Die irische Datenschutzbehörde (Data Protection Commission, DPC) hat gegen Meta Platforms Ireland Limited (MPIL) eine Geldstrafe in Höhe von 91 Millionen Euro verhängt. Grund dafür ist ein gravierender Verstoß gegen elementare Datenschutzprinzipien: Hunderte Millionen Nutzerpasswörter wurden jahrelang unverschlüsselt auf Servern des Unternehmens gespeichert.
Chronologie eines folgenschweren Sicherheitsvorfalls
Der Vorfall, der zu dieser empfindlichen Strafe führte, wurde bereits 2019 entdeckt. Sicherheitsforscher stellten fest, dass die Passwörter von schätzungsweise 200 bis 600 Millionen Nutzern der Plattformen Facebook Lite, Facebook und Instagram im Klartext auf Servern des Unternehmens abgelegt waren. Dies machte sie für tausende Mitarbeiter potenziell zugänglich – ein schwerwiegender Verstoß gegen grundlegende Sicherheitspraktiken in der IT-Branche.
Besonders alarmierend: Die Untersuchungen ergaben, dass etwa 2000 Ingenieure und Entwickler bei Meta insgesamt rund 9 Millionen interne Anfragen an Datensätze stellten, die unverschlüsselte Nutzerpasswörter enthielten. Obwohl Meta den Vorfall einräumte, wurden damals keine genauen Zahlen zur Anzahl der betroffenen Nutzer veröffentlicht.
Fünfjährige Untersuchung deckt DSGVO-Verstöße auf
Die irische Datenschutzbehörde, die aufgrund des europäischen Hauptsitzes von Meta in Irland federführend für EU-Datenschutzfragen zuständig ist, hat nun ihre fünfjährige Untersuchung abgeschlossen. Das Ergebnis: Die unsichere Speicherung der Passwörter verstößt gegen mehrere Artikel der Datenschutz-Grundverordnung (DSGVO) der EU.
Die DPC betont in ihrer Erklärung: „Im März 2019 informierte MPIL die DPC darüber, dass sie versehentlich Passwörter einiger Nutzer sozialer Netzwerke als ‚Klartext‘ in ihren internen Systemen gespeichert hatte (d.h. ohne kryptografischen Schutz oder Verschlüsselung).“
Keine Hinweise auf Missbrauch – dennoch hohe Strafe
Trotz der potenziellen Zugänglichkeit der Passwörter für Dritte konnten die Prüfungen keine Beweise für Missbrauch oder unbefugten Zugriff finden. Dennoch betrachtet die Datenschutzbehörde den Vorfall als schwerwiegend genug, um eine Strafe von 91 Millionen Euro (entspricht etwa 101,6 Millionen US-Dollar) zu verhängen.
Wachsende Liste von DSGVO-Strafen für Meta
Diese Strafe reiht sich in eine wachsende Liste von DSGVO-Bußgeldern ein, die Meta seit Inkrafttreten der Verordnung im Jahr 2018 auferlegt wurden. Die Gesamtsumme der Strafen beläuft sich mittlerweile auf über 2,23 Milliarden Dollar. Darin enthalten ist auch eine Rekordstrafe von 1,3 Milliarden Dollar aus dem vergangenen Jahr, gegen die Meta derzeit Berufung eingelegt hat.
Dieser Fall unterstreicht die immense Bedeutung robuster Datenschutzpraktiken in der digitalen Ära. Unternehmen jeder Größe müssen sichere Verfahren zur Passwortspeicherung implementieren, einschließlich starker Verschlüsselung und strikter Zugriffskontrollen. Nur so können sie nicht nur gesetzliche Vorgaben erfüllen, sondern auch das Vertrauen ihrer Nutzer schützen. Die hohen Strafen für DSGVO-Verstöße verdeutlichen, dass Datenschutz und Cybersicherheit keine optionalen Extras, sondern geschäftskritische Notwendigkeiten sind.