DSGVO: Facebook droht nach massivem Hack Milliardenstrafe

Aufgrund des gewaltigen Facebook-Hacks, bei dem die Angreifer nach derzeitigem Kenntnisstand drei Sicherheitslücken ausnutzten und so rund 50 Millionen Nutzerkonten kompromittierten, könnten erstmals die verschärften Sanktionsinstrumente der DSGVO zum Tragen kommen. Dem Sozialen Netzwerk droht damit eine Strafe von bis zu vier Prozent seines Jahresumsatzes, sollte es seine Pflichten nach der neuen EU-Datenschutzgrundverordnung nicht angemessen erfüllt haben. Das könnte auf eine Geldbuße in Höhe von etwa 1,4 Milliarden Euro hinauslaufen.

Datenschützer verlangen Informationen

Die für die europäische Zentrale von Facebook zuständige irische Datenschutzbehörde muss den Fall prüfen. Sie habe bereits "dringend weitere Details zu der Sicherheitspanne" bei dem US-Konzern angemahnt, teilte die Aufsichtsstelle auf Twitter mit. Dabei müssten die Kalifornier auch aufschlüsseln, inwiefern europäische Nutzer betroffen seien. Die Zusatzinformationen seien nötig, um das Wesen des Vorfalls und die damit verknüpften Risiken für die Nutzer angemessen beurteilen zu können.

Aus Brüsseler Kreisen drängte EU-Justizkommissarin Věra Jourová Facebook, mit den irischen Kontrolleuren "vollständig zu kooperieren". Es müsse deutlich werden, was mit den Daten der betroffenen europäischen Nutzer passiert sei. Zugleich erinnerte die Tschechin an einen Teil der Auflagen aus der DSGVO, die große Unternehmen einhalten müssen.

Im Falle einer Sicherheitspanne sind betroffene Organisationen demnach verpflichtet, die Aufsichtsbehörde "unverzüglich und spätestens binnen 72 Stunden", nachdem ihnen der Vorfall bekannt wurde, darüber zu unterrichten. Laut Facebook war die Attacke am Dienstag entdeckt worden, eine entsprechende Meldung ging bei den irischen Datenschützern am Donnerstag ein. Juristen dürften sich nun darüber streiten, ob die Kriterien damit gewahrt sind. Bei einem "hohen Risiko für die betroffenen Personen" müssen diese ebenfalls informiert werden, sofern keine "wirksamen technischen und organisatorischen" Gegenmaßnahmen erfolgten.

Testfall für die DSGVO

Verstöße gegen die Meldevorschriften allein können die Aufsichtsbehörden mit einer Geldstrafe in Höhe von bis zu zwei Prozent des Jahresumsatzes eines Unternehmens ahnden. Größere Firmen, deren Datenverarbeitung riskant ist, müssen zudem aber auch etwa eine Folgenabschätzung durchführen und Maßnahmen wie "Privacy by Design" ergreifen, um die Gefahren für die Nutzer abzuwenden oder zu minimieren. Ob Facebook diese Regeln eingehalten hat, werden die Iren bei dem ersten großen Testfall für die DSGVO mit untersuchen müssen.

Die irische Datenschutzbeauftragte Helen Dixon hat wiederholt Vorwürfe zurückgewiesen, dass ihre Behörde schlecht aufgestellt sei für die Durchsetzung der Verordnung: Die Ressourcen der Einrichtung seien durchweg erhöht, Mitarbeiter geschult worden. Die bei Facebook für den Datenschutz zuständige Managerin, Emily Sharpe, hatte am Donnerstag auf einer Konferenz in Berlin der "falschen Ansicht" widersprochen, dass Dixon bei Facebook das ein oder andere Auge zudrücke: Die Aufsichtsstelle "zieht uns zur Rechnung und stellt uns harte Fragen". Eine Facebook-Sprecherin sicherte am Sonntag zu, dass die Firma im aktuellen Fall den irischen Auskunftsersuchen baldmöglichst nachkommen und die Regulierer über weitere Entwicklungen auf dem Laufenden halten werde. (mho)