Mehrfach gegen DSGVO verstoßen
Passwörter unverschlüsselt: Meta muss 91 Millionen Euro Strafe zahlen
Die irische Datenschutzbehörde Data Protection Commission (DPC) hat den Meta-Konzern mit einer Geldstrafe in Höhe von 91 Millionen Euro belegt.
Der Anlass für das satte Bußgeld liegt schon ein paar Jahre zurück. Im April 2019 wurde bekannt, dass die Passwörter von rund 600 Millionen Nutzern der zu Meta gehörenden Plattformen Facebook und Instagram im Klartext gespeichert worden waren. Die fehlende Verschlüsselung war einer damals von Meta veröffentlichten Stellungnahme zufolge im Rahmen einer Sicherheitsüberprüfung aufgefallen.
Bei einer routinemäßigen Sicherheitsüberprüfung im Januar stellten wir fest, dass einige Benutzerpasswörter in einem lesbaren Format in unseren internen Datenspeichersystemen gespeichert wurden. … Wir gehen davon aus, dass wir hunderte Millionen Facebook Lite-Nutzer, zig Millionen andere Facebook-Nutzer und zehntausende Instagram-Nutzer benachrichtigen werden. Facebook Lite ist eine Version von Facebook, die hauptsächlich von Menschen in Regionen mit geringerer Konnektivität verwendet wird.
Datenpanne aus dem Jahr 2019 wird geahndet
Im Anschluss an diese „Selbstanzeige“ hatten die irischen Behörden eine Untersuchung eingeleitet. Irland ist für die Angelegenheit zuständig, weil die Europazentrale von Meta ihren Sitz in Dublin hat. Laut der irischen Datenschutzbehörde wären die Passwörter zwar nicht in die Hände von unbefugten Dritten gelangt, jedoch habe die ungeschützte Speicherung ein erhebliches Risiko dargestellt.
Mehrfach gegen die DSGVO verstoßen
Für die Höhe der Strafzahlung ist relevant, dass Meta in mehreren Punkten gegen die Bestimmungen der Datenschutz-Grundverordnung verstoßen hat. So sei die Datenschutzverletzung nicht ordnungsgemäß gemeldet worden. Zudem habe Meta die Vorfälle nicht ausreichend dokumentiert. Auch seien die technischen und organisatorischen Maßnahmen, die für den Schutz von Passwörtern notwendig sind, seitens Meta nicht in ausreichendem Maße umgesetzt worden.
Die irische Datenschutzbehörde betonte in ihrer Entscheidung, dass Passwörter als besonders sensible Daten anzusehen sind und deren Schutz als entsprechend wichtig anzusehen sei. Die Entscheidung ist rechtskräftig und wurde in der vergangenen Woche an Meta übermittelt.
Stark! Die Menschen, welche es betrifft bekommen nix, und der Staat kassiert ordentlich ab. Genau so stelle ich mir das vor…nicht.
Gab es Missbrauch, ist jemand zu Schaden gekommen?
Das geht völlig am Thema vorbei. Es geht nicht darum, ob Schaden entstanden ist oder nicht, sondern darum, dass Meta die Passwörter nicht ausreichend geschützt hat. Theoretisch könntest du ja auch deine Passwörter an jeden weitergeben und hoffen, dass niemand sie missbraucht.
Nein das ist nicht am Thema vorbei. Schadenersatz = Ersatz für entstandenen Schaden. Wenn kein nachweisbarer Schaden entstanden ist kein Schadenersatz. Oder wie sollte das beziffert werden? 1000€ für alle? Oder 10 Mio wegen eines seelischen Schaden nach einer Angstattacke? Weise den Schaden nach, dann kannst Du Schadenersatz fordern. Selbstverständlich ist das nicht ich Ordnung was da passiert ist, deswegen ja auch die Strafe. Die hätte meiner Meinung nach noch 50 Mal höher ausfallen dürfen.
Geht die Kohle 1:1 an den Staat?
Als Richter einfach mal aus Spaß verfügen, dass die Kohle an das städtische Tierheim Dublin oder so gehen soll. :D
Wieviel sollte denn jeder betroffene bekommen? Wie bemisst sich das? Welche Schadenhöhe ist anzusetzen? Nix bei Lieschen Müller, die nur Katzenbilder schaut, und Millionen bei Gerda von und zu Reibach, die als Konzerncheffin unterwegs ist?
