Passwort-Skandal: Datenschutzbeauftragter kritisiert Facebook scharf

Für den Bundesdatenschutzbeauftragten Ulrich Kelber ist der Betreiber des weltweit größten sozialen Netzwerks ein weitgehend hoffnungsloser Fall. "Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr", reagierte der SPD-Politiker kopfschüttelnd auf das Eingeständnis vom Donnerstag, über Jahre hinweg die Passwörter von hunderten Millionen Kunden unverschlüsselt auf internen Servern mit Zugriffsmöglichkeiten von über 20.000 Mitarbeiter aufbewahrt zu haben.

Facebook habe erneut belegt, das Thema Datenschutz immer noch stiefmütterlich zu behandeln, ärgert sich Kelber. Als besonders skandalös an der jüngsten IT-Sicherheitspanne bei dem US-Konzern wertet er, "dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen". Damit setze die Plattform ihre Kunden einem unnötigen Risiko aus. Der Informatiker moniert: "Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert."

Facebook droht Strafe im Einklang mit der DSGVO

Da Unternehmen beim Anmeldeprozess lediglich überprüfen müssen, ob Zugangskennung und Passwort zueinander passen, ist es laut der Datenschutzbehörde Stand der Technik, Passwörter nur in verschlüsselter Form zu speichern. Dies erfolge etwa als Hashwert. In einem ähnlichen Fall hatte der Landesdatenschutzbeauftragte in Baden-Württemberg, Stefan Brink, im November aus diesem Grund das soziale Netzwerk Knuddels.de mit einer Geldbuße in Höhe von 20.000 Euro auf Basis der Datenschutz-Grundverordnung (DSGVO) belegt. Die Firma hatte laut Brink gegen ihre Pflicht verstoßen, die Sicherheit personenbezogener Daten zu gewährleisten.

Facebook droht nun ebenfalls eine Strafe im Einklang mit der DSGVO, die aber deutlich höher ausfallen könnte. Der Sanktionsrahmen sieht Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes vor. Kelber ist sich sicher, dass die Panne von den Datenschutzaufsichtsbehörden gründlich untersucht werden wird. Es müsse etwa geklärt werden, ob Facebook gegen Meldevorschriften nach der DSGVO verstoßen habe. Das Problem sei nämlich offenbar bereits seit Januar bekannt gewesen.

Kelber geht zudem davon aus, dass die in Europa zuständige irische Datenschutzbeauftragte unabhängig davon "sicherlich die Einleitung eines Bußgeldverfahrens prüfen wird". Weiter unterstrich er: "Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren."

Single Sign-On: Zugriff auf sensible Daten nicht ausgeschlossen

Der Kontrolleur rät Nutzern des sozialen Netzwerks auch, unbedingt ihre Passwörter zu ändern. Besonders kritisch sei der Fall, weil diese Daten nicht nur für den Zugang zum sozialen Netzwerk selbst, sondern auch als sogenanntes Single Sign-On genutzt werden können. Viele weitere Apps oder Online-Dienste ermöglichten es, sich mit den Facebook-Zugangsinformationen bei ihnen anzumelden. So gewährten die Daten potenziell auch Zugriff auf weitere gegebenenfalls sehr sensible Daten etwa aus Gesundheits-Apps.

Der grüne Fraktionsvize Konstantin von Notz zeigte sich "fassungslos". Für ihn fügen sich die Meldungen "nahtlos in das Bild eines Konzerns ein, der seit Jahren die eigenen Profitinteressen vor den notwendigen Schutz seiner Nutzer stellt". Der Konzern habe trotz aller vollmundigen Versprechen noch immer nicht begriffen, "welche Bedeutung dem Datenschutz und der IT-Sicherheit im digitalen Zeitalter zukommt". Der Oppositionspolitiker forderte die zuständigen Aufsichtsbehörden auf, "dem Fall nun in aller Entschlossenheit nachzugehen". Dabei müssten "auch Strafen und andere Sanktionsmechanismen intensiv geprüft werden". Eine andere Sprache scheine Facebook nicht zu verstehen.

tipps+tricks zum Thema:

• Sicheres Passwort finden - so klappt's
• Facebook komplett löschen - so geht's
  

(bme)