Datenschutzverletzungen entstehen nicht nur durch Hackerangriffe oder fehlerhafte IT‑Systeme. Manchmal können die Risiken mitten im Unternehmen verortet sein. Ein aktueller Fall aus Großbritannien zeigt eindrücklich, welche Gefahren von internen Zugriffen auf personenbezogene Daten ausgehen können.

Worum geht es?

Ein ehemaliger Mitarbeiter von Meta steht unter Verdacht, während seiner Beschäftigung ca. 30.000 private Facebook‑Bilder unbefugt heruntergeladen zu haben. Die strafrechtlichen Ermittlungen hierzu laufen, der Fall wirft aber schon jetzt grundlegende Fragen zu Zugriffsrechten, internen Kontrollen und der datenschutzrechtlichen Haftung auf. Nach Angaben der britischen Polizei soll der frühere Mitarbeiter ein eigenes Skript entwickelt haben, um interne Sicherheitssysteme von Meta zu umgehen. Das Ziel dabei war es, unberechtigt Zugriff auf private Bilder von Facebook‑Nutzern zu erhalten – ohne deren Wissen.

Meta selbst hatte den Vorfall offenbar vor über einem Jahr entdeckt und ist nach eigenen Angaben aktiv geworden. Der Mitarbeiter wurde umgehend entlassen, die betroffenen Nutzer wurden informiert, der Fall wurde den Strafverfolgungsbehörden gemeldet und die internen Sicherheitsmaßnahmen wurden nachgeschärft. Die polizeilichen Ermittlungen hierzu dauern an. Die britische Aufsichtsbehörde für den Datenschutz, das Information Commissioner’s Office (ICO) hat öffentlich erklärt, den Vorfall zur Kenntnis genommen zu haben. Eine eigenständige aufsichtsrechtliche Maßnahme oder ein Verfahren gegen Meta wurde bislang jedoch von der Behörde nicht angekündigt.

Der Fall hat eine gewisse Brisanz. In der Praxis werden die eigenen Beschäftigten als nicht zu unterschätzendes Risiko für den Schutz personenbezogener Daten gesehen. Dies liegt darin begründet, dass die Beschäftigten oftmals weitreichende Zugriffsrechte benötigen, um ihre Aufgaben zu erfüllen und die Berechtigungen teilweise nicht im erforderlichen Maß geregelt und dokumentiert sind. Je größer die Organisation ist, desto schwieriger wird eine lückenlose Kontrolle. Insbesondere bei datengetriebenen Plattformen wie Meta stellt sich daher die Frage:
Reichen die technischen und organisatorischen Maßnahmen tatsächlich aus, um Missbrauch durch Innentäter zu verhindern oder zumindest rechtzeitig zu erkennen?

Wann trifft die datenschutzrechtliche Haftung ein Unternehmen?

Interessant ist der Fall auch aus haftungsrechtlicher Sicht. Begeht nämlich ein Mitarbeiter eigenmächtig einen Datenschutzverstoß, haftet das Unternehmen nicht automatisch. Dies entspricht auch dem Wertungsmaßstab der DSGVO: Unternehmen sind für einen Datenschutzverstoß nur dann verantwortlich, wenn sie keine geeigneten technischen und organisatorischen Maßnahmen getroffen haben (Art. 32 DSGVO). Entscheidend ist weiterhin, ob der Zugriff verhindert oder zumindest erkannt werden konnte. Mit anderen Worten: Ein „Mitarbeiterexzess“ entlastet das Unternehmen nicht, führt aber auch nicht zwangsläufig zu einer Haftung – sofern angemessene Schutzmaßnahmen seitens der verantwortlichen Stelle getroffen wurden.

Wenn also Aufsichtsbehörden oder Gerichte im vorliegenden Fall zu dem Schluss kommen, dass Meta unzureichende Zugriffsbeschränkungen implementiert hatte und diese ungenügend überwacht wurden, drohen nicht nur Bußgelder, sondern auch Schadensersatzansprüche betroffener Nutzer gegen das Unternehmen.

Meta gibt an, die betroffenen Facebook‑Nutzer informiert zu haben. Dies ist nicht nur kommunikativ sinnvoll, sondern stellt eine datenschutzrechtliche Pflicht dar, sofern ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bestand (Art. 34 DSGVO). Bereits der Kontrollverlust über private Bilder kann ein hohes Risiko für die Rechte und Freiheiten der Betroffenen begründen, Betroffene müssten hierfür keinen konkreten Missbrauch ihrer Bilder nachweisen.

Brisant ist der Zeitpunkt des Vorfalls auch deshalb, weil Meta (zusammen mit Google) erst kürzlich vor einem US‑Gericht eine empfindliche Niederlage erlitten hat. Dort ging es zwar nicht um Datenschutz im engeren Sinne, sondern um die Verantwortung von Plattformen für psychische Schäden durch die Social‑Media‑Nutzung bei Minderjährigen – doch das zugrundeliegende Thema ist ähnlich gelagert: Wie weitreichend ist die Verantwortung großer Tech‑Konzerne für das, was auf und mit ihren Plattformen geschieht?

Fazit

Um derartige Vorfälle zu verhindern, sollten unternehmensinterne Risiken genauso ernst genommen werden wie externe Angriffe. Für Unternehmen ist dabei von zentraler Bedeutung, Zugriffs‑ und Kontrollmechanismen zu regeln und klar zu dokumentieren, damit eine Prüfung möglich wird. Wenn hierzulande ein derartiger Datenschutzverstoß passiert, empfiehlt es sich, eine entsprechende Meldekette im Unternehmen zu etablieren. Auf diese Weise kann die in Art. 33 Abs. 1 DSGVO festgelegte 72-Stundenfrist für die Meldung von Datenpannen bei der zuständigen Aufsichtsbehörde eingehalten werden. Ebenso können die Betroffenen unter den oben genannten Voraussetzungen über den Vorfall informiert werden.

| | | , , , , , | 1 Kommentar