Es gäbe keine Hinweise, dass intern missbräuchlich auf diese Daten zugegriffen worden sei, so der Konzern. Von außerhalb habe keiner auf die Passwörter zugreifen können. Gleichwohl will Facebook die Betroffenen benachrichtigen. Dies seine eine Vorsichtsmaßnahme, so Facebook. Der Fehler sei bei einer Routineprüfung im Januar aufgefallen und inzwischen behoben worden. Wann genau der Fehler behoben worden ist, ließ Facebook offen.
Gravierender DSGVO-Verstoß
Nach den Bestimmungen der DSGVO (Art. 32 Abs. 1 lit a DSGVO) müssen die Passwörter verschlüsselt gespeichert werden. Der Landesdatenschutzbeauftragte Baden-Württemberg hatte Ende 2018 gegen den Social-Media-Anbieter Knuddel eine Geldbuße in Höhe von 20.000,- Euro verhängt, weil diese die Passwörter - wie Facebook auch - unverschlüsselt gespeichert hatte. Knuddel hat laut Jahresabschlussbericht für das Jahr 2016 Umsatzerlöse von etwa 1,7 Millionen Euro erwirtschaftet und verfügt über etwa 2 Millionen Mitglieder. Allerdings waren im Fall Knuddel die im Klartext gespeicherten Passwörter - anders als offenbar bei Facebook - im Netz aufgetaucht.
Meldepflicht bei Datenpanne
Ereignet sich eine solche Datenpanne muss die verarbeitende Stelle das Ereignis der zuständigen Datenschutzbehörde melden. Ob auch Nutzer im Geltungsbereich der EU betroffen sind, ist bisher ebenso wenig bekannt wie der Umstand, ob in dem Fall Facebook bereits eine europäische Datenschutzbehörde tätig geworden ist. Das Bußgeld war im Fall Knuddel mit 20.000 EUR deshalb so niedrig ausgefallen, weil das Netzwerk nach Angaben der baden-württembergischen Datenschützer Vorbild agiert habe. Facebook steht seit Jahren in Bezug auf den Umgang mit personenbezogenen Daten in Kritik.