Dublin – Von den fast 50 Millionen von einem Hacker-Angriff betroffenen Facebook-Nutzer stammen weniger als zehn Prozent aus der Europäischen Union. Das teilte die zuständige irische Datenschutzbehörde am Montagabend bei Twitter mit. Facebook habe zugesichert, «bald» ausführlichere Informationen liefern zu können, hiess es in der knappen Stellungnahme weiter.
Facebook hatte am Freitag mitgeteilt, dass unbekannte Angreifer vollen Zugriff auf fast 50 Millionen Profile bei dem Online-Netzwerk erlangt hatten. Die Basis dafür war der Diebstahl digitaler Schlüssel, mit denen man in einen Account kommt, ohne dafür das Passwort eingeben zu müssen. Die Hacker hätten auch Zugang zu anderen Online-Diensten bekommen können, bei denen sich die Nutzer mit ihrem Facebook-Login anmeldeten, räumte Facebook ein. Die Lücke sei am Donnerstag geschlossen worden. Nach bisherigen Erkenntnissen hätten die Angreifer nicht versucht, private Nachrichten abzurufen oder etwas im Namen der Nutzer bei Facebook zu posten, hiess es.
Bei DSGVO-Verstössen drohen happige Bussen
Facebook hatte die irischen Datenschützer bereits vergangene Woche unterrichtet. Die neue EU-Datenschutzgrundverordnung (DSGVO) sieht eine Benachrichtigung der Behörden binnen drei Tagen vor. Unternehmen drohen nach der DSGVO bei Verstössen gegen Datenschutzregeln Strafen von bis zu vier Prozent des Jahresumsatzes – das wären im Fall von Facebook 1,6 Milliarden Dollar nach Zahlen von 2017.
Die Stellungnahme der irischen Datenschützer zeugt davon, dass Facebook ihnen etwas mehr Informationen gab als der Öffentlichkeit. Am Freitag hiess es noch bei Fragen nach der regionalen Verteilung der Betroffenen, die Attacke sei breit gestreut gewesen, und Facebook habe bisher keinen Fokus auf bestimmte Gegenden oder Nutzergruppen feststellen können.
Irland moniert fehlende Details in Facebook-Meldung
Ein Sprecher der irischen Datenschutzbehörde sagte der «Financial Times», sie müsse vor der Eröffnung eines offiziellen Ermittlungsverfahrens zunächst noch Informationen sammeln und entscheiden, welche Punkte der DSGVO dabei im Mittelpunkt stehen sollen. Dieser Prozess laufe jetzt. Facebook habe die Behörde zwar schnell unterrichtet, in der Mitteilung habe es aber an Details gefehlt. Facebook hatte am Freitag betont, dass das Online-Netzwerk selbst erst am Anfang seiner Untersuchungen zu dem Hacker-Angriff stehe. Unter anderem sei unklar, wer die Täter seien – und man werde es möglicherweise auch nie erfahren.
Die für Justiz und Verbraucherschutz zuständige EU-Kommissarin Vera Jourová hatte Facebook bereits am Sonntag aufgefordert, uneingeschränkt mit der irischen Behörde zu kooperieren. Man müsse erfahren, was mit Daten betroffener europäischer Nutzer passiert sei. Jourová fügte ihrem Tweet hilfreicherweise gleich einen Link mit einer Zusammenfassung der Pflichten eines Unternehmens bei Entdeckung eines Datendiebstahls hinzu. (awp/mc/ps)