Nach gigantischem DatenleckMeta kassiert dritthöchstes DSGVO-Bußgeld

Weil es die Telefonnummern und E-Mailadressen von Nutzer:innen unzureichend geschützt hat, soll Meta 265 Millionen Euro Strafe zahlen. Der US-Konzern knackt damit bald die Milliardengrenze an DSGVO-Bußgeldern. Mit ähnlichen Mitteln erfolgte jüngst ein Datenleak, von dem Millionen Twitter-Nutzer:innen betroffen sind.

Zwei Kästen vor grauem Hintergrund, links gefüllt mit einem weißen F vor blauem Grund, rechts ein blaues Unendlichkeits-Zeichen vor weißem Grund
Millionenstrafe für Meta Gemeinfrei-ähnlich freigegeben durch unsplash.com Dima Solomin

Meta soll erneut eine Rekordstrafe wegen Verstößen gegen die Datenschutzgrundverordnung zahlen. Dieses Mal beträgt das Bußgeld 265 Millionen Euro, teilte die zuständige irische Datenschutzbehörde DPC am Montag mit. Grund sind Mängel beim Schutz von Telefonnummern und Mailadressen von Facebook- und Instagram-Nutzer:innen.

Anlass für die Untersuchung durch die DPC war ein Datensatz von mehr als 530 Millionen Facebook-Nutzer:innen, der im Frühjahr 2021 in Hacking-Foren kursierte. Unbekannte hatten die Daten gesammelt, indem sie Metas Werkzeuge zum Finden von Kontakten nutzen. Laut DPC war dies mindestens seit dem ersten Geltungstag der Datenschutzgrundverordnung am 25. Mai 2018 und bis September 2019 möglich.

Die Untersuchung habe weitreichende Verstöße des Konzerns gegen die Vorgaben der DSGVO zu Datenschutz by Design und by Default ergeben, konstatiert die irische Datenschutzbehörde. Nach der Grundverordnung sind Datenverarbeiter verpflichtet, organisatorische und technische Maßnahmen zu ergreifen, die für Datenschutz durch Technikgestaltung sorgen und datenschutzfreundliche Voreinstellungen gewähren.

Meta war für eine Stellungnahme am Dienstag nicht zu erreichen. Beobachter:innen gehen davon aus, dass der Konzern gerichtlich gegen die Entscheidung der Datenschutzaufsicht vorgehen wird.

[Update, 29.11.2022, 20:20 Uhr: Nach Veröffentlichung des Artikels erreichte uns eine Antwort von Meta, in dem der Konzern mitteilt, dass die Möglichkeit zum Scrapen von Telefonnummern unterbunden worden sei und unautorisiertes Scraping inakzeptabel sei. Der Konzern prüfe die Entscheidung der Datenschutzbehörde sorgfältig.]

Betroffene Politiker:innen forderten Konsequenzen

Dass Datensätze mit privaten Informationen von Facebook-Nutzer:innen kursieren, ist in den vergangenen Jahren keine Seltenheit gewesen. Die Größenordnung des besagten Leaks, von dem mehr als eine halbe Milliarde Konten betroffen sind, ist jedoch außergewöhnlich. Recherchen von netzpolitik.org hatten gezeigt, dass auch die privaten Telefonnummern von Abgeordneten des Deutschen Bundestages und des Europaparlaments in dem Datensatz zu finden sind.

Die Parlamentarier:innen zeigten sich geschockt und verärgert, als wir sie damals auf ihren überwiegend geheimen Privatnummern anriefen und mit Facebooks Datenschleuderei konfrontierten. Ihre Äußerungen reichten von „Das ist eine Frechheit“ bis hin zu „Sie machen mir jetzt Angst“. Allesamt forderten die Politiker:innen, die Ursachen für den Leak aufzuklären und entsprechende Konsequenzen zu ziehen.

In die Kritik geriet Facebook damals auch, weil es die Betroffenen nicht über das Daten-Leak informierte. Das Unternehmen stellte sich auf den Standpunkt, dass eine Information der Betroffenen nicht notwendig sei, weil die Täter:innen die Daten nicht durch einen Hack von Facebooks Systemen, sondern durch Scraping erhalten hatten. So bezeichnet man das automatisierte Sammeln von öffentlich verfügbaren Informationen im Netz.

