Irische DPC verhängt nach Datenschutzvorfall 265 Millionen Euro Geldbuße gegen Meta/Facebook

[English]Die irische Datenschutzbehörde hat eine Strafe in Höhe von 265 Millionen  gegen Meta, den Mutterkonzern von Facebook, verhängt. Das ist die Folge eines Datenschutzvorfalls, bei dem Millionen Daten von Facebook-Benutzern bis September 2019 über Tools von den Systemen des Unternehmens abgezogen wurden. Im April 2021 leitete die irische Datenschutzbehörde dann eine formelle Untersuchung ein.


Anzeige

Ich hatte im April 2021 im Beitrag Hacker publiziert 533 Millionen Telefonnummern von Facebook-Nutzern über einen größeren Datenschutzvorfall bei Facebook hier im Blog berichtet. Ein Hacker hat die Telefonnummern und Kontodaten von schätzungsweise 533 Millionen Facebook-Nutzern – etwa ein Fünftel des gesamten Nutzerpools des sozialen Netzwerks – in einem öffentlich zugänglichen Cybercrime-Forum veröffentlicht. Die veröffentlichten Daten wurden durch Benutzer in ihren Facebook-Profilen eingetragen. Je nach Auskunftsfreude der Facebook-Nutzer gehören zu den jetzt öffentlich gewordenen Informationen Facebook-ID-Nummern, Profilnamen, E-Mail-Adressen, Standortinformationen, Angaben zum Geschlecht, Jobdaten und so weiter. Auch deutsche Nutzer waren davon betroffen.

Die irische Datenschutzbehörde (Irish Data Protection Commission, DPC) hatte dann am 14. April 2021 eine Untersuchung gegen Facebook/Meta eingeleitet. Das Verfahren ging auf die Medienberichte über die Entdeckung dieses Datenlecks mit personenbezogenen Daten von Facebook, der im Internet zugänglich gemacht worden war, zurück.

Von Facebook gab es seinerzeit nur eine Erklärung, dass die betreffenden Daten von "böswilligen Akteuren" über eine Schwachstelle in seinen Tools vor September 2019 abgezogen worden seien. Der Umfang der DPC-Untersuchung betraf eine Prüfung und Bewertung der Tools Facebook Search, Facebook Messenger Contact Importer und Instagram Contact Importer in Bezug auf die von Meta Platforms Ireland Limited ("MPIL") im Zeitraum zwischen dem 25. Mai 2018 und September 2019 durchgeführte Verarbeitung.

Die wesentlichen Punkte in dieser Untersuchung betrafen laut der DPC Fragen der Einhaltung der DSGVO-Verpflichtung zum Datenschutz durch Design und Standard. Die DPC untersuchte die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Artikel 25 DSGVO (der sich mit diesem Konzept befasst). Nun teilt die Datenschutzbehörde in einer Meldung vom 28. November 2022 den Abschluss dieser Untersuchung gegen Meta Platforms Ireland Limited (MPIL) mit.

Die DPC hat eine Geldbuße in Höhe von 265 Millionen Euro sowie eine Reihe von Vorgaben zu Abhilfemaßnahmen gegen Meta und seine Tochter Facebook verhängt. Dieser Entscheidung ging nicht nur das oben erwähnte, umfassende Untersuchungsverfahren voraus. Sondern es gab auch eine Zusammenarbeit mit allen anderen Datenschutzaufsichtsbehörden in der EU. Diese Aufsichtsbehörden stimmten der Entscheidung des DPC zur Verhängung des Bußgelds zu.

Die BBC zitiert Helen Dixon, Data Protection Commissioner, mit der Aussage: Da dieser Datensatz so umfangreich war und es schon früher Fälle von Scraping auf der Plattform gegeben hatte, bei denen die Probleme rechtzeitig hätten erkannt werden können, verhängten wir schließlich eine erhebliche Sanktion. Die Risiken für Einzelpersonen in Bezug auf Scamming, Spamming, Smishing, Phishing und den Verlust der Kontrolle über ihre persönlichen Daten sind beträchtlich, weshalb wir eine Geldstrafe von insgesamt 265 Millionen Euro verhängt haben.

Nur zur Einordnung: Die irische Datenschutzkommission (DPC) hatte am 15. September 2022 ein Bußgeld in Höhe von 405 Millionen Euro gegen die Meta-Tochter Instagram verhängt, weil dort Daten von Kindern verarbeitet worden waren (siehe Irische Datenschutzbehörde verhängt 405 Millionen Euro DSGVO-Strafe gegen Instagram).

Die DPC schreibt, dass in der Entscheidung, die am Freitag, dem 25. November 2022, angenommen wurde, ein Verstoß gegen Artikel 25 Absatz 1 und 2 DSGVO durch Facebook festgestellt wird. In der Entscheidung wurden ein Verweis und eine Anordnung ausgesprochen, wonach das Meta Irland (MPIL) seine Verarbeitung in Einklang mit den Bestimmungen zu bringen hat. Dazu muss das Unternehmen innerhalb eines bestimmten Zeitrahmens eine Reihe von spezifizierten Abhilfemaßnahmen trifft umsetzen. Zudem wurde in der Entscheidung eine Geldbuße in Höhe von insgesamt 265 Mio. EUR gegen MPIL verhängt.

Ein Sprecher des Unternehmens sagte, dass der Schutz der Privatsphäre und der Sicherheit der Daten von Facebooks Kunden für das Unternehmen von grundlegender Bedeutung sei. Deshalb habe man mit der irischen Datenschutzkommission zusammengearbeitet. Zudem seien  in der fraglichen Zeit Änderungen an den eigenen Systemen vorgenommen worden. Unter anderem seit die Möglichkeit entfernt worden, Facebook-Daten mit Hilfe von Telefonnummern abzufragen.


Anzeige

Ähnliche Artikel
Sicherheitsvorfälle bei Facebook
Facebook Datenleck durch API-Bug
Facebook Tracking Pixel verursacht Datenleck bei US Health Care System, 3 Million Patienten betroffen
Meta findet 2022 über 400 mobile Apps, die Facebook-Anmeldeinformationen stehlen
Rotes Kreuz übermittelt Daten von Blutspendern an Facebook
Datenpanne bei BRK-Blutspendedienst in Bayern in 2020 bestätigt
Facebook-Apps als Datenkraken
Facebook droht mit Rückzug aus der EU wegen Datenschutzauflagen
Irlands Datenschützer verbieten Facebook den Datentransfer in die USA
Hacker publiziert 533 Millionen Telefonnummern von Facebook-Nutzern
Alle Facebook-Konten wurden gehackt …
Facebook-Hack & DSGVO: Wird es in Europa richtig teuer?
Facebook-Hack: Daten von 30 Millionen Nutzern abgeflossen
Hacker bietet private Facebook-Nutzerdaten an
Twitter-Konten von Facebook / Instagram gehackt (7.2.2020)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Facebook, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Irische DPC verhängt nach Datenschutzvorfall 265 Millionen Euro Geldbuße gegen Meta/Facebook

  1. mvo sagt:

    Die DSGVO zeigt Wirkung. Solche Summen tun auch den großen Playern weh. Richtig so.

    • Tom sagt:

      @mvo
      Das glaube ich weniger ->

      https://de.statista.com/themen/138/facebook/

      0,225 Prozent vom Jahresumsatz 2021
      0,668 Prozent vom Jahresgewinn 2021

      "Oh wie süß – schau', ein Bußgeld(chen)!"
      Da sind wahrscheinlich die Anwaltskosten für META höher, als das Bußgeld selbst.

      • mvo sagt:

        Bußgeld, Auflagen, eigene Anwaltskosten, Imageverlust…
        Ein Unternehmen, welches gerade massenhaft Mitarbeiter entlässt, und dessen Aktienkurs nur noch Richtung Abwärts kennt und innerhalb eines Jahres mehr als 2/3 an Wert verloren hat, lächelt darüber ganz sicher nicht. Gewinne werden gemacht, um den Shareholdern Dividende auszuschütten und nicht, um Bußgelder und Anwaltskosten zu begleichen. Mit dem Instagram Bußgeld sind das 670 Millionen Euro. Alleine in Irland.

  2. Norddeutsch sagt:

    Die Untersuchung resultierend aus o.g. Blogbeitrag führte bei DPC dann konkret zu:
    https://www.dataprotection.ie/en/news-media/press-releases/dpc-launches-inquiry-facebook-relation-collated-dataset-facebook-user-personal-data-made-available

    Folgern lässt sich:
    – Eigentlich betrachtet es nur ein (Bruch-)Teil gerade diskutierter Defizite und nichts nach 2021.
    – Der Vorgang dauerte also gut 18 Monate
    – Findet oder kennt jemand von Euch Details der Untersuchung oder die „findings" ?? Ggf PDFs wie Anhörung ?? Also Begründung, Defizitliste, technische Findings, Festsetzung, … Link von Günter hat nur die Pressemeldung …

    Case Studies und Annual Reports der DPC gibt es bis hin zum PDF hier:
    https://www.dataprotection.ie/en/dpc-guidance/publications/annual-reports (meist Summary, aggregiert, Zahlen High-Level-Management und „non-tech")

  3. Ralf S. sagt:

    Ich glaube damit können wir alle mehr als zufrieden sein.

  4. R.S. sagt:

    Meta musste dieses Jahr insgesamt über 900 Mio Euro Bußgeld in der EU zahlen.

Schreibe einen Kommentar zu Norddeutsch Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.