Die unendliche Geschichte: Facebook und die DSGVO

2018 war ein Jahr voller Pannen und Passworthacks. Auch Facebook durfte einige Male mit Negativschlagzeilen titeln. So waren es im März Verwicklungen in der Causa Cambridge Analytica, im Juli ausfallende Blockierfunktionen und im Dezember fragwürdige Datendeals, die Global Player wie Spotify dazu befähigten, persönliche Nachrichten der Mitglieder auszuwerten! Nun ernten Zuckerberg & Kollegen erneut Aufmerksamkeit: Kürzlich gestand der Milliardenkonzern ein, Passwörter seiner User unverschlüsselt abgespeichert zu haben. Der Skandal reicht bis ins Jahr 2012 zurück!

Warum sicher, wenn’s auch einfach geht?

Facebook genießt in unserem Blog eine Sonderbehandlung: Immer wieder dürfen wir das Freunde-Netzwerk für seine Praktiken als ein Paradebeispiel anführen, wie man mit allen Mitteln der modernen IT gegen die Grundprinzipien der Datensicherheit verstößt. Auch die DSGVO hat die weltweit führende soziale Plattform des Öfteren missachtet. Nun verkündet Facebook auf seiner Webseite:

“As part of a routine security review in January, we found that some user passwords were being stored in a readable format within our internal data storage systems … We have fixed these issues and as a precaution we will be notifying everyone whose passwords we have found were stored in this way.”

Der Konzern habe also im Rahmen einer routinemäßigen Sicherheitsuntersuchung aufgedeckt, dass „manche” Nutzer-Passwörter in einem „lesbaren Format“, im internen Datenspeichersystem hinterlegt wurden. Dass man das Problem gelöst habe und vorsichtshalber jeden Betroffenen informieren werde, klingt wie Hohn: Die gespeicherten Passwörter wurden im Klartext hinterlegt, seit 2012! In den vergangenen sieben Jahren dürfte der Großteil der Nutzer sein Passwort ohnehin geändert haben. Wie – und ob – Facebook weitere Vorfälle wie diesen verhindern möchte, wird nicht kommuniziert!

Ein Skandal, wie er im Buche steht

Die Nachricht der seit 2012 sukzessive aufgestauten Passwortpanne rief erstaunlich wenig Empörung hervor. Der Facebook-User ist ein Gewohnheitstier! Ein Blick auf die Zahlen sollte jedoch alarmieren: Rund 600.000 Millionen User sind betroffen – also ein gutes Drittel aller Mitglieder! Und: Die Zugangsdaten konnten über einen nicht näher genannten Zeitraum von knapp 20.000 Mitarbeiter eingesehen werden!

Facebook beging demnach einen Verstoß gegen die DSGVO, konkret gegen den Artikel 32, der auch in der EU-DSGVO festgeschrieben ist. Doch damit nicht genug: Facebook versichert, dass die unverschlüsselten Passwörter mit sehr hoher Wahrscheinlichkeit nicht zweckentfremdet wurden, da die interne Überwachungssoftware die Arbeit der Mitarbeiter präzise protokollieren würde und keine Unauffälligkeiten festgestellt habe. Soll heißen: Facebook protokolliert jeden Mausklick seiner Administratoren! Angesichts dieser NSA-Praktiken steht außer Frage, dass dem Konzern ein Bußgeld aufzulegen ist. Ob die Höchststrafe, ein 20-Millionen-Euro-Bußgeld, verhängt wird, gilt als unwahrscheinlich, doch sollte Facebooks Verstoß gegen die DSGVO nicht ausreichend geahndet werden, droht die Europäische Kommission zur Digitalen Agenda ihre Glaubwürdigkeit nach der umstrittenen Entscheidung zur Ratifizierung der Urheberrechtsreform im März vollends zu verlieren.

Vorsorge leicht gemacht

Der Vorfall zeigt: Datenschutz ist wichtig, wird jedoch auf höchster Ebene der IT-Branche schmerzlich vernachlässigt. Strafzahlungen scheinen ihre Wirkung zu verfehlen und im World Wide Web kocht jeder Konzern sein eigenes Daten-Süppchen. Zugleich zeigen jedoch Maßnahmen, wie das Anfang Januar verhängte Bußgeld gegen Knuddels, dass die Datenschutzbeauftragten der Länder jedem Verdachtsmoment nachgehen und auch kooperative Unternehmen zur Rechenschaft ziehen.

Sitzen Sie also im Gegensatz zu Facebook & Co. nicht auf unschätzbaren Finanzreserven und liegt Ihnen das Ansehen Ihres Unternehmens am Herzen, raten wir zu einem gründlichen Check Ihrer Datenschutzrichtlinien. Sicdata greift Ihnen bei dieser Aufgabe gerne unter die Arme. Die Kosten für eine Beratung sind übrigens geringer, als Sie denken mögen: Der Europäische Sozialfonds für Deutschland unterstützt heimische Unternehmen bei der Einhaltung der DSGVO beziehungsweise EU-DSGVO!