Im September – oder vielmehr im letzten Jahr – ist Facebook im Sachen Kundendatenschutz nicht gerade durch eine positive Berichterstattung aufgefallen. Der Skandal um die Datenweitergabe an Cambridge Analytica, Facebook Custom Audience, die Facebook-Fanpage – die Liste von Datenschutzverfehlungen ist lang. Seit dem Wochenende überschlagen sich nun die Meldungen zum Hackerangriff auf Facebook-Konten. Teilweise wird davon ausgegangen, dass der Angriff zum ersten nennenswerten Bußgeld nach der DSGVO führen könnte.
Der Inhalt im Überblick
Hacker hatten Zugriff auf 50 Millionen Nutzerkonten
Verschiedenen Berichterstattungen nach haben Hacker eine Sicherheitslücke bei der „View-As“ Funktion von Facebook entdeckt und konnten sich so Zugang zu den Facebook-Konten von mindestens 50 Mio. Nutzern verschaffen. Bisher ist nachgewiesen, dass zumindest Profilinformationen wie Name, Wohnort und Alter abgegriffen wurden. Ein Zugriff auf private Nachrichten oder eine anderweitig missbräuchliche Verwendung der Profile ist bisher zumindest nicht nachweislich bekannt. Die wichtigsten Fragen zum Ablauf und Auswirkungen des Hackerangriff hat der derStandard zusammengefasst.
Spielt Facebook das Risiko für den Nutzer bewusst herunter?
Wer in der aktuellen Berichterstattung nach Stellungnahmen von Facebook sucht, den beschleicht das Gefühl, dass das Ausmaß des Angriffs abgeschwächt dargestellt wird. Bisher hat der Konzern öffentlich erklärt, dass sichere Kenntnis über den Abruf von Profildaten besteht, nicht jedoch auch über den Zugang zu private Nachrichten, zu Kreditkarteninformationen oder zu Passwörtern. Nur zwischen den Zeilen klingt also durch, dass die Hacker Zugriff auf das Profil und damit auch auf private Nachrichten hatten.
Ob sie von dieser Zugriffmöglichkeit auch Gebrauch gemacht haben, ist bisher noch nicht abschließend geklärt. Alleine die Tatsache, dass hierzu die Möglichkeit bestand, sollte allerdings nicht unter den Tisch gekehrt werden. Wer viel und über Jahre hinweg über Facebook kommuniziert dürfte eine Menge an privaten Informationen in seinem Account bereithalten. Diese Daten können in falschen Händen mehr Schaden anrichten, als ein aufgedecktes Passwort oder Kreditkarteninformationen.
Führt ein Sicherheitsvorfall zwingend zu einem Bußgeld nach der DSGVO?
Eine der wohl weitreichendsten Änderungen der DSGVO ist der im Vergleich zum alten Recht merklich erhöhte Bußgeldrahmen. Angesichts der hohen Zahl der Betroffenen (50 Mio. betroffene Nutzer und „weitere 40 Mio. „potentiell“ Betroffene) werden Stimmen laut, die in diesem Fall ein erstes Bußgeld nach der DSGVO sehen. Das Wall Street Journal schreibt gemessen am Bußgeldrahmen des Art. 83 Abs. 5 DSGVO von einer möglichen Strafe in Höhe von 1,4 Milliarden Euro. Da vermutlich kaum ein Unternehmen vor Hackerangriffen gefeit ist wirft dies unweigerlich die Frage auf, ob ein Sicherheitsvorfall immer auch bußgeldrelevant im Sinne der DSGVO ist.
Voraussetzungen für das Verhängen eines Bußgeldes
Ein Sicherheitsvorfall, der auch personenbezogene Daten betrifft, würde dann zu einem Bußgeld führen, wenn:
- Anlass für den Sicherheitsvorfall eine Verletzung der DSGVO war, z.B. indem keine geeigneten technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO getroffen wurden, oder
- beim Umgang mit der Datenpanne gegen Art. 33 und 34 DSGVO verstoßen wurde, d.h. eine Meldung nicht, nicht vollständig oder zu spät erfolgt ist.
Bei der Bemessung der Bußgeldhöhe sind dann ferner die Voraussetzungen des Art. 83 Abs. 2 DSGVO zu berücksichtigen. Hier kommt es u.a. auch darauf an, ob ein Unternehmen vorsätzlich oder fahrlässig gehandelt hat und wie der Vorfall kommuniziert wurde. Als absolutes Negativbeispiel sei hier am Rande auf das Unternehmen Uber verwiesen, welches nach jüngster Berichterstattung der Zeit online bewusst eine Datenpanne nicht meldete und zu diesem Zweck „Schweigegeld“ an die Hacker zahlte.
Was bedeutet das für Facebook?
Für den Hackerangriff nun gleich den hohen Bußgeldrahmen in den Ring zu werfen scheint angesichts der noch unklaren Faktenlage spekulativ. Ein Verstoß gegen die 72 Stunden Meldefrist ist entgegen einiger Berichterstattungen zumindest nicht offensichtlich. Geht man davon aus, dass Facebook erst Dienstagabend ausreichend Kenntnis hatte, wäre eine Meldung am Donnerstag noch nicht verfristet. Das BSI hat zumindest in einer Pressemeldung die „schnelle und professionelle“ Kommunikation der Sicherheitslücke positiv hervorgehoben. Ob nun ein Verstoß gegen Art. 32 und Art. 5 DSGVO festgestellt werden kann und in wie weit die Kriterien aus Art. 83 Abs. 2 DSGVO auf die Bemessung auswirken, muss noch im Rahmen weiterer Untersuchungen geklärt werden.
Was bedeutet der Vorfall für kleinere Unternehmen?
Erschreckend ist, dass auch mittelständige Unternehmen in Deutschland beim Thema Datensicherheit Abstriche machen. Ausschlaggebend ist dafür in der Regel ein wenig ausgeprägtes Risikobewusstsein in der Führungsebene. Datensicherheit kostet Geld und geht auf den ersten Blick zu Lasten der Nutzerfreundlichkeit. Einige Entscheidungen gehen dann, getreu nach dem Motto „Wir haben keine wichtigen Daten“ oder „Für uns interessiert sich eh niemand“, gegen die Datensicherheit und somit auch gegen den Datenschutz.
Solch eine Einstellung scheint vor dem Hintergrund der DSGVO und der Zunahme von Cyber-Attacken allerdings fahrlässig. Auch mittelständige Unternehmen müssen daher Datensicherheit mehr in den Vordergrund stellen. Wer die Vorteile neuer Cloud-Dienste, Datenanalyse-Software und Tracking-Methoden nutzen möchte, muss sich heute auch Gedanken über den Datenschutz machen und die Kosten dafür einkalkulieren. Bei Feststellung eines Verstoßes von Facebook gegen die Sicherheit der Nutzerdaten müsste die Aufsichtsbehörde also zwingend ein Bußgeld verhängen, nicht auch zuletzt um den Abschreckungsgedanken aus Art. 83 Abs. 1 DSGVO gerecht zu werden.
