Kanzlei Dr. Bahr
Navigation
Kategorie: Datenschutzrecht

Irische Datenschutzbehörde: 91 Mio. DSGVO-Geldbuße gegen Meta wegen unsicherer Speicherung von Passwörtern

Die Irische Datenschutzbehörde hat Meta wegen unverschlüsselter Speicherung von Passwörtern eine DSGVO-Geldbuße von 91 Mio. Euro auferlegt.

Wie die Irische Datenschutzbehörde in einer aktuellen Pressemitteilung erklärt, hat sie gegen das Social Media-Netzwerk Meta eine DSGVO-Geldbuße von 91 Mio. EUR verhängt, da teilweise User-Passwörter nicht verschlüsselt gespeichert worden waren. 

Im Jahr 2019 meldete Meta Ireland der Irischen Datenschutzbehörde, dass es Passwörter von Nutzern ohne Verschlüsselung im Klartext gespeichert hatte. 

Die Behörde verhängte ein Bußgeld iHv. rund 91 MIo. EUR, da Meta Vorgaben der DSGVO verletzt habe. da es versäumte, geeignete Sicherheitsmaßnahmen zu implementieren und die Datenschutzbehörde über den Vorfall rechtzeitig zu informieren:

"This inquiry was launched in April 2019, after MPIL notified the DPC that it had inadvertently stored certain passwords of social media users in ‘plaintext’ on its internal systems (i.e. without cryptographic protection or encryption).

The DPC submitted a draft decision to the other Concerned Supervisory Authorities across the EU/EEA in June 2024, as required under Article 60 of the GDPR. No objections to the draft decision were raised by the other authorities.

The decision, which was made by the Commissioners for Data Protection, Dr. Des Hogan and Dale Sunderland, and notified to MPIL yesterday September 26, includes a reprimand and a fine of €91million.

The DPC’s Decision records the following findings of infringement of the GDPR:
Article 33(1) GDPR, as MPIL failed to notify the DPC of a personal data breach concerning storage of user passwords in plaintext;
Article 33(5) GDPR, as MPIL failed to document personal data breaches concerning the storage of user passwords in plaintext;
Article 5(1)(f) GDPR, as MPIL did not use appropriate technical or organisational measures to ensure appropriate security of users’ passwords against unauthorised processing; and
Article 32(1) GDPR, because MPIL did not implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including the ability to ensure the ongoing confidentiality of user passwords."

Die Entscheidung ist nicht rechtskräftig.

Zurück zu den Artikeln

Diese Artikel könnten Sie auch interessieren:

23. Mai 2023

Irische Datenschutzbehörde: 1,2 Milliarden EUR Strafe für Meta wg. unerlaubtem US-Datentransfer

Artikel lesen
05. Januar 2023

Irische Datenschutzbehörde: 390 Mio. EUR DSGVO-Bußgeld gegen Meta wegen Facebook und Instagram

Artikel lesen
29. November 2022

Irische Datenschutzbehörde: 265 Mio. EUR DSGVO-Bußgeld gegen Meta wegen Facebook-Scraping

Artikel lesen
07. September 2022

Irische Datenschutzbehörde: 405 Mio. EUR DSGVO-Bußgeld gegen Instagram

Artikel lesen
21. März 2022

Irische Datenschutzbehörde: 17 Mio. 2EUR DSGVO-Bußgeld gegen Meta (Facebook)

Artikel lesen
03. September 2021

Irische Datenschutzbehörde verhängt gegen WhatsApp DSGVO-Bußgeld iHv. 225 Mio EUR.

Artikel lesen

Rechts-News durch­suchen

OLG Schleswig: Im B2C-Bereich beim Rechnungsversand per E-Mail Transportverschlüsselung unzureichend, Ende-zu-Ende-Verschlüsselung erforderlich

Datenschutzrecht
05. Februar 2025
Unternehmen müssen B2C-Rechnungen per E-Mail Ende-zu-Ende-verschlüsseln, da eine reine Transportverschlüsselung laut DSGVO nicht ausreicht.
ganzen Text lesen

BGH: Verwertung von "EncroChat"-Daten bei Cannabis-Handel möglich

Datenschutzrecht
31. Januar 2025
Der Bundesgerichtshof hat entschieden, dass "EncroChat"-Daten trotz Gesetzesänderung im Cannabishandel weiter als Beweismittel verwertbar sind.
ganzen Text lesen

BVerwG: Datenerhebung aus allgemein zugänglichen Quellen für Telefonmarketing nur dann erlaubt, wenn Opt-In für Call vorliegt

Datenschutzrecht
30. Januar 2025
Datensammlung aus öffentlichen Verzeichnissen für Telefonwerbung nur zulässig, wenn eine Einwilligung für Telefonanrufe vorliegt.
ganzen Text lesen

OLG Bamberg: Online-Plattform für Arbeitgeberbewertungen muss Daten zum Bewertenden nur bedingt preisgeben

Datenschutzrecht
29. Januar 2025
Ein Unternehmen kann keine Nutzerdaten von einer Bewertungsplattform verlangen, wenn die Kritik keine rechtswidrige Schmähkritik darstellt und auch…
ganzen Text lesen

Rechts-News durchsuchen