Hackerangriff bei Facebook: Irische Datenschutzbehörde untersucht

Nach dem Hackerangriff auf Facebook, bei dem auch personenbezogene Daten von Facebook-Nutzern aus der Europäischen Union betroffen waren, hat die irische Datenschutzbehörde Data Protection Commission (kurz: DPC) mit Mitteilung vom 03.10.2018 Ermittlungen gegen Facebook angekündigt (zur Pressemitteilung: hier). Beurteilt werden soll, ob Facebook die unter der Datenschutz-Grundverordnung (DS-GVO) geforderten technischen und organisatorischen Maßnahmen getroffen hat, um die von ihnen verarbeiteten personenbezogenen Daten zu schützen.

Was war passiert?

Facebook erklärte am 28.9.2018, dass bei einem Hackerangriff auf das Unternehmen unbekannten Personen zeitweilig der Zugriff auf Account-Daten von Millionen Facebook-Nutzern gelang – darunter auch auf Daten von Facebook-Nutzern aus der Europäischen Union.

Die für die Facebook Ireland Ltd. als Verantwortliche für die Verarbeitung der Daten der europäischen Nutzer zuständige DPC wurde von Facebook ebenfalls am selben Tag in Kenntnis gesetzt.

Meldung einer Datenschutzverletzung

Art. 33 und Art. 34 DS-GVO geben vor, wie die Verletzung des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde oder gegenüber den betroffenen Personen gemeldet werden muss.

Unter anderem verlangt die DS-GVO eine Meldung der Verletzung gegenüber der Aufsichtsbehörde binnen 72 Stunden, nachdem die Verletzung bekannt wurde. Hat die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die betroffenen Personen zur Folge, verlangt Art. 34 DS-GVO daneben die Benachrichtigung der betroffenen Person. Nur in bestimmten Fällen (Art. 34 Abs. 3 DS-GVO) kann die Benachrichtigung der betroffenen Person unterbleiben.

Der erforderliche Inhalt der Mitteilung gegenüber betroffener Person oder Aufsichtsbehörde ist annähernd gleich. Art. 33 Abs. 3 DS-GVO listet Mindestinhalte der Meldung gegenüber der Aufsichtsbehörde auf, die nahezu identisch auch in einer Meldung an die betroffene Person enthalten sein müssen (Art. 34 Abs. 2 DS-GVO).

Technische und organisatorische Maßnahmen

An verschiedenen Stellen spricht die DS-GVO von technischen und organisatorischen Maßnahmen (z.B. in Art. 24 oder Art. 32 DS-GVO). Diese muss der für eine Datenverarbeitung Verantwortliche risikobasiert treffen. Danach müssen Art, Umfang, Umstände und Zwecke der Verarbeitung, sowie die Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen neben dem Stand der Technik und den Implementierungskosten berücksichtigt werden.

Die DPC muss nun also überprüfen, ob Facebook die technischen und organisatorischen Maßnahmen getroffen hat, die auch hätten getroffen werden müssen. Oder anders gesagt: Die DPC überprüft, ob der Hackerangriff nicht vielleicht auch seitens Facebook vermeidbar gewesen wäre.

Was kann passieren?

Möglich ist, dass Facebook eine Geldbuße auferlegt wird, die je nach Würdigung der Aufsichtsbehörde bis zu 10.000.000 EUR oder auch 2% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem welcher Betrag höher ist, betragen kann (Art. 83 Abs. 5 DS-GVO).

Ausblick

Facebook selbst hat angegeben, dass der Vorfall weiterhin intern geprüft wird und Maßnahmen getroffen werden, um das Risiko für den von der DS-GVO geforderten Schutz für Grundrechte und Grundfreiheiten von natürlichen Personen einzudämmen.

Zu welchem Ergebnis die DPC bei ihren Ermittlungen kommt und ob Facebook nach Ansicht der irischen Datenschutzbehörde alle notwendigen technischen und organisatorischen Maßnahmen getroffen hatte, bleibt gespannt abzuwarten.

 

Haben Sie Fragen? Unser Team hilft Ihnen gerne weiter.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.