251 Millionen Euro Strafe: Meta verstößt gegen DSGVO
Die irische Datenschutzkommission hat Meta am Dienstag (17. Dezember) mit einer Geldstrafe von 251 Millionen Euro belegt. Das Unternehmen soll die europäische Datenschutzverordnung (DSGVO) nicht eingehalten haben.
Die irische Datenschutzkommission hat Meta am Dienstag (17. Dezember) mit einer Geldstrafe von 251 Millionen Euro belegt. Das Unternehmen soll die europäische Datenschutzverordnung (DSGVO) nicht eingehalten haben.
Die Geldstrafe der Datenschutzkommission (Data Protection Commission, DPC) wurde wegen einer Sicherheitslücke im sozialen Netzwerk Facebook verhängt, die im Juli 2017 begann und fast drei Millionen Konten im Europäischen Wirtschaftsraum betraf, wie aus einer Pressemitteilung hervorgeht.
„Diese Durchsetzungsmaßnahme zeigt, wie das Versäumnis, Datenschutzanforderungen einzubauen, […] dazu führen kann, dass Einzelpersonen […] Risiken für die Grundrechte und -freiheiten von Einzelpersonen ausgesetzt sind“, sagte der stellvertretende irische Datenschutzbeauftragte Graham Doyle.
Der Verstoß war ein Fehler im Design von Facebook. Unbefugte konnten Schwachstellen in einem Facebook-Code auszunutzen, wodurch sie Profile von Benutzern einsehen konnten, die sie sonst nicht hätten sehen dürfen.
Es wird erwartet, dass Meta gegen die Entscheidung Berufung einlegt. „Wir haben sofort Maßnahmen ergriffen, um das Problem zu beheben“, erklärte ein Sprecher von Meta in einer E-Mail.
Meta entdeckte das Sicherheitsproblem im September 2018, schloss die Sicherheitslücke und informierte die Strafverfolgungsbehörden.
Dennoch habe Meta es laut der irischen Datenschutzkommission versäumt, die Aufsichtsbehörden über den Verstoß zu informieren und diesen vollständig zu dokumentieren. Dadurch habe Meta gegen die DSGVO verstoßen, wofür eine Geldstrafe von elf Millionen Euro verhängt wurde.
Der Großteil von der verhängten Geldbuße – 240 Millionen Euro der 251 Millionen Euro – ist jedoch auf die Art der Verletzung des Schutzes personenbezogener Daten selbst zurückzuführen. Laut Doyle bestand der Verstoß darin, dass „die Datenschutzanforderungen nicht in die gesamte Konzeption des betroffenen Systems einbezogen wurden“.
Zu den betroffenen persönlichen Daten gehörten der vollständige Name, das Geschlecht, die Religion, die Telefonnummer, der Standort und der Arbeitsplatz der Nutzer.
Die Datenschutzkommission wurde seit ihrem Inkrafttreten im Jahr 2018 für ihre nachlässige Durchsetzung der DSGVO kritisiert.
Es ist die dritte Geldbuße, die die irische Datenschutzkommission seit der Ernennung von Des Hogan zum Datenschutzbeauftragten und Vorsitzenden im Februar 2024 im Rahmen der DSGVO verhängt hat. Da sich der europäische Hauptsitz von Meta in Dubliun befindet, ist die irische Datenschutzbehörde für die Überwachung und Durchsetzung der entsprechenden EU-Regeln zuständig.
Die endgültige Entscheidung folgt auf die Vorlage des Entscheidungsentwurfs der Datenschutzkommission zur Überprüfung im Rahmen des DSGVO-Kooperationsmechanismus unter Einbeziehung anderer EU-Datenschutzbehörden.
Sowohl der Entwurf als auch die endgültige Entscheidung wurden während Hogans Amtszeit veröffentlicht. Laut der Pressemitteilung wurden keine Einwände von anderen Behörden gegen den Entscheidungsentwurf erhoben.
Im September verhängte die irische Datenschutzbehörde eine Geldstrafe von 91 Millionen Euro gegen Meta wegen eines Versäumnisses bei der Passwortverwaltung. Im Oktober wurde außerdem eine Geldstrafe von 310 Millionen Euro gegen Linkedin wegen gezielter Werbung verhängt.
[Bearbeitet von Owen Morgan/Kjeld Neubert]
