Am 27.09.2024 gab die irische Datenschutzaufsichtsbehörde bekannt, abermals Bußgelder gegen die Meta Plattforms Ireland Limited verhängt zu haben. Grund diesmal: Die irische Tochtergesellschaft des Meta Konzerns habe Nutzer Passwörter im Klartext gespeichert und nicht angemessen auf den hierin bestehenden Datenschutzvorfall reagiert. Wir geben einen Überblick über die bisher hierzu bekannten Fakten.
Der Inhalt im Überblick
Meta entdeckt Klartextspeicherung von Passwörtern
Wie aus einer Pressemitteilung des Meta Konzerns vom 21. März 2019 hervorgeht, habe man bei einer routinemäßigen Sicherheitsüberprüfung im Januar 2019 entdeckt, dass einige Nutzer Passwörter in internen Systemen im Klartext vorgelegen hätten. Diesem Umstand habe Meta bereits abgeholfen.
Das Vorliegen von Passwörtern im Klartext sei deshalb direkt aufgefallen, weil es sich hierbei keineswegs um die übliche Meta-Praxis handele. Vielmehr würden Nutzer Passwörter im Einklang mit bewährten Sicherheitsverfahren „gesalted“ und „gehasht“, wobei die Funktion „scrypt“ sowie ein kryptografischer Schlüssel verwendet würden.
Schätzungsweise seien von der Klartext Passwortspeicherung nach einem Update der Pressemitteilung am 18. April 2019
- mehrere hundert Millionen Facebook Lite-,
- mehrere zehn Millionen Facebook- und
- mehrere Millionen Instagram-
Nutzer betroffen. Zu diesem Zeitpunkt habe Meta bis auf einige der betroffenen Instagram Nutzer bereits alle betroffenen Nutzer entsprechend informiert. Angesichts der seither verstrichenen Zeit werden mittlerweile wohl auch diese informiert worden sein.
Worauf in der Meta Pressemitteilung ausdrücklich hingewiesen wird, ist, dass die im Klartext in internen Systemen gespeicherten Nutzer Passwörter nie für Personen außerhalb von Facebook einsehbar gewesen seien. In einer Pressemitteilung der irischen Datenschutzbehörde (Irish Data Protection Commission (DPC)) in dieser Sache vom 27.09.2024 heißt es hierzu, die betreffenden Passwörter seien externen Parteien nicht zugänglich gemacht worden.
Ferner seien bis zur Veröffentlichung der Meta Pressemitteilung am 21. März 2019 keine Nachweise dafür gefunden worden, dass Interne auf die betroffenen Nutzer Passwörter unzulässigerweise zugegriffen oder sie missbraucht hätten.
Untersuchung der DPC
Laut vorerwähnter DPC Pressemitteilung sei die DPC im März 2019 von Meta Ireland darüber informiert worden, dass einige Passwörter von Social Media Nutzern versehentlich im Klartext in ihren internen Systemen gespeichert gewesen seien. Die DPC habe hieraufhin im April 2019 eine diesbezügliche Untersuchung eingeleitet. Im Juni 2024 habe die DPC die übrigen betroffenen Datenschutzaufsichtsbehörden innerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes gem. Art. 60 DSGVO involviert. Keine dieser Datenschutzaufsichtsbehörden habe einen Einspruch gegen den Beschlussentwurf der DPC eingelegt.
Datenschutzverstöße nach Ansicht der DPC
Während die bereits angekündigte Veröffentlichung der Entscheidung der Behörde noch aussteht, teilte die DPC innerhalb der Pressemitteilung bereits mit, gegen welche Normen die Meta Ireland ihrer Ansicht nach im Zusammenhang der Klartextspeicherung von Passwörtern verstoßen habe.
Grundsatz der Integrität und Vertraulichkeit – Art. 5 Abs. 1 lit. f) DSGVO
Hierzu führt die DPC aus, die Meta Ireland habe keine geeigneten technischen und organisatorischen Maßnahmen (im Folgenden: TOM) ergriffen, um eine angemessene Sicherheit der Nutzer Passwörter gegen unbefugte Verarbeitung zu gewährleisten.
Diese Feststellung lässt sich – auch ohne Kenntnis der diesbezüglichen Erwägungen innerhalb der Entscheidung der DPC – wie folgt nachvollziehen: Zwar weist Meta innerhalb seiner Pressemitteilung auf seine praktizierten Verfahren zum Schutz von Nutzer Passwörtern hin. Der Umstand, dass dennoch zahlreiche Nutzer Passwörter de facto im Klartext in den internen Systemen Metas gespeichert waren, zeigt jedoch, dass die ergriffenen TOM augenscheinlich jedenfalls nicht hinreichend waren.
Implementierung geeigneter TOM – Art. 32 Abs. 1 DSGVO
Auch Art. 32 Abs. 1 DSGVO befasst sich mit der Implementierung geeigneter TOM zur Gewährleistung eines dem jeweiligen Risiko angemessenen Schutzniveaus. Gem. Art. 32 Abs. 1 lit. d) DSGVO gehört zu diesen TOM auch
„(…) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“
Entsprechend begründet die DPC ihre Ansicht zum Vorliegen eines Verstoßes gegen Art. 32 Abs. 1 DSGVO zunächst damit, dass die Meta Ireland keine geeigneten TOM zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus, inkl. der Fähigkeit, fortwährend die Vertraulichkeit von Nutzer Passwörtern sicherzustellen, implementiert habe.
