Meta muss möglicherweise sein legales Sparschwein noch einmal aufbrechen, um es zur Ruhe zu bringen noch Ein weiterer Datenschutzstrafe in Europa.
Am Montag verhängten die irischen Aufsichtsbehörden eine Geldbuße von 265 Millionen Euro (277 Millionen US-Dollar) gegen Meta wegen eines angebliche Verletzung der Privatsphäre, von der mehr als 500 Millionen Nutzer der großen blauen Facebook-App betroffen sind. Die Geldbuße, bei der es um das zuvor auf der Plattform erfolgte Daten-Scraping durch Dritte geht, ist die dritte Geldbuße der Organisation in weniger als zwei Jahren.
Die jüngste Strafe stammt von einem Datenverstoß im April 2021, bei dem ein Hacker Berichten zufolge begangen wurde veröffentlicht eine Fundgrube von abgekratzten persönlichen Daten von Benutzern in einem Online-Forum, die Telefonnummern, Facebook-IDs und Geburtstage enthielten. Diese durchgesickerte Fundgrube, entsprechend Politico enthielt Berichten zufolge personenbezogene Daten von EU-Justizkommissar Didier Reynders, dem luxemburgischen Premierminister und anderen EU-Beamten. Damals versuchten Meta-Sprecher (damals nur Facebook genannt) den Verstoß auszuspielen und behaupteten, sie seien bereits 2019 auf das Problem aufmerksam gemacht worden und die fraglichen Informationen bestünden hauptsächlich aus „alten Daten“.
Diese Verschleierungen kamen bei den Aufsichtsbehörden der irischen Datenschutzkommission nicht gut an. In einem Blogeintrag, sagt die Regulierungsbehörde, dass Meta die Verpflichtung der Datenschutz-Grundverordnung zur Bereitstellung von Datenschutz durch Voreinstellungen und Design nicht erfüllt hat. Abgesehen von der Geldbuße haben die Aufsichtsbehörden auch eine Korrekturmaßnahme erlassen, die darauf abzielt, die Verarbeitung von Meta in Übereinstimmung zu bringen, „indem sie eine Reihe von festgelegten Abhilfemaßnahmen ergreifen“. Es ist unklar, was genau diese Aktionen beinhalten. Die Strafen schließen eine mehr als 18-monatige Untersuchung ab, in der die Datensicherheitspraktiken des Unternehmens untersucht wurden.
Irland, das nach dem offiziellen Austritt Großbritanniens im Jahr 2020 in der EU verblieb, spielt eine entscheidende Rolle bei den Bemühungen zur Durchsetzung der DSGVO, da es das Epizentrum für mehrere Technologiezentralen auf dem Kontinent ist. Meta, Google und Twitter haben alle ihren Hauptsitz in Irland, was bedeutet, dass Irlands Data PDie Schutzkommission ist für die Durchsetzung ihrer DSGVO-Konformität zuständig.
In einer E-Mail an Gizmodo widerlegte ein Meta-Sprecher die spezifischen Anschuldigungen der Aufsichtsbehörden nicht und sagte, er habe bei der Untersuchung „voll kooperiert“.
„Wir haben in der fraglichen Zeit Änderungen an unseren Systemen vorgenommen, einschließlich des Entfernens der Möglichkeit, unsere Funktionen auf diese Weise mithilfe von Telefonnummern zu schaben“, sagte der Sprecher. „Nicht autorisiert Data Scraping ist inakzeptabel und verstößt gegen unsere Regeln, und wir werden weiterhin mit unseren Kollegen an dieser Herausforderung der Branche zusammenarbeiten.“
Der Sprecher wollte nicht sagen, ob Meta gegen die Geldbuße Berufung einlegen würde, sondern sagte nur, dass es darum gehe, „diese Entscheidung sorgfältig zu prüfen“.
Die neuen Bußgelder kommen nur zwei Monate, nachdem die irischen Aufsichtsbehörden Meta mit a getroffen haben getrennt 403 Millionen US-Dollar Geldstrafe (die zweithöchste nach DSGVO-Regeln verhängte Geldstrafe) wegen angeblichen Versäumnisses, die Privatsphäre von Kindern auf Instagram angemessen zu schützen. Nicht lange davor, die irischen Aufsichtsbehörden bestraft das Unternehmen rund 266 Millionen US-Dollar wegen angeblicher Datenschutzverletzungen und Transparenzprobleme bei WhatsApp. Meta nannte diese Bußgelder – die ursprünglich bei rund 52 Millionen Dollar lagen – „völlig unverhältnismäßig“.
Ob Meta diese Strafen tatsächlich zahlen wird, zumindest in ihrer jetzigen Form, bleibt unklar. Große Technologieunternehmen wie Meta regelmäßig befinden sich auf der Empfängerseite zahlreicher Klagen und Bußgelder von Aufsichtsbehörden auf der ganzen Welt, von denen einige schwerwiegender sind als andere. Nur ein Bruchteil davon landet dort Auszahlungen oder Abrechnungen. Dennoch haben die irischen Aufsichtsbehörden eine starke Bereitschaft gezeigt, die DSGVO-Regeln buchstabengetreu zu befolgen, eine Tendenz, die wahrscheinlich frustrierte Datenschützer erfreuen wird, die dies getan haben kritisiert Europäische Länder, weil sie die ihnen zur Verfügung stehenden Datenschutzgesetze nicht ordnungsgemäß anwenden.