecke erforderlich sind.
Darüber hinaus hat Meta bei der Meldung des Verstoßes nicht alle erforderlichen Informationen geliefert, die es hätte liefern können und müssen, und hat es versäumt, den Sachverhalt jedes Verstoßes und die zu seiner Behebung ergriffenen Maßnahmen so zu dokumentieren, dass die Aufsichtsbehörde die Einhaltung der Vorschriften überprüfen konnte, so dass die Datenschutzbehörde das Unternehmen gemäß Artikel 33 der Datenschutz-Grundverordnung mit weiteren 11 Mio. EUR (8 Mio. EUR und 3 Mio. EUR pro Verstoß) bestrafte.
„Diese Durchsetzungsmaßnahme verdeutlicht, wie das Versäumnis, Datenschutzanforderungen während der gesamten Konzeption und Entwicklung zu berücksichtigen, Personen einem sehr ernsten Risiko und Schaden aussetzen kann“, so der stellvertretende Datenschutzbeauftragte Graham Doyle in der Mitteilung.
Von den betroffenen Personen befanden sich 3 Millionen in der Europäischen Union (EU) und/oder dem Europäischen Wirtschaftsraum (EWR).
Am 27. September verhängte die Datenschutzbehörde eine weitere Geldstrafe in Höhe von 91 Millionen Euro gegen MPIL, weil das Unternehmen versehentlich bestimmte Benutzerpasswörter im „Klartext“ und ohne kryptografischen Schutz oder Verschlüsselung gespeichert hatte, und im Mai 2023 eine weitere Geldstrafe in Höhe von 1,2 Milliarden Euro wegen mangelhafter Datenverwaltung bei der Datenübertragung zwischen Europa und den Vereinigten Staaten.
Quelle: Agenturen
