Ein Mitarbeiter von Meta soll bei der Arbeit heimlich 30.000 private Bilder von Facebook-Nutzern heruntergeladen haben. Der Londoner soll ein selbst geschriebenes Computerprogramm verwendet haben, welches die internen Sicherheitsvorkehrungen umging und ihn unerkannt auf das Material zugreifen ließ. Als er damit aufflog, feuerte ihn Meta sofort und informierte die Polizei.
Ihm wird nun ein Eingriff in die Privatsphäre etlicher Facebook-Nutzer vorgeworfen. Ein Vergehen, das in Großbritannien mit verschiedenen Gesetzen geregelt wird, etwa der britischen Datenschutzverordnung oder dem Data Protection Act.
Meta bestätigt den Vorfall
Der Vorfall ereignete sich schon vor über einem Jahr, wurde allerdings erst jetzt bekannt, nachdem Journalisten der britischen Mediengruppe Press Association entsprechende Gerichtsdokumente einsehen konnten. Während Cybercrime-Spezialisten in dem Fall weiterermitteln, ist der Mann unter Auflagen frei. Meta bestätigte den Fall der britischen Zeitung The Guardian. Die betroffenen Facebook-Nutzer seien demnach umgehend informiert worden. Ein Meta-Sprecher sagte außerdem, dass die internen Sicherheitsvorkehrungen nach dem Vorfall umgehend verbessert worden seien und der Konzern bei den Ermittlungen mit den Behörden kooperiere. In welchem Bereich der Beschuldigte bei Meta tätig war, ist nicht bekannt.
Der Jon Baines, Datenschutzspezialist der Rechtsberatung Mishcon de Reya, gab dem Guardian eine generelle Einschätzung, wie es für Unternehmen rechtlich aussieht, wenn einzelne Beschäftigte Verstöße wie im Fall des verdächtigen Ex-Meta-Mitarbeiters begehen. „Grundsätzlich gilt: Sofern der Arbeitgeber – in diesem Fall Meta – über angemessene technische und organisatorische Maßnahmen verfügt, um unbefugten Zugriff zu verhindern oder zumindest aufzudecken, haftet er nicht selbst“, erklärt Baines. Das Gesetz ziele nicht darauf ab, verantwortliche Organisationen für die Handlungen von korrupten Mitarbeitern zu bestrafen.
„Sollte jedoch der Datenschutzbeauftragte – oder ein Gericht – entscheiden, dass Meta keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Kundendaten getroffen hat, könnte Meta (oder eine andere Organisation unter ähnlichen Umständen) möglicherweise mit erheblichen Geldstrafen oder Schadensersatzansprüchen belegt werden“, erklärt Baines weiter.
Hierzulande läuft bereits eine große Sammelklage aufgrund einer anderen großen Datenpanne. Zwischen Mai 2018 und September 2019 waren Daten von mehr als 530 Millionen Nutzern in die Hände von Kriminellen geraten. 2021 tauchten sie dann im Darknet auf. Der „Verbraucherzentrale Bundesverband“ (vzbv) wirft Meta in Irland unter anderem Verstöße gegen das Datenschutzrecht vor. Der Musterfeststellungsklage haben sich nach Angaben des Anwalts inzwischen 27.000 Menschen angeschlossen. Aktuell steht ein Vergleich im Raum, der millionenschwer ausfallen dürfte. Beide Seiten können nun in den kommenden Wochen darüber beraten.
(nen)
English (US) ·