Die Datenschutzkommission (DPC) hat heute ihre endgültige Entscheidung im Anschluss an eine Untersuchung bei Meta Platforms Ireland Limited (MPIL) bekannt gegeben. Diese Untersuchung wurde im April 2019 eingeleitet, nachdem MPIL dem DPC mitgeteilt hatte, dass es versehentlich bestimmte Passwörter von Social-Media-Nutzern im „Klartext“ auf seinen internen Systemen gespeichert hatte (d. h. ohne kryptografischen Schutz oder Verschlüsselung).
Gemäß Artikel 60 der DSGVO legte das DPC im Juni 2024 den anderen betroffenen Aufsichtsbehörden in der gesamten EU/EWR einen Entscheidungsentwurf vor. Von den anderen Behörden wurden keine Einwände gegen den Beschlussentwurf erhoben.
Die Entscheidung, die von den Datenschutzbeauftragten Dr. Des Hogan und Dale Sunderland getroffen und gestern, am 26. September, dem MPIL mitgeteilt wurde, sieht einen Verweis und eine Geldstrafe in Höhe von 91 Millionen Euro vor.
In der Entscheidung des DPC werden die folgenden Feststellungen eines Verstoßes gegen die DSGVO festgehalten:
- Artikel 33 Absatz 1 DSGVO, da MPIL es versäumt hat, den DPC über einen Verstoß gegen den Schutz personenbezogener Daten im Zusammenhang mit der Speicherung von Benutzerpasswörtern im Klartext zu informieren;
- Artikel 33 Absatz 5 DSGVO, da MPIL es versäumt hat, Verstöße gegen den Schutz personenbezogener Daten im Zusammenhang mit der Speicherung von Benutzerpasswörtern im Klartext zu dokumentieren;
- Art. 5 Abs. 1 lit. f DSGVO, da MPIL keine geeigneten technischen oder organisatorischen Maßnahmen ergriffen hat, um eine angemessene Sicherheit der Passwörter der Nutzer vor unbefugter Verarbeitung zu gewährleisten; Und
- Art. 32 Abs. 1 DSGVO, da MPIL keine geeigneten technischen und organisatorischen Maßnahmen umgesetzt hat, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich der Möglichkeit, die fortlaufende Vertraulichkeit von Benutzerpasswörtern sicherzustellen.
Der stellvertretende Kommissar des DPC, Graham Doyle, kommentierte: „Es besteht allgemein Einigkeit darüber, dass Benutzerkennwörter nicht im Klartext gespeichert werden sollten, angesichts der Missbrauchsrisiken, die durch den Zugriff von Personen auf solche Daten entstehen. Dabei ist zu berücksichtigen, dass die Passwörter, um die es hier geht, besonders sensibel sind, da sie den Zugriff auf die Social-Media-Konten der Nutzer ermöglichen würden.„
Das DPC wird die vollständige Entscheidung und weitere damit verbundene Informationen zu gegebener Zeit veröffentlichen.
Hintergrund
Im März 2019 teilte MPIL dem DPC mit, dass es versehentlich bestimmte Passwörter von Social-Media-Nutzern im „Klartext“ auf seinen internen Systemen gespeichert hatte (d. h. ohne kryptografischen Schutz oder Verschlüsselung). Auch MPIL veröffentlichte im März 2019 Informationen zu diesem Vorfall[1]. Diese Passwörter wurden nicht an Dritte weitergegeben.
Im Rahmen der Untersuchung, die im April 2019 begann, wurde die Einhaltung der Datenschutz-Grundverordnung (DSGVO) durch MPIL bewertet und insbesondere, ob MPIL Maßnahmen umgesetzt hat, um ein Sicherheitsniveau zu gewährleisten, das den mit der Verarbeitung von Passwörtern verbundenen Risiken angemessen ist. und ob MPIL seinen Verpflichtungen zur Dokumentation und Benachrichtigung des DPC über Verstöße gegen den Schutz personenbezogener Daten nachgekommen ist.
Diese Entscheidung des DPC betrifft die DSGVO-Grundsätze der Integrität und Vertraulichkeit. Die DSGVO verlangt von Datenverantwortlichen, bei der Verarbeitung personenbezogener Daten angemessene Sicherheitsmaßnahmen zu ergreifen und dabei Faktoren wie die Risiken für Dienstnutzer und die Art der Datenverarbeitung zu berücksichtigen. Um die Sicherheit zu gewährleisten, sollten Datenverantwortliche die mit der Verarbeitung verbundenen Risiken bewerten und Maßnahmen zur Minderung dieser Risiken ergreifen. Diese Entscheidung unterstreicht die Notwendigkeit, solche Maßnahmen bei der Speicherung von Benutzerpasswörtern zu ergreifen.
Die DSGVO verpflichtet Datenverantwortliche außerdem dazu, Verstöße gegen den Schutz personenbezogener Daten ordnungsgemäß zu dokumentieren und die Datenschutzbehörden über auftretende Verstöße zu informieren. Eine Verletzung des Schutzes personenbezogener Daten kann, wenn sie nicht angemessen und rechtzeitig behoben wird, zu Schäden wie dem Verlust der Kontrolle über personenbezogene Daten führen. Wenn ein Verantwortlicher feststellt, dass ein Verstoß gegen den Schutz personenbezogener Daten vorliegt, sollte er daher die Aufsichtsbehörde unverzüglich in der in Artikel 33 DSGVO vorgeschriebenen Weise benachrichtigen.
Die Entscheidung enthält folgende Korrekturbefugnisse:
- Eine Abmahnung gemäß Art. 58 Abs. 2 lit. b DSGVO; Und
- Bußgelder in Höhe von insgesamt 91 Millionen Euro gemäß Artikel 58 Absatz 2 Buchstabe i und Artikel 83 DSGVO.
Artikel 60 der DSGVO regelt das Verfahren der Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden.
[1]Verfügbar unter https://about.fb.com/news/2019/03/keeping-passwords-secure/
Related News :