Meta wurde in der Europäischen Union mit einer Geldstrafe in Höhe von 251 Millionen Euro (etwa 263 Millionen US-Dollar) belegt. Die irische Datenschutzkommission (DPC) verhängte die Strafe aufgrund eines schwerwiegenden Facebook-Sicherheitsvorfalls aus dem Jahr 2018, der weltweit rund 29 Millionen Nutzer betraf – darunter etwa 3 Millionen in der EU.
Der Vorfall ist nicht mit dem Datenleck aus 2021 zu verwechseln, das Millionen deutsche Nutzer betroffen hatte und zu dem aktuell eine Sammelklage läuft.
Zwischen dem 14. und 28. September 2018 nutzten Angreifer automatisierte Skripte, um diesen Fehler auszubeuten und auf Millionen von Nutzerkonten zuzugreifen. Die von der Datenpanne betroffenen Kategorien umfassten sensible persönliche Informationen wie Namen, E-Mail-Adressen, Telefonnummern, Standorte, Arbeitsorte, Geburtsdaten, Religionszugehörigkeit, Geschlecht sowie Angaben zu Kindern. Unbefugte Dritte hatten sich Zugang zu Nutzerprofilen verschafft, indem sie Sicherheitslücken in Verbindung mit Nutzer-Tokens ausnutzten. Die Sicherheitslücke wurde laut Meta unmittelbar nach Entdeckung behoben.
Die Entscheidungen der DPC, unterzeichnet von den Datenschutzkommissaren Dr. Des Hogan und Dale Sunderland, führen mehrere Verstöße gegen die Datenschutz-Grundverordnung (GDPR) auf. Im Rahmen der Untersuchungen hatte die Behörde im Juli 2024 einen Entwurf gemäß Artikel 60 GDPR vorgelegt, gegen den es keine Einwände seitens anderer EU/EWR-Datenschutzbehörden gab.
Details zu den Entscheidungen der DPC:
Entscheidung 1:
- Artikel 33(3) GDPR: Meta wurde wegen unzureichender Informationen bei der Meldung des Datenschutzverstoßes an die Behörde gerügt und zu einer Geldstrafe von 8 Millionen Euro verurteilt.
- Artikel 33(5) GDPR: Meta versäumte es, die Fakten des Verstoßes und die ergriffenen Maßnahmen ordnungsgemäß zu dokumentieren, wodurch die DPC die Einhaltung der Vorschriften nicht überprüfen konnte. Hierfür wurde eine Strafe von 3 Millionen Euro verhängt.
Entscheidung 2:
- Artikel 25(1) GDPR: Meta habe es versäumt, Datenschutzprinzipien in die Design- und Entwicklungsprozesse der Systeme einzubauen. Dafür wurde eine Geldstrafe von 130 Millionen Euro ausgesprochen.
- Artikel 25(2) GDPR: Das Unternehmen habe es unterlassen sicherzustellen, dass standardmäßig nur notwendige personenbezogene Daten verarbeitet werden. Diese Verletzung führte zu einer Strafe von 110 Millionen Euro.
Der stellvertretende DPC-Kommissar Graham Doyle erklärte, der Fall unterstreiche die gravierenden Risiken bei mangelnder Integration von Datenschutzvorgaben in Systemdesigns: „Facebook-Profile können sensible Informationen wie religiöse oder politische Ansichten oder persönliche Lebensdetails enthalten. Die unautorisierte Offenlegung solcher Daten erhöht das Risiko schwerwiegender Missbräuche.“
