Die irische Datenschutzkommission DPC hat ein relativ hohes Bußgeld gegen den Konzern Meta erwirkt. Hintergrund war ein Datenleck durch einen technischen Fehler.
Hintergrund des Datenleck war nach Angabe der irischen DPC (Data Protection Commission) die Einführung einer Video-Upload-Funktion auf der Plattform Facebook im Juli 2017. Ein Feature erlaubte es, die eigene Facebook-Seite zu sehen, als ob man eine fremde Person sei. Im Zusammenhang mit einer „Happy Birthday Composer“-genannten Funktion habe der Aufruf des Video-Uploads nun einen sogenannten Token erzeugen können. Der Token habe allerdings den vollen Zugriff auf das Profil der anderen Person ermöglicht. Über diesen Token habe man das Verfahren nutzen können, um auf weitere Benutzerprofile und die jeweils hinterlegten Daten zugreifen zu können, so die Erklärung der irischen DPC. Zwischen dem 14. und dem 28. September 2018 sei es so Unbefugten möglich gewesen, den Exploit maschinell auszunutzen. Dies sei in ungefähr 29 Millionen Fällen, davon 3 Millionen in der EU, geschehen.
Zu den Daten, die abgegriffen wurden, gehören nach Angaben der irischen Datenschutzkommission Vor- und Nachname, E-Mail-Adressen, Telefonnummern, Wohnort, Arbeitsplatz, Geburtsdatum, Religionszugehörigkeit, Geschlecht, Posts auf der Timeline, Zugehörigkeit zu Gruppen und die Daten von Kindern. Die Lücke wurde durch Angestellte von Facebook geschlossen, nachdem eine erhöhte Aktivität der Video-Upload-Funktion festgestellt wurde. Man entfernte die entsprechende Funktion nach Angaben der IDPC. Dieser Vorfall, so der DPC Deputy Commissioner Graham Doyle, zeige, wie das Versagen, Datenschutzvoraussetzungen bereits im Design und Entwicklungsprozess einzubauen, Individuen sehr ernsten Risiken aussetze und ihnen Schaden zufüge. Dies gelte insbesondere auch in Bezug auf die fundamentalen Rechte und Freiheiten der Individuen. Die auf Facebook-Profilen hinterlegten Daten seien oftmals sensibler Natur.
Widerspruch durch Meta wird erwartet
Man geht davon aus, dass Meta gegen das Bußgeld vorgehen wird. Die dpa zitiert einen Meta-Sprecher, der gegenüber dem irischen Rundfunksender RTÉ gesagt haben soll: „Wir haben umgehend Maßnahmen ergriffen, um das Problem zu beheben, sobald es erkannt wurde. Und wir haben proaktiv die betroffenen Personen sowie die irische Datenschutzkommission informiert.“ In der EU ist die irische DPC für Verstöße gegen die europäische Datenschutz-Grundverordnung (GDPR) zuständig. Sie stand in der Vergangenheit immer wieder in der Kritik, da sie im Ruf steht, solche Vergehen nicht richtig zu verfolgen und sich vielmehr auf die Seite der Unternehmen zu schlagen. Viele dieser Unternehmen wie Apple, AWS, Cisco, Google, HPE, IBM, Intel, Meta und Microsoft sind dort ansässig. Von Kritikern wird in diesem Zusammenhang teilweise von Steuervermeidungsstrategien gesprochen. Auch in anderer Sache kommt möglicherweise Ärger auf Facebook zu, wie DIGITAL FERNSEHEN berichtete.
Auch interessant:
Bildquelle:
- Geldscheine: Alexa auf Pixabay
