533 Millionen Datendiebstähle bei Facebook vor DSGVO-Einführung

Facebook teilte mit, dass über den Daten-Diebstahl "bereits im Jahr 2019 berichtet wurde" - da war die DSGVO allerdings bereits in Kraft. [Shutterstock]

Facebook hat der zuständigen irischen Datenschutzkommission (Data Protection Commission, DPC) mitgeteilt, dass vor dem Inkrafttreten der EU-Datenschutzgrundverordnung im Jahr 2018 eine „Sicherheitsverletzung“ bezüglich der persönlichen Daten von 533 Millionen Usern weltweit stattgefunden hat.

Am vergangenen Osterwochenende tauchten Millionen dieser personenbezogenen Daten von Nutzerinnen und Nutzern in einem Hacking-Forum auf – darunter Telefonnummern, Facebook-IDs, biografische Informationen und Standorte. Auch zahlreiche E-Mail-Adressen scheinen abgegriffen worden zu sein.

Offenbar könnten rund 100 Millionen Datensätze von Bürgerinnen und Bürger der EU von dem Datenleck betroffen sein, darunter 36,6 Millionen aus Italien, 10,9 Millionen aus Spanien und rund sechs Millionen aus Deutschland.

Deutscher Rechtsstreit gegen Facebook kommt vor den EuGH

Der Europäische Gerichtshof soll klären, ob das deutsche Kartellamt zu Recht anordnete, dass Facebook gewisse Datenerhebungspraktiken in Deutschland einstellen muss.

Als Reaktion auf die Nachricht teilte die Kommunikationsabteilung von Facebook mit, dass über den Daten-Diebstahl „bereits im Jahr 2019 berichtet wurde“ und dass das Unternehmen das entsprechende Problem „im August 2019 gefunden und behoben“ habe.

Im Gespräch mit der irischen Datenschutzkommission am Dienstag sagten Facebooks Vertreter hingegen, man habe bereits im April 2018 „eine Sicherheitslücke in der Telefonabfragefunktion geschlossen“.

Widersprüchliche Aussagen

Die EU-Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist, verpflichtet Facebook und andere Firmen gesetzlich, die jeweils zuständige Datenschutzbehörde innerhalb von 72 Stunden zu benachrichtigen und gegebenenfalls auch die User „unverzüglich“ über mögliche Datenschutzverstöße zu informieren. Da der besagte Vorfall allerdings zeitlich vor der DSGVO-Einführung stattfand, „entschied sich Facebook, dies nicht als Verletzung des Schutzes personenbezogener Daten gemäß der DSGVO zu melden“, heißt es in einer Erklärung an die irische DPC.

Die Facebook-Stellungnahme an die irischen Datenschützer steht damit allerdings im Widerspruch zur früheren Position des Unternehmens, wonach die Sicherheitslücke im August 2019 behoben wurde – zu einem Zeitpunkt also, an dem bereits die neuen rechtlichen Verpflichtungen nach der DSGVO bestanden.

Datenschutzbeschwerde gegen Apple wegen Online-Tracking

Eine vom österreichischen Datenschutzaktivisten Max Schrems angeführte Gruppe hat gegen ein Online-Tracking-Verfahren von Apple Beschwerde im Rahmen der Datenschutz-Grundverordnung (DSGVO) eingereicht.

Bei der Sicherheitslücke, auf die sich Facebook bezieht, handelt es sich wahrscheinlich um eine Schwachstelle in der Kontakt-Importer-Funktion der Plattform, die es Nutzerinnen und Nutzern ermöglichte, andere Personen direkt über deren Telefonnummern zu finden, sowohl auf Facebook selbst als auch auf der Tochter-Plattform Instagram. Eine Lücke im Sicherheitssystem ermöglichte es Hackern demnach, sich als Administratoren auszugeben, um einzelne User mit den dazugehörigen Telefonnummern zu verknüpfen.

Laut EURACTIV.com-Informationen stimmen die Daten, die an diesem Wochenende in Hacker-Foren gepostet wurden, mit denjenigen überein, die zuvor – im Rahmen der wohl im August 2019 behobenen Sicherheitslücke im Kontaktimport – bereits online aufgetaucht waren.

Facebook verspricht „umfangreiche“ Aufklärung

Facebook teilte seinerseits gegenüber der irischen Datenschutzbehörde mit, man habe eine „umfangreiche Untersuchung“ gestartet, um der Ursache des Leaks auf den Grund zu gehen.

„Die fraglichen Daten scheinen von Dritten gesammelt worden zu sein und stammen möglicherweise aus mehreren Quellen,“ teilte Facebook laut der DPC mit.

Es seien daher „umfangreiche Untersuchungen erforderlich, um die Herkunft der Daten mit einem ausreichenden Maß an Sicherheit festzustellen. Dann können wir Ihrer Behörde sowie unseren Nutzerinnen und Nutzern weitere Informationen zur Verfügung stellen.“

[Bearbeitet von Zoran Radosavljevic]

EU-Bürger besorgt über Missbrauch von Online-Daten

Mehr als die Hälfte der Bürgerinnen und Bürger in der Europäischen Union sind besorgt über den potenziellen Missbrauch ihrer Online-Daten durch Betrüger und Cyberkriminelle.

EU-Kommission: Gegen Marktmacht von Google, Facebook und Co.

Die EU-Kommission hat sich vorgenommen, das Internet neu zu ordnen. „Wir brauchen eine große Reform des digitalen Raums“, sagte EU-Industriekommissar Thierry Breton am Dienstag in Brüssel.

Datenschützer nach Ratsbeschluss zur ePrivacy-Verordnung "fassungslos"

Der EU-Rat hat sich am Mittwoch auf weitreichende neue Datenschutzregeln im Rahmen der sogenannten ePrivacy-Verordnung einigen können. Allerdings enthielten sich Deutschland und Österreich bei der Abstimmung und forderten „erhebliche Nachbesserungen“ am finalen Text.

Subscribe to our newsletters

Subscribe
UNTERSTÜTZEN