Facebook-Hack & DSGVO: Wird es in Europa richtig teuer?

Der vorige Woche bekannte Hack von 50 Millionen Facebook-Konten auf Grund von Sicherheitslücken könnte das Unternehmen in Europa richtig teuer werden. Denn sollte sich ein Verstoß gegen die DSGVO herausstellen, drohen (theoretisch) heftige Strafen.


Anzeige

Worum geht es?

Facebook ist ja für seine exzessive Datensammelei und den etwas laxeren Umgang mit Benutzerdaten bekannt. Letzte Woche musste Facebook aber eine fette Sicherheitslücke eingestehen. Diese ermöglichte Hackern die Access-Token für um die 50 Millionen Konten abzuziehen und zu missbrauchen. Möglicherweise sind noch mehr Konten betroffen, Facebook hat 90 Millionen Konten zurückgesetzt.

Ich hatte ja im Blog-Beitrag Facebook-Hack: Zugriff auf 50 Mio. Access-Token für Konten berichtet. Und der Hack hat noch eine zweite Komponente: Wird Facebook zum Login auf anderen Seiten verwendet, können die Access-Tokens möglicherweise auch noch für diese Anmeldung missbraucht werden. heise.de weist hier auf so etwas hin.

Inzwischen ist auch bekannt geworden, dass Facebook der Hack aufgefallen ist, weil plötzlich eine unerwartet hohe Zahl an Kontendaten abgerufen wurde. Es gibt Hinweise, dass eine der drei beim Hack benutzten Schwachstellen bereits seit 2017 existierte (siehe auch).

Facebook, die DSGVO und die EU

Während die letzten Tage sich vieles noch um die Frage der Schadensbegrenzung im Hinblick auf eigene Daten drehte, gerät nun ein andere Gesichtspunkt in den Fokus. Seit Mai 2018 gilt in Europa die Datenschutzgrundverordnung (DSGVO), die auch heftige Strafen bei Datenlecks vorsieht, wenn gegen die DSGVO verstoßen wurde. Und Facebook ist ja nicht gerade zimperlich darin, Daten zu ‘grabben’, wo es nur geht. Mit Inkrafttreten der DSGVO hat man zum Beispiel den Umstand ausgenutzt, dass der Hamburger Datenschutzbeauftragte nicht mehr zuständig ist, wenn es um die Datenübernahme von WhatsApp-Kundeninformationen ging. Man hat die Daten gezogen, weil die irischen Datenschützer zuständig waren, obwohl es deutsche Gerichtsurteile gab, die genau diese Datenübertragung untersagten.

Nun kommt das Wallstreet Journal in diesem Artikel mit einer interessanten Fragestellung um die Ecke. Droht Facebook in Europa möglicherweise eine Strafe von 1,63 Milliarden US $ wegen Verstoßes gegen die Datenschutzgrundverordnung?

Irische Datenschutzkommission alarmiert

Die irische Datenschutzkommission, die für Facebook in Europa zuständig ist, teilte jedenfalls am Samstag mit, dass sie vom Unternehmen mehr Informationen über die Art und das Ausmaß der Datenschutzverletzung verlangt habe. Das schließt auch eine Antwort ein, ob Daten von EU-Bürgern betroffen sein könnten. In einer per E-Mail versandten Erklärung schreibt die Behörde, sie sei “besorgt darüber, dass dieser am Dienstag entdeckte Datenschutzverstoß viele Millionen Benutzerkonten betrifft, aber Facebook ist nicht in der Lage, die Art des Verstoßes und das Risiko für die Nutzer an dieser Stelle zu klären”.

Facebook will kooperieren

Eine Sprecherin von Facebook sagte am Sonntag, dass das Unternehmen auf Folgefragen des irischen Datenschutzbehörde antworten und die Regulierungsbehörden über weitere Entwicklungen auf dem Laufenden halten werde. Facebook-Chef Mark Zuckerberg sagte am Freitag, dass das soziale Netzwerk den Hack ‘sehr ernst nimmt und dass es immer noch versucht, viele Details über den Umfang und die Auswirkungen des Vorfalls zu ermitteln’.

