Vor einigen Tagen musste Facebook bekannt geben, Opfer eines Hacker-Angriffs geworden zu sein. Die Angreifer konnten Zugriff auf rund 50 Mio. Nutzerkonten erlangen. Seither wird viel über den Hack spekuliert, auch über die rechtlichen Auswirkungen durch die DSGVO. Einige Seiten warnen bereits vor einem hohen Bußgeld, das europäische Datenschutzaufseher gegen das größte Social-Network der Welt verhängen könnten.
Was ist passiert?
Bislang hält sich Facebook mit Informationen über den Angriff zurück. Feststeht, dass beim Betrachten von Nutzerprofilen aus einer speziellen Ansicht die Möglichkeit bestand, Zugriff auf das System und damit auf Nutzerkonten zu erhalten. Vor wenigen Tagen informierte Facebook über den Hacker-Angriff. Seither wird der Vorfall untersucht.
Darüber, in welchem Umfang ein Zugriff auf die Profile bestand, hat Facebook nur eingeschränkt informiert. Zunächst war unklar, ob Angreifer die Nutzerprofile lediglich eingesehen oder Daten heruntergeladen haben. Mittlerweile ist jedoch bekannt, dass es zu Downloads kam. Namen und Wohnorte der Nutzer wurden von den Angreifern offensichtlich gespeichert. Ob die Hacker auch private Nachrichten einsehen konnten, ist nicht bekannt.
Der eigentliche Angriff war vergleichsweise aufwändig. Die Hacker fanden eine kleine Schwachstelle, die als Einfallstor diente. Daraufhin mussten noch zweite weitere Hacks Anwendung finden, um sogenannte Access-Tokens zu generieren, die Zugriff auf Nutzerprofile ermöglichten.
Sicherheitsvorfall aus Sicht der DSGVO
Die DSGVO schreibt Unternehmen die Ergreifung geeigneter Maßnahmen vor, um personenbezogene Daten zu schützen. Mit dem Hack liegt ein sogenannter Sicherheitsvorfall vor, weil Dritte und damit Unbefugte Zugriff auf Daten mit Personenbezug erlangen konnten.
In Anbetracht der Tatsache, dass sich Facebook mit seinem Angebot auch an private Nutzer in Europa wendet, besteht die Verpflichtung, den Vorfall einer europäischen Datenschutzbehörde zu melden. Die geltende Frist beträgt 72 Stunden, die Facebook nach aktuellem Informationsstand eingehalten hat. Ein Verstoß gegen die Meldefrist scheint damit nicht vorzuliegen.
Droht Facebook ein sattes Bußgeld?
Bei Verstößen gegen geltende Datenschutzbestimmungen drohen in der EU erhebliche Bußgelder. Als Bemessungsgrundlage kann der Umsatz der gesamten Organisation herangezogen werden. Wie das Wallstreet Journal berechnet hat, könnte Facebook ein Bußgeld in Höhe von bis zu 1,4 Mrd. US-Dollar auferlegt werden.
Allerdings ist zu berücksichtigen, dass ein erfolgreicher Hacker-Angriff nicht zwangsläufig ein Bußgeld zur Folge haben muss. Datenschutz-Aufseher könnten ein Bußgeld verhängen, sofern Facebook keine oder ungeeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergriffen hat. Ebenso bei einer ausgebliebenen, verspäteten oder unvollständigen Meldung eines Sicherheitsvorfalls.
Noch ist ungewiss, ob Facebook gegen entsprechende Rechtsvorschriften verstoßen hat. Der Vorfall wird untersucht und aufgeklärt, d.h. die Verhängung eines Bußgeldes ist derzeit nicht auszuschließen. Sollte das Unternehmen die Vorschriften eingehalten haben, dürfte das Thema Bußgeld hingegen mit großer Wahrscheinlichkeit vom Tisch sein.
Jedes Unternehmen kann betroffen sein
Mit mehr als zwei Milliarden Nutzern weltweit genießt Facebook einen enormen Bekanntheitsgrad und dürfte regelmäßig im Fadenkreuz diverser Hackergruppen stehen. Doch kleineren Unternehmen muss es nicht anders ergehen. Viele Hacker suchen automatisiert im Internet nach potenziellen Opfern und werden regelmäßig fündig. Lediglich ein unzureichend gesicherter Computer mit Internetverbindung genügt, damit Hacker sich womöglich Zugriff auf darauf befindliche Daten verschaffen oder sogar in das gesamte Unternehmensnetzwerk vordringen können.
In Anbetracht dieses Risikos ist es für jedes Unternehmen entscheidend, den betrieblichen Datenschutz ernst zu nehmen und zielgerichtete Maßnahmen zu ergreifen. Der Fall Facebook verdeutlicht, dass zwar selbst dann erfolgreiche Angriffe nicht auszuschließen sind. Jedoch kann ein maßgeschneidertes und korrekt umgesetztes Datenschutzkonzept gewährleisten, dass keine Bußgelder oder ähnliche Sanktionen drohen.