Am 27. September 2024 hat die irische Datenschutzaufsichtsbehörde (DPC) ein Bußgeld von 91 Millionen Euro gegen die Meta Platforms Ireland Limited verhängt. Diese Entscheidung resultiert aus der Entdeckung, dass Nutzerpasswörter in den internen Systemen des Unternehmens im Klartext gespeichert worden waren. Dies stellt einen erheblichen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) dar, da Passwörter grundsätzlich verschlüsselt gespeichert werden sollten, um die Sicherheit der Nutzerdaten zu gewährleisten.
Entdeckung der Klartextspeicherung
Im Januar 2019 wurde bei einer routinemäßigen Sicherheitsüberprüfung der Meta Platforms festgestellt, dass bestimmte Passwörter von Nutzern in unverschlüsselter Form in den internen Systemen gespeichert waren. Nach einer Pressemitteilung vom 21. März 2019 gab Meta an, dass dieser Fehler inzwischen behoben wurde und die Passwörter nun ordnungsgemäß verwaltet werden. Diese Klartextspeicherung betraf mehrere hundert Millionen Facebook Lite-Nutzer, mehrere zehn Millionen Facebook-Nutzer und mehrere Millionen Instagram-Nutzer.
Meta betonte, dass die betroffenen Passwörter für Personen außerhalb von Meta nicht einsehbar gewesen seien und keine Hinweise auf unzulässige Zugriffe oder Missbrauch durch interne Mitarbeiter gefunden wurden. Dennoch informierte Meta nach und nach alle betroffenen Nutzer über diesen Vorfall.
Untersuchung durch die DPC
Nach der Meldung durch Meta im März 2019 begann die DPC, den Vorfall genauer zu untersuchen. Im Juni 2024 wurden weitere betroffene Datenschutzbehörden innerhalb der EU und des Europäischen Wirtschaftsraumes informiert. Keine dieser Behörden legte Einspruch gegen den Beschlussentwurf der DPC ein. Die Untersuchung fokussierte sich auf Verstöße gegen verschiedene Artikel der DSGVO, die in der Pressemitteilung der DPC betont wurden.
Festgestellte Datenschutzverstöße
Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO):
Die DPC argumentierte, dass Meta keine angemessenen technischen und organisatorischen Maßnahmen (TOM) implementiert hatte, um die Sicherheit der Nutzerpasswörter zu gewährleisten.
Implementierung geeigneter TOM (Art. 32 Abs. 1 DSGVO):
Laut Art. 32 Abs. 1 müssen Datenverarbeiter geeignete Maßnahmen zur Sicherstellung eines angemessenen Schutzniveaus gegenüber den Risiken implementieren. Die DPC stellte fest, dass Meta diese Anforderungen nicht erfüllt hatte, da Passwörter im Klartext gespeichert wurden.
Meldepflicht bei Datenschutzvorfällen (Art. 33 Abs. 1 DSGVO):
Meta wurde vorgeworfen, den Datenschutzvorfall nicht fristgerecht innerhalb von 72 Stunden gemeldet zu haben. Die Entdeckung des Vorfalls im Januar 2019 und die nachfolgende Meldung im März 2019 zeigten, dass Meta die gesetzliche Meldefrist nicht einhalten konnte.
Dokumentationspflicht (Art. 33 Abs. 5 DSGVO):
Auch wenn ein Datenschutzvorfall nicht meldepflichtig ist, muss er dennoch dokumentiert werden. Die DPC stellte fest, dass entweder keine ausreichende Dokumentation vorgelegt wurde oder Meta den Vorfall nicht ausreichend dokumentiert hatte.
Konsequenzen und Präventionsmaßnahmen
Die DPC verhängte als Konsequenz eine Verwarnung und ein Bußgeld in Höhe von 91 Millionen Euro gegen Meta Ireland. Diese Entscheidung betont die Notwendigkeit, dass Unternehmen robuste Sicherheitsmaßnahmen implementieren und strenge Datenschutzrichtlinien befolgen müssen.
Im Hinblick auf die zukünftige Vermeidung ähnlicher Vorfälle sollten Unternehmen sicherstellen, dass Passwörter niemals im Klartext gespeichert werden. Anstatt dessen sollten bewährte Verfahren wie Hashing und Salting verwendet werden, um die Integrität und Vertraulichkeit der Daten zu gewährleisten. Die Entscheidung der DPC könnte wertvolle Einsichten für andere Unternehmen bieten, um ähnliche Sicherheitsprobleme zu vermeiden und den Schutz der Nutzerdaten zu verbessern.