Gleichwohl war nur ein Teil der abgegriffenen Daten, etwa Account-Namen oder Ortsangaben, einfach öffentlich einsehbar. Um an Kontaktdaten zu gelangen, die nicht in öffentlichen Profilen sichtbar waren, tricksten die Täter:innen Facebooks Werkzeug namens „Contact Importer“ aus. Dies soll eigentlich dazu dienen, dass man leichter Bekannte auf der Plattform findet, indem man ihre Telefonnummern oder Mailadressen eingibt und dann ihre Profile angezeigt bekommt.

Auch Telefonnummern von Twitter-Nutzer:innen kursieren

Mit einem ähnlichen Verfahren sind Unbekannte offenbar erst jüngst auch an die Kontaktdaten von Millionen Twitter-Nutzer:innen gelangt. Derzeit macht eine Meldung die Runde, dass in Hacking-Foren ein Datensatz mit Telefonnummern und Mailadressen aus rund 5,4 Millionen Twitter-Profilen veröffentlicht wurde. Vermutlich ist das Datenleck noch deutlich größer.

Sowohl Twitter als auch Facebook haben die ausgenutzten Schwachstellen nach eigenen Angaben inzwischen geschlossen. Unklar ist, ob Datenschutzbehörden nun auch gegen Twitter ermitteln. Sie werden in der Regel erst dann tätig, wenn Betroffene eine Beschwerde einreichen.

Der kürzlich von Tech-Milliardär Elon Musk übernommene Kurznachrichtendienst kassierte allerdings erst vor wenigen Monaten in den USA eine saftige Datenschutz-Strafe der Federal Trade Commission. Auch in diesem Fall ging es um Telefonnummern: Twitter hatte unerlaubterweise Telefonnummern für zielgerichtete Werbung eingesetzt, die Nutzer:innen lediglich zur Absicherung ihrer Accounts mit Zwei-Faktor-Authentifizierung bereitstellen. Das Unternehmen muss deshalb 140 Millionen Dollar zahlen.

Meta ist Bußgeld-Spitzenreiter

Meta erhielt nun bereits die zweite hohe Datenschutzstrafe durch die irische Datenschutzbehörde in diesem Jahr aufgebrummt. Im September verhängte die DPC ein Bußgeld in Höhe von 405 Millionen Euro gegen Instagram, weil die Plattform Minderjährige nicht ausreichend schütze. Das sind die zweit- und dritthöchsten Bußgelder, die bislang unter der DSGVO bislang verhängt wurden.

Auch das viertgrößte DSGVO-Bußgeld kassierte Meta in Irland: 225 Millionen Euro im Jahr 2021 wegen Datenschutzproblemen bei WhatsApp. Die irische Datenschutzbehörde hat bei länderübergreifenden DSGVO-Verfahren gegen Meta immer die Federführung, weil der Konzern dort seinen Europasitz hat. Lange Zeit stand die DPC in der Kritik, weil sie zu langsam und zu zaghaft gegen den Tech-Konzern vorgeht.

Dass die Behörde nun ein Verfahren gegen Meta innerhalb von 18 Monaten zu einem Ende gebracht und somit insgesamt knapp eine Milliarde Euro an Bußgeldern gegen das Unternehmen verhängt hat, sorgt in der Datenschutzbranche entsprechend für Erstaunen.

Das bislang größte DSGVO-Bußgeld in Höhe von 746 Millionen Euro kassierte im Jahr 2021 Amazon durch die luxemburgische Aufsichtsbehörde. Auf Platz fünf folgt Google mit 90 Millionen Euro Strafe in Frankreich. Ein Großteil der Entscheidungen ist noch nichts rechtskräftig, weil die Konzerne gerichtlich dagegen vorgehen.

No Tracking. No Paywall. No Bullshit.

Unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze jetzt unsere Arbeit mit einer Spende.

Jetzt spenden

2 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.