Ferner führt die DPC in ihrer Pressemitteilung aus:
„In order to maintain security, data controllers should evaluate the risks inherent in the processing and implement measures to mitigate those risks.“
Grundsätzliche Meldepflicht bei Datenschutzvorfällen – Art. 33 Abs. 1 DSGVO
Zur Begründung ihrer Ansicht zum Vorliegen eines Verstoßes gegen Art. 33 Abs. 1 DSGVO führt die DPC lediglich an, Meta Ireland habe es versäumt, der DPC einen Datenschutzvorfall betreffend die Klartextspeicherung von Nutzer Passwörtern zu melden.
Wie die DPC in ihrer Pressemitteilung ausführt, habe Meta Ireland sie im März 2019 über eine versehentliche Klartextspeicherung einiger Nutzer Passwörter unterrichtet. Daher kann sich die DPC hinsichtlich ihres Vorwurfes eines Verstoßes gegen Art. 33 Abs. 1 DSGVO nur auf die Verspätung einer solchen Meldung berufen.
Meta entdeckte die Klartextspeicherung einiger Nutzer Passwörter laut ihrer Pressemitteilung bereits im Januar 2019. So es sich hierbei um einen meldepflichtigen Datenschutzvorfall handelte, hätte dieser gem. Art. 33 Abs. 1 DSGVO
„(…) unverzüglich und möglichst binnen 72 Stunden, nachdem [Meta Ireland] die Verletzung bekannt wurde, (…)“
der insofern zuständigen DPC gemeldet werden müssen. Eine entsprechende Meldung im März 2019 wäre demnach tatsächlich verspätet im Sinne des Art. 33 Abs. 1 DSGVO gewesen.
Das Ausbleiben einer rechtzeitigen Meldung nach Art. 33 Abs.1 DSGVO betreffend die Klartextspeicherung von Nutzer Passwörtern seitens der Meta Ireland könnte sich unter Umständen darauf zurückführen lassen, dass Meta jedenfalls nicht von einem meldepflichtigen Datenschutzvorfall ausging.
Ein Datenschutzvorfall ist gem. Art. 33 Abs. 1 S. 1 DSGVO ausnahmsweise dann nicht meldepflichtig, wenn er
„(…) voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“.
Angesichts dessen, dass laut Meta Pressemitteilung in dieser Sache
- die betreffenden Nutzer Passwörter nicht für Personen außerhalb von Facebook einsehbar gewesen seien und
- bis zur Veröffentlichung vorgenannter Pressemitteilung keine Nachweise dafür gefunden worden seien, dass Interne auf die betroffenen Nutzer Passwörter unzulässigerweise zugegriffen oder sie missbraucht haben,
könnte Meta vom Vorliegen der Ausnahme von der grundsätzlich bestehenden Meldepflicht von Datenschutzvorfällen nach Art. 33 Abs. 1 DSGVO ausgegangen sein.
Dokumentationspflicht – Art. 33 Abs. 5 DSGVO
Auch ein nicht meldepflichtiger Datenschutzvorfall muss gem. Art. 33 Abs. 5 DSGVO dokumentiert werden. Selbst wenn also Meta Ireland davon ausgegangen sein sollte, dass ein nicht meldepflichtiger Datenschutzvorfall vorlag, hätte ein solcher gleichwohl dokumentiert werden müssen.
Der DPC Vorwurf eines Versäumnisses betreffend die Dokumentation lässt sich vor diesem Hintergrund nur dadurch erklären, dass entweder
- die DPC eine vorliegende Dokumentation für nicht hinreichend erachtete oder
- eine solche Dokumentation gar nicht vorliegt, etwa weil die Meta Ireland bereits nicht von dem Vorliegen eines Datenschutzvorfalles ausging.
Verwarnung und Bußgelder i.H.v. insgesamt 91 Mio. €
In Folge der ihrer Ansicht nach vorliegenden Datenschutzverstöße machte die DPC laut ihrer Pressemitteilung von ihren Abhilfebefugnissen nach Art. 58 Abs. 2 lit. b) DSGVO und Art. 58 Abs. 2 lit. i) DSGVO in Verbindung mit Art. 83 DSGVO Gebrauch. Sie sprach demnach eine Verwarnung gegen Meta Ireland aus und verhängte Bußgelder in einer Höhe von insgesamt 91 Millionen €.
DPC Entscheidung als Grundlage für Präventionsbemühungen
Passwörter sollten nicht im Klartext gespeichert werden. Dies dürfte mittlerweile ein no-brainer sein. So scheint es auch Meta zu sehen. Wie es dennoch zu einer Klartextspeicherung zahlreicher Nutzer Passwörter kommen konnte, wird sich hoffentlich der DPC Entscheidung entnehmen lassen; denn mit Blick auf Präventionsbemühungen könnte hierin eine wertvolle Information für andere Verantwortliche sowie mittelbar auch für Passwortinhaber liegen.