Menlo Park – Durch eine Datenpanne bei Facebook haben Hunderte Apps im September mehrere Tage lang zu weitreichenden Zugriff auf Fotos von mehreren Millionen Mitgliedern des Online-Netzwerks gehabt. Dazu gehörten auch Bilder, die Nutzer zwar auf Facebook-Server hochgeladen, aber nicht gepostet haben, wie Facebook am Freitag mitteilte.

Außerdem betroffen waren Fotos aus der Handelsplattform Marketplace sowie den Facebook Stories, in denen Nutzer Bilder und Videos für einen Tag für ihre Freunde veröffentlichen können. Die Apps hätten gemäß den erteilten Freigaben eigentlich nur Zugriff auf die Bilder haben dürfen, die Nutzer in ihrer Timeline geteilt hatten.

Die Lücke habe vom 13. bis zum 25. September bestanden, erklärte Facebook. Nach aktuellen Schätzungen könnten bis zu 6,8 Millionen der insgesamt mehr als zwei Milliarden Nutzer betroffen sein. Zugang zu den Fotos könnten bis zu 1.500 Apps von 876 Entwicklern gehabt haben.

Betroffene werden informiert

Voraussetzung dafür sei gewesen, dass sich Nutzer bei den Apps über den Facebook-Log-in angemeldet und ihnen Zugriff auf die Timeline-Bilder gewährt hätten. Die betroffenen Facebook-Mitglieder sollen nun informiert werden.

Unter den Betroffenen sind auch Nutzer aus der Europäischen Union, erklärte Facebook, ohne Zahlen zu nennen. Das Online-Netzwerk macht keine Angaben dazu, wann die Lücke entdeckt wurde. Die Behörden seien aber gemäß der EU-Datenschutzgrundverordnung fristgerecht unterrichtet worden, sagte ein Sprecher. Die DSGVO schreibt vor, Vorfälle mit personenbezogenen Daten binnen 72 Stunden an Behörden zu melden. Bei Verstößen können hohe Strafen verhängt werden.

Bei den hochgeladenen, aber nicht geteilten Fotos könne es sich zum Beispiel um Kopien von Bildern handeln, bei deren die Nutzer den Beitrag aus irgendwelchen Gründen nicht fertiggestellt hatten, erläuterte Facebook. Das Online-Netzwerk hebe dann eine Kopie für später auf.

Irische Behörden ermitteln

Nach Bekanntwerden der neuerlichen Datenpanne haben die irischen Behörden Ermittlungen eingeleitet. Die Datenschutzbehörde DPC teilte am Freitag mit, sie wolle eingehender prüfen, ob sich Facebook an die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) halte. Die neuen Datenschutzregeln der EU gelten seit dem 25. Mai. Facebook hat seinen Europa-Sitz in Irland.

Der DPC-Sprecher Graham Doyle erklärte, seine Behörde habe seit dem Inkrafttreten der Datenschutz-Grundverordnung bereits mehrere Beschwerden von Verbrauchern wegen Verletzung ihrer Privatsphäre erhalten. Die irische Datenschutzbehörde hat in Sachen Facebook eine erweiterte Kompetenz für die gesamte EU, weil sich die Europazentrale des kalifornischen Unternehmens in Dublin befindet.

Gemäß der DSGVO müssen internationale Konzerne wie Facebook mit empfindlichen Geldstrafen rechnen, wenn sie beim Datenschutz gegen EU-Recht verstoßen. Ihnen drohen Strafen in Höhe von bis zu vier Prozent ihres weltweiten Jahresumsatzes. Bei Facebook, das 2017 einen Umsatz von 35,2 Milliarden Euro verzeichnete, könnten das 1,4 Milliarden Euro sein. (APA, 14.12.2018)