Nutzerdaten wurden veröffentlicht – Kriminelle in Verdacht
Schon mehrfach ist der Mutterkonzern von Facebook bei der Datenschutzbehörde in Irland laut Medienberichten im Zusammenhang mit Datenschutzverstößen aufgefallen. Im neusten Fall wurde nun eine Strafe von 265 Mio. Euro gegen Meta verhängt.
Datenschutzuntersuchung in Irland abgeschlossen
Die Datenschutzbehörde hat demnach nun die Untersuchung des Vorfalls abgeschlossen und die hohe Geldstrafe verhängt, nachdem Daten von über 530 Millionen Nutzern veröffentlicht worden sein sollen. Der Konzern führt diese Veröffentlichung auf Kriminelle zurück, wobei laut Aussage vom Konzern nicht die Systeme des sozialen Netzwerkes „Facebook“ gehackt wurden, sondern die Daten gescraped – also abgeschöpft wurden.
Nicht der erste Vorfall
Es ist nicht die erste Millionenstrafe, die die irische Datenschutzbehörde gegen Meta verhängt hat. Seit September 2021 wurden bereits drei weitere Strafen ausgesprochen. Der Vorfall der abgegriffenen Daten ereignete sich wohl schon vor September 2019.
Bei den vergangenen Datenschutzvorfällen, die Instagram und WhatsApp betrafen, hat Meta bereits Berufung eingelegt – die Gerichtsurteile stehen noch aus.
Millionen Nutzerdaten wurden veröffentlicht
Besonders brisant ist, dass die abgeschöpften Daten der Nutzer veröffentlicht wurden und somit frei in einem Hackerforum zugänglich waren. Darunter waren Telefonnummern und E-Mail-Adressen von Nutzern aus mehr als 100 Ländern. Bei den Daten handelt es sich laut Berichten um Daten aus einer Funktion der Facebook- und Instagram-App bei der Betroffene Kontakte suchen und somit Daten in die App importieren konnten.
IT-Sicherheit im Umgang mit sozialen Netzwerken prüfen
Der vorliegende Fall zeigt, wie wichtig es unter anderem ist, bei der Nutzung von social Medial Kanälen und den dazugehörigen Apps die Sicherheit von personenbezogenen Daten sicherzustellen. Besonders wichtig ist die Absicherung vor allem dann, wenn private Systeme und Apps gleichzeitig dort genutzt werden, wo auch Firmenanwendungen genutzt werden.
Durch die Nutzung solcher Anwendungen besteht auch immer die Gefahr, dass personenbezogene Daten im Unternehmen durch Unbefugte abgegriffen werden. Diese Datenpanne kann auch in Deutschland zu empfindlichen Strafen führen.
BLOG-TIPP: Verdacht auf Datenpannen – was tun?
Datenschutz und IT-Sicherheit gehören zusammen
Um Verluste von personenbezogenen Daten und eine damit einhergehende Datenpanne zu vermeiden, müssen daher unterschiedliche Mechanismen der IT-Sicherheit greifen.
Um zu entscheiden, wo die Sicherheit der personenbezogenen Daten besonders festgelegt werden muss, ist es entscheidend erst einmal festzuhalten, welche Daten in welchen Prozessen verarbeitet werden. Dann muss das Risiko für diese personenbezogenen Daten eingestuft und die entsprechenden Schutzmechanismen festgelegt werden.
BLOG-TIPP: Datenschutz-Folgenabschätzung nach DS-GVO
Technische und organisatorische Maßnahmen (TOM) im Datenschutz
Alle Verarbeitungen von personenbezogenen Daten müssen laut Datenschutzgrundverordnung (DS-GVO) im sogenannten Verzeichnis von Verarbeitungstätigkeiten (VVT) dokumentiert werden. Um die personenbezogenen Daten ausreichend zu schützen, müssen die sogenannten technischen und organisatorischen Maßnahmen (TOM) festgelegt und dokumentiert werden.
Diese sollen die Daten in einem ausreichenden Maße und der technischen Entwicklung entsprechend vor unbefugten Zugriffen schützen. Die technischen und organisatorischen Maßnahmen müssen dabei immer aktualisiert werden.
BLOG-TIPP: TOM nach DS-GVO für Unternehmen in Köln, Bonn, Gummersbach und Umgebung
Datenpannen vermeiden mit dem Datenschutzbeauftragten
Um Datenpannen und mögliche Strafen zu vermeiden, sollte die Einhaltung des Datenschutzes, wenn nicht sowieso durch die DS-GVO vorgeschrieben, durch einen Datenschutzbeauftragten überprüft werden. Dieser kann als externer oder interner Datenschutzbeauftragte besetzt werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.