Bei der irischen Datenschutzkommission ist man unzufrieden mit der Art, wie Facebook mit dem aktuellen Hacker-Angriff gegen die eigene Seite umgeht. In einer E-Mail-Stellungnahme zeigt man sich besorgt darüber, dass Facebook seit Dienstag von dem Einbruch wisse, bisher aber weder exakt sagen könne, welche Daten kopiert wurden, und welches Risiko für die Nutzer bestehe. Insofern fordert man das Unternehmen auch dazu auf, weitere Details zu dem Vorfall bekannt zu geben.

Hintergrund

Facebook musste am Freitagabend eingestehen, dass es unbekannten Angreifern über die Kombination mehrerer Sicherheitslücken gelungen ist, auf die Accounts von mindestens 50 Millionen Nutzern zuzugreifen. Dabei sollen diese vor allem grundlegende Details wie Name oder Wohnort eingesehen haben. Ob sie auch auf private Nachrichten zugegriffen haben, konnte das Unternehmen bisher hingen nicht eindeutig klären.

Reaktion

Von Seiten Facebooks heißt es, dass man so schnell wie möglich auf die Nachfragen der Datenschützer eingehen wolle. Und das ist durchaus auch im Interesse des Unternehmens: Sollte sich herausstellen, dass das soziale Netzwerk fahrlässig gehandelt oder die Nutzer nicht ausreichend informiert hat, könnte es eine saftige Strafe geben: Bis zu 1,4 Milliarden Euro Strafe drohen Facebook nach der Datenschutzgrundverordnung (DSGVO) in diesem Fall, rechnet das Wall Street Journal vor.

Insofern ist der Vorfall natürlich auch ein erster großer Test für die DSGVO. Diese schreibt ein 72-Stunden-Fenster fest, innerhalb dessen die europäischen Datenschutzbehörden über solch einen Einbruch informiert werden müssen. Diese Frist scheint Facebook allerdings eingehalten zu haben, da die irischen Datenschützer am Donnerstagabend informiert wurden.

Sicher genug?

Eine DSGVO-Untersuchung würde sich also eher um die Frage drehen, ob Facebook seine Nutzer ausreichend geschützt hat. Genau das schreibt die seit Mai geltende EU-Verordnung nämlich für alle datensammelnden Services vor. Wie die Gerichte diesen Punkt schlussendlich auslegen, ist dabei aber noch komplett offen, da die DSGVO in dieser Hinsicht viel Interpretationsspielraum zulässt und es bisher keine einschlägige Judikatur gibt. (apo, 1.10.2018)