265 Mio. Euro Bußgeld wegen nicht verhindertem Data-Scraping

Hintergrund des DSGVO-Bußgeldes

Infolge von Medienberichten über den Fund einer Datensammlung mit personenbezogenen Daten von Facebook- und Instagram-Nutzern in einem Hacker-Forum leitete die DPC am 14. April 2021 eine Untersuchung ein. Die Untersuchung fokussierte sich auf auf einen etwaigen Data-Scraping-Vorfall. Unter Data-Scraping sind Techniken zu verstehen, bei denen Daten aus Systemen (meist Websites) automatisiert extrahiert werden.

Der Umfang der Untersuchung betraf eine Prüfung und Bewertung der Tools Facebook Search, Facebook Messenger Contact Importer und Instagram Contact Importer in Bezug auf die von Meta im Zeitraum zwischen dem 25. Mai 2018 und September 2019 durchgeführte Verarbeitung. Die wesentlichen Punkte in dieser Untersuchung betrafen Fragen der Einhaltung der in der Datenschutz-Grundverordnung (DSGVO) verankerten Verpflichtung zur Gewährleistung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default). Die DPC untersuchte daher insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 25 DSGVO.

Es gab ein umfassendes Untersuchungsverfahren, einschließlich der Zusammenarbeit mit allen anderen Datenschutzaufsichtsbehörden in der EU. Diese Aufsichtsbehörden stimmten der Entscheidung des DPC zu.

In der Entscheidung der DPC vom 25. November 2022 wurde ein Verstoß gegen Art. 25 Abs. 1 und 2 DSGVO festgestellt. In der Entscheidung sprach die DPC einen Verweis und eine Anordnung aus, wonach Meta seine Verarbeitung in Einklang mit den genannten Bestimmungen zu bringen hat, indem es innerhalb eines bestimmten Zeitrahmens eine Reihe von spezifizierten Abhilfemaßnahmen trifft. Darüber hinaus wurden in der Entscheidung Geldbußen in Höhe von insgesamt 265 Mio. EUR gegen Meta verhängt.

Meta möchte die Entscheidung prüfen mit der Begründung, dass öffentlich zugängliche Daten durch Kriminelle vor September 2019 abgeschöpft und veröffentlicht wurden, die Systeme von Meta jedoch nicht gehackt worden seien und diesbezüglich Einspruch erheben.

Datenschutzrechtliche Einschätzung des Bußgeldes

Datenschutz durch Technikgestaltung – Privacy by Design

Meta hatte Maßnahmen eingeführt, die zur Erkennung von Bots dienen und damit das Risiko in Verbindung mit Aktivitäten von Fake-Konten minimieren sollten. Laut DPC sind diese getroffenen Maßnahmen, mit Blick auf mögliche Maßnahmen, die Meta hätte ergreifen können, jedoch nicht wirksam genug gewesen um solche Aktivitäten zu verhindern.

Das Fehlen geeigneter Maßnahmen ermöglichte es nach Meinung der DPC böswilligen Akteuren, die relevanten Funktionen zu nutzen, um sich Zugang zu den Datensätzen zu verschaffen. Insbesondere konnten diese Akteure durch zufällige Zahlen- und Buchstabenkombinationen herausfinden, ob gültige Telefonnummern und E-Mail-Adressen den Datensätzen entsprechen.

Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen zum Ergreifen geeigneter technischer und organisatorischer Maßnahmen. Die Grundsätze des Datenschutzes durch technische Gestaltung und datenschutzfreundliche Voreinstellungen bestimmen die Anforderungen an Verfahrensgestaltung und -betrieb. Dies verlangt von den für die Datenverarbeitung Verantwortlichen, frühzeitig Bedingungen für die Einhaltung der rechtlichen Vorgaben zu schaffen, beispielsweise durch Maßnahmen wie die Pseudonymisierung. Privacy by Design bedeutet dahingehend also, dass alle Systeme so konzipiert und entwickelt sein sollten, dass diese die Maßnahmen von Beginn an beachten.

Datenschutz durch datenschutzfreundliche Voreinstellungen – Privacy by Default

Meta hatte innerhalb der Suchfunktionen auf den Websites die Einstellungen so getroffen, dass die Telefonnummern und E-Mail-Adressen jedes Nutzers enthalten waren. Damit machte Meta diese personenbezogenen Daten ohne das Zutun der Nutzer einer unbestimmten Anzahl an Personen zugänglich. Ebenso ermöglichte diese Einstellung, dass Nutzerprofile durchsuchbar waren, selbst wenn die betroffene Person ihre Daten nicht zum Zwecke der Durchsuchbarkeit freigegeben hatte.

Damit hat Meta laut DPC versäumt sicherzustellen, dass Einstellungen so getroffen werden, dass standardmäßig nur Daten verarbeitet werden, die für den spezifischen Zweck erforderlich sind.

Diese Pflicht ergibt sich jedoch direkt aus Art. 25 Abs. 2 DSGVO. Diese Maßnahmen können die Minimierung der Verarbeitung personenbezogener Daten und die schnellstmögliche Pseudonymisierung personenbezogener Daten umfassen. Darüber hinaus sollte Transparenz über die Funktionen und die Verarbeitung personenbezogener Daten hergestellt werden.

Privacy by Default soll also Nutzer schützen, indem Software, Hardware, etc. datenschutzrechtlich so bereitgestellt werden, dass die Privatsphäre des Nutzers bestmöglich voreingestellt ist. Die technischen und organisatorischen Maßnahmen, die den Rahmen für die Voreinstellung bilden, sollen insbesondere sicherstellen, dass personenbezogene Daten nicht einer unbegrenzten Anzahl natürlicher Personen zugänglich gemacht werden.

Fazit

Summiert man die Bußgelder der letzten Monate gegen Meta (inkl. 225 Mio. Euro gegen WhatsApp Ireland Ltd. und 405 Mio. Euro gegen Instagram) kommt man auf 910 Millionen Euro. In Anbetracht der Tatsache, dass die irische Datenschutzbehörde immer wieder für ihr zaghaftes Vorgehen gegen Meta und andere Konzerne kritisiert wurde, zeigen diese Bußgelder den großen Unternehmen, dass Datenschutzverletzungen zu hohen Strafzahlungen führen können und demnach nicht auf die leichte Schulter genommen werden sollten.

Die hier diskutierte Entscheidung zeigt zudem, dass alle Websitebetreiber ihre Technik so ausgestallten sollten, dass eine Data-Scraping-Attacke verhindern wird, wenn sie Bußgelder vermeiden wollen.