Am 27.09.2024 gab die irische Datenschutzaufsichtsbehörde bekannt, abermals Bußgelder gegen die Meta Plattforms Ireland Limited verhängt zu haben. Grund diesmal: Die irische Tochtergesellschaft des Meta Konzerns habe Nutzer Passwörter im Klartext gespeichert und nicht angemessen auf den Datenschutzvorfall reagiert.
Es ging um einen Vorgang, bei dem im Januar 2019 durch META entdeckt wurde, dass einige Nutzer-Passwörter in internen Systemen im Klartext vorgelegen hätten. Dabei handelt es sich um einen Fehler und keine für das Unternehmen übliche Verfahrensweise. Meta hat diesen Fehler sobald dieser bemerkt wurde beseitigt. Unstreitig ist wohl auch, dass die im Klartext in internen Systemen gespeicherten Nutzer Passwörter soweit ersichtlich nie für Personen außerhalb von Facebook einsehbar gewesen sind.
Interessant in diesem Zusammenhang ist auch, dass bis zur Veröffentlichung der Meta Pressemitteilung am 21. März 2019, in der auf diese Fehler hingewiesen wurde, keine Nachweise dafür gefunden wurden, dass Interne auf die betroffenen Nutzer Passwörter unzulässigerweise zugegriffen oder sie missbraucht hätten. Die zuständige irische Aufsichtsbehörde wurde erst im März durch Meta auf das seinerzeit bestandene Problem hingewiesen und hat dann im April des Jahres 2019 Untersuchungen aufgenommen.
In einer Pressemittleiung vom 27.09.2024 gab die irische Datenschutzaufsichtsbehörde dann bekannt, abermals Bußgelder gegen die Meta Plattforms Ireland Limited verhängt zu haben. Vorgeworfen wird Meta aufgrund des genannten Vorfalls und den Umgang damit:
- Verletzung des Grundsatz der Integrität und Vertraulichkeit – Art. 5 Abs. 1 lit. f) DSGVO
- Fehlende Implementierung geeigneter TOM – Art. 32 Abs. 1 DSGVO
- Verstoß genegn die Anforderungen der Meldepflicht bei Datenschutzvorfällen – Art. 33 Abs. 1 DSGVO
- Versämnisse hinsichtlich der Dokumentationspflicht – Art. 33 Abs. 5 DSGVO
In Folge der ihrer Ansicht nach vorliegenden Datenschutzverstöße machte die DPC laut ihrer Pressemitteilung von ihren Abhilfebefugnissen nach Art. 58 Abs. 2 lit. b) DSGVO und Art. 58 Abs. 2 lit. i) DSGVO in Verbindung mit Art. 83 DSGVO Gebrauch. Sie sprach eine Verwarnung gegen Meta Ireland aus und verhängte Bußgelder in einer Höhe von insgesamt 91 Millionen €.
Im Ergebnis viel Geld, wenn man bedenkt, dass eigentlich nicht wirklich etwas passiert ist (mit Ausnahme der Verletzung der Fristen für die Meldung eines Datenschutzvorfalls und einer ggf. ungenügenden Dokumentation).
https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-91-million-fine-of-Meta