Vor vielen Jahren hat an meinem alten Wohnort über Wochen so ein nutzloses Stück Sch…. nachts die Embleme an den Autos abgebrochen. Irgendwann haben sie ihn erwischt, verurteilt, musste eine Strafe bezahlen. Ja glaubt ihr einer der Geschädigten (wie ich) hätten auch nur einen Cent erhalten? Nicht mal die sichergestellten Embleme haben wir bekommen. Das ist Rechtsprechung!
Auf die 15 Cents würde ich freiwillig verzichten.
Deine Ansprüche musst du selber durchsetzen, z.B. durch eine Zivilklage. Ist schon immer so gewesen, hat jetzt nichts mit Staatsversagen zu tun.
Das war @Gregor
Also doch: Tierheim in Dublin.
@Gregor: Verurteilt worden ist der Täter vermutlich wegen Verstoß gegen das Strafrecht. Schadenersatz bekommt man daraus nicht. Dazu musst Du als Geschädigter nach dem Zivilrecht klagen.
Das sind zwei verschiedene Dinge. Der Verstoß gegen das Strafgesetz wegen Sachbeschädigung wird von der Staatsanwaltschaft angestrengt. Deinen individuellen Schaden musst du selbst in einem Zivilprozess einfordern. Das macht niemand für dich.
Frag mal bei WBS nach, kannste bestimmt verklagen
Wer ist nochmal dieser Staat?
Kann das sein, dass wir das alle sind?
Ich habe letzte Woche vergessen die Parkscheibe einzustellen und ein 20€ Knöllchen bekommen.
Sollten die 20€ jetzt durch die Anzahl der Einwohner Deutschlands geteilt werden und jedem sein Anteil überweisen werden?
Oder zumindest allen Einwohnern der Stadt.
Wenn dir ein Schaden entstanden ist, dann ab zum Anwalt.
Das ist die Strafe für den Rechtsverstoß von (Google) Meta.
Individuell kann der Laden natürlich auch über eine (Sammel)klage vor Gericht gebracht werden.
Es ist jedoch nicht die Aufgabe des Staats für sie vor Gericht zu gehen
Wo bleibt mein Geld? Wenn ich betroffen bin, dann möchte ich entschädigt werden und nicht die Allgemeinheit.
Nicht ganz richtig: wenn du einen Schaden erlitten hast, soll er dir ersetzt werden. Das hat aber nichts mit der Strafe zu tun. Zwei verschiedene Paar Schuhe.
Sich Betroffen fühlen reicht leider nicht, sonst würde ich bei den ganzen dümmlichen Kommentaren hier reich werden.
+ 1
Leider hat man auch keine Chance wenn einem Schaden entstanden ist. Es ist fast unmöglich nachzuweisen das die Passwörter aufgrund dieses Lecks entstanden sind…. Ich weiß zumindest von keinem gewonnenen Prozess gegen solch eine mächtige Firma.
:-)
Kannst doch selber klagen auf Schadenersatz nach DSGVO. Das hat halt nix mit dem Bußgeld der irischen Behörde zu tun.
Solmecke regelt das für dich.
Und dann kauft sich der Staat nen Lambo und geht erstmal auf Weltreise?
Sollte eigentlich als Antwort auf Georg _ gepostet werden :-/
Dann mach das doch so!
Portokasse
Jepp. War aber auch ne Selbstanzeige, sonst wäre es vermutlich teurer geworden.
Und der Staat ist wer?
Irland. Steht doch im Artikel.
Wo ist mein Geld!?
Wofür? Ist dir ein Schaden entstanden? Hast du ihn gegenüber Meta zur Anzeige gebracht? Nein? Dann lmdfh.
Meta Nettoergebnis 2019:
18.485 Mio. USD
– 102 Mio. USD (91 Mio. €) Strafe
= 18.383 Mio. USD
Das halbe Prozent vom Gewinn juckt doch nicht. Aber vermutlich ist das der Selbstanzeige zuzuschreiben.
2023 war das Nettoergebnis übrigens schon mehr als doppelt so groß.
Vor weit über 10 Jahren hätte ich mich als Entwickler schon geweigert, Passwörter im Klartext zu speichern. Deshalb muss ich bei Facebook von Vorsatz ausgehen. Dafür ist die Strafe in meinen Augen noch nicht hoch genug.
„Suckerberg“ denkt sich : „Peanuts“
Das ist viel zuwenig
Da lacht der gute wieder. Da reicht das Kleingeld.
Wird verklagt, macht Rechtsverschleppung, kassiert weiter, usw. usw.
Ich plädiere auf Abschalten von Meta.
Beim Thema Passwort fällt mir ein: Was wurde aus der Apple Passwort App für Windows?