Im Januar 2019 stellte Meta bei einer internen Sicherheitsüberprüfung fest, dass mehrere Passwörter von Nutzern unverschlüsselt in ihren Systemen gespeichert worden waren. Dies betraf vor allem Nutzer von Facebook Lite sowie einige Millionen Facebook- und Instagram-Konten. Meta versicherte, dass Passwörter normalerweise durch bewährte Sicherheitsverfahren wie „Hashing“ und „Salting“ geschützt würden. Der Vorfall sei nicht durch externe Personen ausgenutzt worden, und es gebe keine Hinweise auf einen Missbrauch durch interne Mitarbeiter.

Die irische Datenschutzbehörde (DPC) leitete im April 2019 eine Untersuchung ein, nachdem Meta den Vorfall gemeldet hatte. Die DPC stellte fest, dass Meta gegen Datenschutzbestimmungen der DSGVO verstoßen habe, da das Unternehmen keine ausreichenden technisch organisatorisch Maßnahmen (TOMs) implementiert hatte, um die Sicherheit der Passwörter zu gewährleisten. Zudem wurde kritisiert, dass die Meldung des Vorfalls an die Behörde verspätet erfolgte, obwohl die Entdeckung schon im Januar gemacht wurde. Dies führte zu einer Sanktionierung des Unternehmens.

Als Konsequenz verhängte die DPC im Jahr 2024 ein Bußgeld von 91 Millionen Euro und sprach eine Verwarnung aus. Der Vorfall verdeutlicht die Notwendigkeit, sensible Nutzerdaten stets durch strenge Sicherheitsmaßnahmen zu schützen. Die Entscheidung der DPC könnte auch anderen Unternehmen als Präzedenzfall dienen, um ähnliche Verstöße in Zukunft zu verhindern. [MAG]

Quellenangabe:

  • Artikel: „Meta: 91 Mio. Bußgeld nach Passwort-Klartextspeicherung“, abgerufen am 11.10.2024 unter: https://www.dr-datenschutz.de/meta-91-mio-bussgeld-nach-passwort-klartextspeicherung/

Autorin:

María Aguilar [MAG], Mitarbeiterin im Datenschutz