Auslöser war ein Datenleck, das im September 2018 rund 29 Mio. Facebook-Konten weltweit betraf, darunter drei Mio. Konten in der Europäischen Union. Unbefugte nutzten eine Sicherheitslücke, um auf persönliche Daten wie Namen, E‑Mail‑Adressen, Telefonnummern, Wohnort, Arbeitsplatz, religiöse Ansichten und politische Meinungen der betroffenen Facebook-Nutzerinnen und -Nutzer zuzugreifen.
Nach Ansicht der DPC verstieß Meta in der Vergangenheit mehrfach gegen die Vorgaben der DSGVO. Konkret bemängelte die Behörde unzureichende Informationen bei der Meldung des Vorfalls, eine unvollständige Dokumentation sowie fehlende Datenschutzprinzipien bei der Systemgestaltung. Neben mehreren Rügen verhängte die DPC auch Bußgelder, darunter acht Mio. Euro wegen unzureichender Angaben bei der Vorfallmeldung und 130 Mio. Euro wegen Verstößen gegen die datenschutzfreundliche Systemgestaltung.
Die vollständige Urteilsbegründung wird die DPC zu einem späteren Zeitpunkt veröffentlichen.
Weitere Informationen sind der Pressemitteilung der DPC (in englischer Sprache) zu entnehmen. (VS)