Meta muss Geldstrafe in Höhe von 251 Millionen Euro wegen GDPR-Verstößen bei Facebook zahlen
Die irische Datenschutzkommission (DPC) hat am 17. Dezember 2024 ihre abschließenden Entscheidungen zu zwei Untersuchungen gegen Meta Platforms Ireland Limited (MPIL) veröffentlicht. Diese Untersuchungen wurden aufgrund eines gemeldeten Datenschutzverstoßes im September 2018 eingeleitet.
Inhaltsverzeichnis
Umfang und Auswirkungen der Datenschutzverletzung
Die Datenschutzverletzung betraf weltweit rund 29 Millionen Facebook-Konten, darunter etwa 3 Millionen Nutzer in der EU bzw. im EWR. Zu den kompromittierten Datenkategorien gehörten vollständige Namen, E-Mail-Adressen, Telefonnummern, Standorte, Arbeitsorte, Geburtsdaten, Religion, Geschlecht, Beiträge auf Timelines, Mitgliedschaften in Gruppen und personenbezogene Daten von Kindern.
Die Ursache des Verstoßes lag in der Ausnutzung von Nutzertokens durch unbefugte Dritte auf der Facebook-Plattform. Der Vorfall wurde von Meta und dessen US-Muttergesellschaft kurz nach seiner Entdeckung behoben.
Verstöße gegen die DSGVO
Die DPC stellte in ihren Entscheidungen Verstöße gegen mehrere Artikel der Datenschutz-Grundverordnung (DSGVO) fest:
Entscheidung 1: Unzureichende Meldung und Dokumentation
- Artikel 33(3) DSGVO: Meta wurde dafür gerügt, dass die Meldung des Datenschutzverstoßes nicht alle notwendigen Informationen enthielt. Dafür verhängte die DPC ein Bußgeld von 8 Millionen Euro.
- Artikel 33(5) DSGVO: Meta wurde zudem gerügt, weil die Fakten zu den Verstößen und die ergriffenen Maßnahmen zur Behebung nicht ausreichend dokumentiert wurden. Das Bußgeld hierfür beträgt 3 Millionen Euro.
Entscheidung 2: Fehlende Datenschutzprinzipien im Design
- Artikel 25(1) DSGVO: Die DPC stellte fest, dass Meta Datenschutzprinzipien nicht ausreichend in die Gestaltung seiner Verarbeitungssysteme integriert hat. Dieses Versäumnis führte zu einem Bußgeld von 130 Millionen Euro.
- Artikel 25(2) DSGVO: Darüber hinaus wurde Meta gerügt, weil die Vorgabe, standardmäßig nur notwendige personenbezogene Daten für spezifische Zwecke zu verarbeiten, nicht eingehalten wurde. Dafür wurde ein Bußgeld von 110 Millionen Euro verhängt.
Reaktion der Datenschutzkommission
Dr. Des Hogan und Dale Sunderland, die Kommissare für Datenschutz, sprachen mehrere Rügen aus und ordneten die Zahlung des Gesamtbußgeldes in Höhe von 251 Millionen Euro an. Die DPC hatte im September 2024 eine Entwurfsentscheidung im Rahmen des GDPR-Kooperationsmechanismus vorgelegt, die ohne Einwände von anderen EU/EWR-Aufsichtsbehörden bestätigt wurde.
Deputy Commissioner Graham Doyle erklärte: „Diese Maßnahme verdeutlicht, wie gravierend die Risiken und Schäden sein können, wenn Datenschutzanforderungen nicht in den Entwicklungsprozess von Systemen integriert werden. Besonders bei sensiblen Informationen wie religiösen oder politischen Ansichten sowie sexueller Orientierung birgt eine unautorisierte Offenlegung gravierende Gefahren.“