Die nächs­te Daten­pan­ne im Hau­se Face­book! Der Daten­rie­se hat zuge­ge­ben, Mil­lio­nen Nut­zer­pass­wör­tern im Klar­text auf inter­nen Ser­vern gespei­chert gehabt zu haben. 

Dass die Auf­sichts­be­hör­den die Spei­che­rung von Nutzer-Passwörtern im Klar­text als Ver­stoß gegen die IT-Sicherheit sehr ernst nimmt, zeigt die Buß­geld­ver­hän­gung in Höhe von 20.000 € gegen Knud­dels.” – Eile­en Binder

Wie Face­book bekannt gege­ben hat, sei bei einer Routine-Prüfung im Janu­ar auf­ge­fal­len, dass bis zu 600 Mio. Nut­zer­pass­wör­ter unver­schlüs­selt auf den inter­nen Ser­vern des Unter­neh­mens lagen und von 20.000 Mit­ar­bei­tern hät­ten im Klar­text gele­sen wer­den kön­nen. Die Pass­wör­ter hät­ten eigent­lich auch intern ver­schlüs­selt sein müs­sen. Es gäbe jedoch kei­ne Hin­wei­se dar­auf, dass Mit­ar­bei­ter die Daten intern zweck­ent­frem­det und miss­braucht hät­ten. Eben­so sei­en die Daten nicht nach außen sicht­bar gewe­sen. Obwohl es kei­nen Hin­weis auf einen Miss­brauch gebe, sol­len die betrof­fe­nen Nut­zer über die unver­schlüs­sel­te Spei­che­rung ihrer Pass­wör­ter infor­miert wer­den. Face­book bezeich­net die Benach­rich­ti­gung der Nut­zer als „rei­ne Vor­sichts­maß­nah­me“. Die Pres­se­stel­le des Lan­des­da­ten­schutz­be­auf­trag­ten von Baden-Württemberg twit­ter­te dar­auf­hin, die „Vor­sichts­maß­nah­me“ sei eine ein­deu­ti­ge Rechts­pflicht Face­books nach Art. 34 DSGVO. Wer wie Face­book Pass­wör­ter unver­schlüs­selt spei­che­re ver­let­ze ver­bind­li­che Standards.

Dass die Auf­sichts­be­hör­den die Spei­che­rung von Nutzer-Passwörtern im Klar­text als Ver­stoß gegen die IT-Sicherheit sehr ernst nimmt, zeigt die Buß­geld­ver­hän­gung in Höhe von 20.000 € gegen Knud­dels. Nach einer Daten­pan­ne beim sozia­len Netz­werk Knuddels.de im Juli 2018, ver­häng­te die Auf­sichts­be­hör­de Baden-Württemberg ein Buß­geld in Höhe von 20.000 Euro gegen die Social-Media-Plattform. Das Unter­neh­men hat­te rund 1,8 Mio. Nutzer-Passwörter unver­schlüs­selt gespeichert.

Seit Inkraft­tre­ten der DSGVO hat Face­book immer wie­der mas­si­ve Daten­pan­nen zu ver­tre­ten. Nach­dem der Skan­dal rund um den Daten­miss­brauch durch das Unter­neh­men Cam­bridge Ana­ly­ti­ca öffent­lich wur­de, folg­ten Sicher­heits­lü­cken bei der Zugriffs­be­rech­ti­gung von Apps auf (teils unver­öf­fent­lich­te) Fotos von 7 Mio. Nut­zern, die Über­schrei­bung von Privatsphäre-Einstellungen in 14 Mio. Nutzer-Accounts und die Ver­öf­fent­li­chung von 560 Mio. Facebook-Nutzerdaten auf öffent­lich zugäng­li­chen Amazon-Cloud-Servern.

Artikel zum selben Thema:

Ist löschen durch Anonymisierung möglich?

9. Mai 2023|

Kann der Pflicht zur Löschung per­so­nen­be­zo­ge­ner Daten nach Zweck­ent­fall oder die Erfül­lung des Betrof­fe­nen­rechts auf Löschung auch durch eine […]

Microsoft 365 und der kirchliche Datenschutz

27. Juni 2022|

Nach­dem das Katho­li­sche­Da­ten­schutz­zen­trum Frank­furt (KDSZ-FFM) sich bereits im Febru­ar 2019 mit einer „Daten­schutz­recht­li­chen Bewer­tung eines Ein­sat­zes von Office 365 […]

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN