Meta Platforms Ireland: Irische Datenschutzkommission verhängt 91-Millionen-Euro-Strafe
Am 27. September 2024 hat die irische Datenschutzkommission (DPC) ihre endgültige Entscheidung im Rahmen einer Untersuchung gegen Meta Platforms Ireland Limited (MPIL) bekannt gegeben. Diese Untersuchung wurde im April 2019 eingeleitet, nachdem MPIL die DPC darüber informiert hatte, dass sie versehentlich bestimmte Passwörter von Social-Media-Nutzern im Klartext auf internen Systemen gespeichert hatte, also ohne kryptografischen Schutz oder Verschlüsselung.
Inhaltsverzeichnis
Untersuchung und Entscheidung
Im Juni 2024 legte die DPC ihren Entwurf einer Entscheidung den anderen betroffenen Aufsichtsbehörden in der EU und dem EWR gemäß Artikel 60 der Datenschutz-Grundverordnung (DSGVO) vor. Keine der anderen Behörden erhob Einwände gegen den Entwurf.
Die Entscheidung, die von den Datenschutzbeauftragten Dr. Des Hogan und Dale Sunderland getroffen und am 26. September 2024 an MPIL übermittelt wurde, beinhaltet eine Rüge sowie eine Geldstrafe in Höhe von 91 Millionen Euro.
Verstöße von Meta Platforms Ireland gegen die DSGVO
Die Entscheidung der DPC dokumentiert folgende Verstöße gegen die DSGVO:
- Artikel 33(1) DSGVO, da MPIL es versäumt hatte, der DPC eine Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Speicherung von Passwörtern im Klartext zu melden;
- Artikel 33(5) DSGVO, da MPIL es versäumt hatte, Datenschutzverletzungen im Zusammenhang mit der Speicherung von Passwörtern im Klartext zu dokumentieren;
- Artikel 5(1)(f) DSGVO, da MPIL keine angemessenen technischen oder organisatorischen Maßnahmen ergriffen hatte, um die Sicherheit der Passwörter der Nutzer vor unbefugter Verarbeitung zu gewährleisten;
- Artikel 32(1) DSGVO, da MPIL keine geeigneten technischen und organisatorischen Maßnahmen implementiert hatte, um ein der Risikolage angemessenes Sicherheitsniveau zu gewährleisten, einschließlich der Fähigkeit, die fortlaufende Vertraulichkeit der Passwörter der Nutzer sicherzustellen.
Bedeutung der Entscheidung
Graham Doyle, stellvertretender Datenschutzbeauftragter bei der DPC, betonte die Bedeutung der sicheren Speicherung von Passwörtern: „Es ist allgemein anerkannt, dass Passwörter nicht im Klartext gespeichert werden sollten, da die Risiken des Missbrauchs durch unbefugten Zugriff auf solche Daten bestehen. Es muss berücksichtigt werden, dass die in diesem Fall betroffenen Passwörter besonders sensibel sind, da sie den Zugang zu den Social-Media-Konten der Nutzer ermöglichen würden.“
Hintergrund und weitere Schritte
Im März 2019 hatte Meta Platforms Ireland die DPC darüber informiert, dass sie versehentlich Passwörter von Social-Media-Nutzern im Klartext auf ihren internen Systemen gespeichert hatte. Diese Passwörter waren nicht extern zugänglich. Die daraufhin eingeleitete Untersuchung sollte klären, ob MPIL die Anforderungen der DSGVO hinsichtlich der Sicherstellung eines angemessenen Sicherheitsniveaus bei der Verarbeitung von Passwörtern erfüllt und ob das Unternehmen seinen Verpflichtungen nachgekommen ist, Datenschutzverletzungen ordnungsgemäß zu dokumentieren und der DPC zu melden.
Die Entscheidung der DPC betont die Bedeutung der Integrität und Vertraulichkeit im Rahmen der DSGVO. Datenverantwortliche sind verpflichtet, geeignete Sicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten zu implementieren, wobei Risiken für die Nutzer sowie die Art der Datenverarbeitung zu berücksichtigen sind.
Neben der Geldstrafe von 91 Millionen Euro umfasst die Entscheidung auch eine Rüge gemäß Artikel 58(2)(b) DSGVO. Die DPC wird die vollständige Entscheidung und weitere Informationen zu gegebener Zeit veröffentlichen.
- Meta Platforms Ireland: Irische Datenschutzkommission verhängt 91-Millionen-Euro-Strafe - 30. September 2024
- Klarna und Adyen erweitern ihre Partnerschaft auf den stationären Handel - 30. September 2024
- PayPal ermöglicht US-Geschäftskonten den Kauf, das Halten und den Verkauf von Kryptowährungen - 30. September 2024