Der Meta-Konzern, Betreiber von Facebook, hat ein sehr hohes, das bislang dritthöchste DSGVO-Bußgeld kassiert, weil die Plattform E-Mail-Adressen und Telefonnummern von Nutzer*innen nicht ausreichend geschützt hat. Die Strafe beträgt 265 Millionen Euro. Damit könnten die Gesamtstrafen für das US-Unternehmen bald die Milliardengrenze knacken.
Datenleck bei Facebook
Der irische DPC (Data Protection Commissioner, verantwortlich für den europäischen Datenschutz) hatte eine Untersuchung bei Meta angeordnet, weil 2021 ein Datensatz von Facebook mit über 530 Millionen Nutzerdaten von Hackern gestohlen und in einschlägigen Foren veröffentlicht worden war. Die Hacker hatten Metas hauseigene Tools für die Kontaktanbahnung genutzt. Laut DPC war das zwischen Mai 2018 (dem Inkrafttreten der DSGVO) und September 2019 möglich. Damit hatte Facebook gegen die DSGVO-Vorgabe zum Datenschutz by Design & Default verstoßen. Die DSGVO schreibt den Unternehmen vor, durch ihr technisches Design solche Datendiebstähle auszuschließen. Der Meta-Konzern könnte gegen die nun verhängte Millionenstrafe noch gerichtlich vorgehen. Am 29.11.2022 teilte der Konzern zunächst mit, dass er das betreffende Einfallstor für Hacker inzwischen geschlossen hat, aber immer noch die Entscheidung der irischen Datenschutzbehörde prüft.
Konsequenzen gefordert
Von dem Datenleck bei Meta sind auch Politiker*innen betroffen. Diese forderten eindringlich Konsequenzen, zumal es nicht der erste Fall dieser Art ist. Schon in der Vergangenheit kursierten im Netz Datensätze mit Informationen von Facebook-Usern, welche diese nicht für die Öffentlichkeit freigegeben hatten. Allerdings ist die schiere Größenordnung dieses Mal außergewöhnlich. Parlamentarier aus dem Deutschen Bundestag und dem EU-Parlament reagierten teilweise geschockt. Plötzlich waren ihre geheimen Privatnummern im Internet frei zugänglich. Der Meta-Konzern hatte es nicht einmal für nötig gehalten, sie über das Datenleck zu informieren. Dieses war in der Tat durch eine technische Schwachstelle entstanden: Es war bis 2019 möglich, auf Facebook mit dem sogenannten „Contact Importer“ Daten einer Person herauszufiltern, indem man die öffentlich zugänglichen Daten eingab. Dann zeigte das Portal das komplette Profil an. Eine ähnliche Einstellung gab es auf Twitter, auch dort wurden Daten abgegriffen. Beide Netzwerke haben inzwischen diese Schwachstellen geschlossen. Auch Twitter wurde dafür bestraft. Die Federal Trade Commission hatte das Portal in den USA zu einer Geldstrafe von 140 Millionen Dollar verdonnert.
Meta als Spitzenreiter bei den Bußgeldern
Der Meta-Konzern führt das Ranking der verhängten Bußgelder eindeutig an. Allein 2022 musste er bereits 405 Millionen Euro wegen eines Verstoßes bei Instagram zahlen. 2021 wurden 225 Millionen Euro wegen eines Verstoßes auf WhatsApp fällig. Die betreffenden DSGVO-Verfahren leitete stets die irische Datenschutzbehörde ein. Dort hat Meta seinen Europasitz. Die Datenschutzbranche nimmt die Verfahren wohlwollend zur Kenntnis. Es geht darum, die in Europa agierenden US-Konzerne zur Einhaltung der DSGVO zu zwingen. Auch Amazon und Google waren schon betroffen. Meta hat mit den hier beschriebenen Fällen in Summe die meisten Bußgelder kassiert, doch das höchste Einzelbußgeld entfiel auf Amazon: Der Onlinehändler musste 2021 wegen nur eines Verstoßes 746 Millionen Euro zahlen.
