Facebook: Zu viel Klartext

Nachdem der Internetkonzern Hunderte Millionen Passwörter unverschlüsselt gespeichert hat, prüft der deutsche Datenschutzbeauftragte, ob Facebook gegen die Datenschutzgrundverordnung verstoßen hat.

Bei Facebook kontrolliert ein Team von 30 Experten die strittigen Entscheidungen von mehr als 20 000 "Content-Moderatoren" des Konzerns (Foto: Thomas Trutschel/photothek.net; via www.imago-images.de/imago images / photothek)

Der Bundesbeauftragte für den Datenschutz, Ulrich Kelber (SPD) fordert eine "penible Aufarbeitung" des jüngsten Datenskandals bei Facebook: "Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr", sagte Kelber. Jetzt sei zu prüfen, ob das Unternehmen bei der Aufarbeitung des Falls gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat. Insbesondere stelle sich die Frage, ob Facebook die Behörden rechtzeitig informiert hat.

Am Donnerstag hatte Facebook mitgeteilt, dass Hunderte Millionen Passwörter von Nutzern unverschlüsselt im Datenspeicher von Facebook zu finden waren. Üblicherweise werden Passwörter nur gehasht, also mit einer Einwegfunktion verschlüsselt. Wenn Hacker eine Passwortdatenbank erbeuten, können sie aus den so verfremdeten Passwörtern nur mit sehr großem Aufwand die Originalpasswörter wiederherstellen. Diese grundlegende Sicherheitsmaßnahme missachtete Facebook offenbar bei sogenannten Logfiles - Daten, die Facebook sich von Apps bei der Dateneingabe von Kunden mitschicken ließ. Das geht aus dem Bericht des US-IT-Sicherheitsexperten Brian Krebs hervor.

Demnach bestand die Sicherheitslücke bereits seit dem Jahre 2012, entdeckt wurde sie erst bei einer Routineüberprüfung im Januar dieses Jahres. Die für Facebook zuständige irische Datenschutzbehörde schrieb der SZ, sie sei am Donnerstag von Facebook über den Vorfall informiert worden. Der Bundesbeauftragte für den Datenschutz, Kelber, glaubt dass Facebook mit der späten Mitteilung gegen Auflagen der DSGVO verstoßen haben könnte. Normalerweise müssen Unternehmen Datenschutzverstöße von sich aus binnen 72 Stunden an die zuständige Aufsichtsbehörde melden. Diese Frist hätte Facebook im vorliegenden Fall um mindestens eineinhalb Monate überschritten.

Es ist möglich, dass Facebook selbst den Fall nicht als Datenschutzverletzung im Sinne der DSGVO sieht, weil keine Daten aus dem Unternehmen abgeflossen sind. Die irische Datenschutzbehörde wollte noch keine detailliertere Stellungnahme abgeben. Der Sprecher der Behörde sagte, man prüfe den Fall derzeit.