Doof für Facebook, Lackmus-Test für die EU


Werbung

Für Facebook ist der Datenschutzverstoß auf Grund des Hacks ein bedeutender Schlag für die Bemühungen des Unternehmens, das Vertrauen wiederherzustellen. Denn dieses ist nach einer Reihe von Datenschutz- und Sicherheitslücken, die Nutzer und Gesetzgeber gleichermaßen verärgert haben, ziemlich im Keller.

Der Facebook-Hack ist dann auch ein wichtiger Testfall, wie die Regulierungsbehörden die DSGVO-Bestimmungen bei Meldung von Verstößen und zur Datensicherheit anwenden werden. Setzt natürlich voraus, dass Daten europäischer Nutzer betroffen sind. Möglicherweise ist die DSGVO bereits der Grund, warum Facebook sofort an die Öffentlichkeit ging, als der Hack entdeckt wurde.

Facebook ist nicht das erste Unternehmen, welches nach Datenschutzverstößen im Hinblick auf die DSGVO unter die Lupe genommen wird. Es wurde zwar Anfang September der Hack von British Airways bekannt. Hacker konnten mehr als zwei Wochen finanzielle Details von Kunden, die Buchungen vorgenommen haben, abgefangen. Aber Datenschutzrechtler sagen, dass alle bisherigen DSGVO-Datenschutzverstöße nichts im Vergleich zu der Größenordnung waren, die sich jetzt beim Facebook-Hack offenbart.

Die Hauptfrage, vor der die Regulierungsbehörden stehen werden, ist, ob Facebook genug in die Sicherheit investiert hat, um einen Verstoß abzuwenden. Insider gehen davon aus, bei einem Unternehmen wie Facebook, das über riesige Ressourcen und eine große Nutzerbasis verfügt, die Anforderungen zur Erfüllung der DSGVO-Standards sehr hoch angesetzt werden. Es bleibt also spannend, zu beobachten, wie sich dieser Fall weiter entwickelt – oder was meint ihr?

Ähnliche Artikel:
Steigender Vertrauensverlust in Facebook, Google & Co.
‘Höchststrafe’ für Facebook in England im Analytica-Skandal
Forscher warnte bereits 2014 vor Facebook-Analytica-Skandal
Löchriges Datenschutzsieb: Die Facebook-Katastrophe
Facebook, die DSGVO und Benachrichtigungen
DSGVO? Und WhatsApp teilt Nutzerdaten mit Facebook
Nachbeben im Facebook/Cambridge Analytica-Skandal
Neuer Ärger im Facebook-Universum
Facebook-Hack: Zugriff auf 50 Mio. Access-Token für Konten


Anzeige
Dieser Beitrag wurde unter Facebook, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Responses to Facebook-Hack & DSGVO: Wird es in Europa richtig teuer?

  1. Christian59 sagt:

    “…könnte für das Unternehmen in Europa richtig teuer werden…”

    Naja, wie sagt man doch so schön: “…könnte, könnte, Fahrradkötte”

    …oder wie ging das schon wieder… ;-)
    Gruss, Christian

  2. Moin,

    Mitte September hatte Veeam ebenfalls einen Fall von Personendaten-Verlust. Dazu gab es Notizen in den Medien, aber einen Aufschrei hat man vermisst.

    In der Tat wird es jetzt spannend, ob “die EU” ihre Vorschriften ernst meint oder nicht. Wenn, dann müssen sie jetzt Zähne zeigen.

    Gruß, Nils

    • Günter Born sagt:

      Veeam hatte ich sogar am Rande mitbekommen, es hier im Blog aber verbeutelt. Klar ist es unschön, aber Veeam und Facebook sind schon unterschiedliche Kategorien. Speziell, wenn man bedenkt, wie Facebook den Datenschutz in den letzten Jahren mit der Datensammelei (und direkt nach dem DSGVO-Stichtag mit der WhatsApp-Datenübernahme) strapaziert hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.