Nach Zugriff auf Fotos von 6,8 Millionen Usern: Facebook steht Untersuchung bevor

Am Freitag war bekannt geworden, dass Entwickler Zugang zu Fotos von 6,8 Millionen Usern bei Facebook bekommen hatten; und zwar zu Fotos aus den Stories und sogar hochgeladenen, aber nicht geposteten. Grund war ein Fehler mit der API, der längst behoben ist. Im Lichte des Vorfalls aus dem September prüft die Datenschutzkommission in Irland nun jedoch, ob das Soziale Netzwerk entsprechend der DSGVO gehandelt hat. Denn Datenlecks müssen demnach umgehend mitgeteilt werden.

Die unfreiwillige Weitergabe von Fotos

Wer Apps mit Facebook-Login Zugriff auf seine eigenen Fotos erlaubt, weiß grundsätzlich, worauf er sich einlässt. Allerdings hatten einige Apps Dritter für den Zeitraum von zwölf Tagen im September Zugriff auf ein erweitertes Set an Bilder der Facebook-Nutzer, wie im Blogpost des Unternehmens am Freitag erklärt wurde. Im Normalfall können Entwickler und Co. nur auf Fotos aus der Timeline zugreifen, doch aufgrund eines Bugs war der Zugriff für diese Parteien auf Fotos aus Stories oder dem Marketplace erweitert. Auch Bilder, die hochgeladen, aber nicht gepostet wurden, konnten potentiell eingesehen werden.

Zwischen dem 13. und 25. September 2018 waren 6,8 Millionen User betroffen, zudem 1.500 Apps von 876 Entwicklern. Allerdings waren nur Apps Teil des Bugs, die von Facebook für die Foto API zugelassen worden waren; nur wer Zugriff auf eigene Fotos erlaubte, hatte womöglich Dritten unfreiwillig Einblick in weitere Bilder gegeben. Diese Woche sollen Tools ausgerollt werden, die ermitteln können, welche Nutzer betroffen waren; sodass unrechtmäßig eingesehene Fotos gelöscht werden können.

We’re sorry this happened. Early next week we will be rolling out tools for app developers that will allow them to determine which people using their app might be impacted by this bug. We will be working with those developers to delete the photos from impacted users.

Diese Nutzer werden nun von Facebook benachrichtigt und können im Help Center nachvollziehen, welche Apps sie nutzen, die aufgrund des längst behobenen Fehlers Zugriff hatten. Sie sollten ebenso selbst bei diesen Apps prüfen, auf welche Fotos sie Zugriff gehabt haben könnten.

Der Irish Data Protection Commissioner ermittelt

Das Datenleck ist ein weiteres in der Reihe vieler problematischer Bugs und einiger großer Datenverluste bei Facebook. Der Strom an Meldungen über die ungewollte Weitergabe teils auch sensibler Userdaten scheint nicht abzureißen. Jetzt hat Facebook zusätzlich zum Vertrauensverlust bei den Nutzern und der negativ konnotierten medialen Aufmerksamkeit aber das Problem, dass die für Facebooks europäische Präsenz zuständige Datenschutzbehörde, der Irish Data Protection Commissioner, eine Untersuchung des Umgangs mit diesem Datenleck einleitet.

Publik gemacht hat Facebook den Monate zurückliegenden Vorfall erst vor wenigen Tagen. Jedoch fordert die DSGVO, dass eine „Verletzung des Schutzes personenbezogener Daten“ innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde weitergegeben werden muss. Wie Reuters berichtet, prüft der DPC Irlands nun, inwieweit das Unternehmen diese Vorgaben eingehalten und ob eine Information der zuständigen Behörde stattgefunden hat. Diese Prüfung soll sich insgesamt auf verschiedene Datenlecks bei der Plattform beziehen. Das Unternehmen steht mit der Datenschutzbehörde in Kontakt, muss aber dennoch zwei Szenarien fürchten. Einerseits könnten von Regierungsseite in bestimmten Ländern Regularien für das Soziale Netzwerk eingeführt werden, die das Schalten und Walten der Plattform einschränken. Andererseits läuft Facebook im Falle eines tatsächlichen Verstoßes gegen die DSGVO Gefahr eine immense Strafe zahlen zu müssen.

Ein Verstoß gegen die Verordnung kann mit bis zu vier Prozent des weltweiten jährlichen Einkommens geahndet werden – in Facebooks Fall ein Vermögen.

Was die DSGVO fordert

Artikel 33 der DSGVO erklärt:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. ²Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Die Meldung muss demnach unverzüglich geschehen und verschiedene Angaben beinhalten. Darunter etwa, wie die Verletzung aussieht, welche Folgen sie haben könnte und welchen Maßnahmen ergriffen werden sollen oder bereits ergriffen worden sind. Als passender Erwägungsgrund (87) wird in der Verordnung außerdem die Unverzüglichkeit der Meldung/ Benachrichtigung angeführt.

Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können. ²Bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, sollten die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person berücksichtigt werden. ³Die entsprechende Meldung kann zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen.

Während sich in den Kommentaren zum Facebook Blogpost die User fragen, warum das Problem nicht früher bekanntgegeben wurde, könnte die Erklärung darin liegen, dass Facebook nicht zu viele Datenlecks in einem kurzen Zeitraum veröffentlichen oder dass man erst die Situation unter Kontrolle bringen wollte. Da Facebook im Blogpost aber lediglich schreibt:

Our internal team discovered a photo API bug that may have affected people who used Facebook Login and granted permission to third-party apps to access their photos,

kann daran nicht festgemacht werden, wann der Fehler wirklich entdeckt wurde. Es ist jedoch anzunehmen, dass dies schon deutlich vor Zeit der Veröffentlichung geschah. Ist dies der Fall und wurde die Datenschutzbehörde in Irland nicht rechtzeitig benachrichtigt, könnte Facebook nun also auch mit EU-rechtlichen Problemen zu kämpfen haben. Grundsätzlich kann Lobby-Arbeit hier noch einiges richten. Doch wenn Facebook in dieser Frequenz mit Datenlecks und ähnlich schwerwiegenden Fehlern zu kämpfen hat, wird die Zahl der Fürsprecher künftig sicher abnehmen. Und mit Usern, wirklich engagierten Usern, die viele Daten preisgeben, dürfte es dann nicht anders aussehen. Der Ausgang der Ermittlung des DPC ist für die EU-Internetgesellschaft durchaus von großem Interesse.