Facebook und sein jüngster Sicherheitsvorfall

Facebook und sein jüngster Sicherheitsvorfall

Am 04.10.2021 entstand weltweit Verwirrung. Der Grund war Facebook und sein jüngster Sicherheitsvorfall. Facebook war ausgefallen. WhatsApp funktionierte nicht. Instagram konnte nicht genutzt werden. Was war allerdings der Hintergrund dieses Ausfalles? Handelt es sich hierbei um eine Datenpanne? Wenn ja, ist es eine, die Facebook der Datenschutzaufsichtsbehörde melden muss?

Die Definition einer Datenpanne

Eine Datenpanne – die DSGVO nennt es gemäß Art. 4 Nr. 12 DSGVO eine „Verletzung des Schutzes personenbezogener Daten“ – ist ein Ereignis, bei dem es zu einer Vernichtung, einem Verlust, einer Veränderung, einer Offenlegung oder einem Zugang zu Daten kommt, die unbefugt ist. Mehr zu diesem Thema können Sie gern in unserem Beitrag „Meldung einer Datenpanne“ nachlesen.

Handelt es sich bei dem Vorfall bei Facebook um eine Datenpanne?

Facebook klärte die Öffentlichkeit darüber auf, dass es sich bei dem sechsstündigen Ausfall um das Ergebnis einer fehlerhaften Änderung der Netzwerkkonfiguration handelte. Weitere Details liefert Facebook in dem Beitrag hier. Des Weiteren versicherte Facebook, dass keine unbefugte Verarbeitung personenbezogener Daten vorlag, die als Datenpanne zu definieren wäre. Demnach soll der Ausfall nicht das Werk eines Hackers gewesen sein. Auch soll es nicht zu einer anderen Art unbefugter Verarbeitung personenbezogener Daten gekommen sein.

Wenn es sich nun aber wohl nicht um einen Datenschutzvorfall handelt, ist doch eigentlich alles in Ordnung, oder? Nun, nicht ganz.

Wenn es keine Datenpanne war, was war es?

Problematisch ist der Ausfall der Facebook-Dienste dennoch in verschiedener Hinsicht. Es mag sich ja hierbei nicht um eine Datenpanne gemäß der DSGVO handeln, jedoch stellt der Ausfall einen IT-Sicherheitsvorfall dar. Das Wort IT-Sicherheitsvorfall ist weniger ein Begriff der DSGVO, sondern eines der Informationstechnik. Demnach liegt ein IT-Sicherheitsvorfall vor, wenn die Vertraulichkeit, Verfügbarkeit oder/und Integrität der Informationen, Geschäftsprozesse, IT-Dienste, -Systeme oder -Anwendungen beeinträchtigt sind. Wie eine große Anzahl von Menschen feststellen konnte (z. B. nach einem Bericht hier), war die Verfügbarkeit ihrer Daten gestört.

Die Problematik im Zusammenhang mit der DSGVO

Schauen wir uns Art. 32 DSGVO, genauer Art. 32 Abs. 1 litt. b) und c) DSGVO, an: Demnach hat ein Verantwortlicher – in diesem Fall Facebook – sicherzustellen, dass die Verfügbarkeit der Daten und die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung gegeben ist (Art. 32 Abs. 1 lit. b) DSGVO). Des Weiteren muss Facebook Maßnahmen ergreifen, um die Verfügbarkeit der personenbezogenen Daten bei einem Vorfall rasch wiederherstellen zu können.

Die Gewährleistung der Verfügbarkeit der Daten (Art. 32 Abs. 1 lit. b) DSGVO)

Bei dem Vorfall lag eindeutig eine Störung vor. Nutzer hatten weltweit nicht die Möglichkeit, auf ihre Daten zuzugreifen. Sie konnten also beispielsweise Daten nicht berichtigen, nicht löschen, die Sichtbarkeit ihres Profils oder Teile dessen nicht einschränken oder auch nicht einsehen etc.

Die Gewährleistung der raschen Wiederherstellbarkeit der Verfügbarkeit (Art. 32 Abs. 1 lit. c) DSGVO)

Der Ausfall der Dienste dauerte sechs Stunden an. Demnach waren die Daten den Nutzer währenddessen nicht verfügbar. Nun lässt es sich allerdings darüber streiten, ob eine Dauer eines Ausfalles von sechs Stunden für einen Anbieter eines sozialen Netzwerkes wie Facebook lang ist. Einige mögen also sagen, das die wiederhergestellte Verfügbarkeit der Daten nach sechs Stunden als rasch einzustufen ist – so auch Facebooks Einschätzung selbst -, während andere Personen gegensätzlicher Meinung sein könnten.

Nächste Schritte bei Facebook

Facebook berichtete, dass das Unternehmen im Voraus schon Systemausfallsimulationen durchgeführt habe, um für solche Ereignisse gewappnet zu sein, um zu wissen, wie zu reagieren und was zu unternehmen ist, um einen (größeren) Schaden zu vermeiden.. Es wurden also Maßnahmen ergriffen, um eine IT-Sicherheitsvorfälle und Datenpannen zu vermeiden bzw. diese schnellstmöglich zu beseitigen. Wie der Fall von Facebook zeigte, kann ein Verantwortlicher solche Vorkommen leider nie ausschließen.

Regelmäßige Tests, Überprüfungen und (Neu-)Bewertung der technischen und organisatorischen Maßnahmen (Art. 6 Abs. 1 lit. d) DSGVO)

Dies gehört auch zu den technischen und organisatorischen Maßnahmen: in regelmäßigen Abständen oder durch einen Auslöser eines IT-Sicherheitsvorfalles oder einer Datenpanne außerplanmäßige Neueinschätzungen der ergriffenen Maßnahmen und gegebenenfalls Anpassung dieser. Dabei verweisen wir auch auf den PDCA-Zyklus, also der kontinuierlichen Planung (Plan), Umsetzung (Do), Kontrolle (Check) und Verbesserung (Act) der Sicherheitsprozesse in einer Einrichtung – mehr dazu hier.

Weiterführende Gedanken

Facebook hatte in der Vergangenheit schon mehrere Vorfälle, die den Eindruck entstehen ließen, dass das Unternehmen, den Datenschutz und die -sicherheit nicht so ernst nimmt. Der letzte Vorfall ist wahrscheinlich keiner der Sorte, die Facebook in irgendeiner Weise antizipiert hat. Dem Unternehmen entgingen dadurch Einnahmen – das wahrscheinlich in indirekter als auch direkter Weise – und das schon angeschlagene Unternehmensbild bekam noch einen weiteren Riss in der Fassade. Des Weiteren zeigte sich auch, wie viel Datenaustausch zwischen den einzelnen Diensten inzwischen schon stattfindet: Haben dem die Nutzer zugestimmt? Weiterführend mag nun so mancher Nutzer und Datenschützer überlegen, wie viele personenbezogene Daten europäischer Bürger (noch) in die USA, die derzeit als unsicheres Drittland gilt, übermittelt werden.  – Siehe hierzu „Facebook-Fanpage – (K)Eine gute Idee?“ – Es kann ebenfalls eine Datenschutzaufsichtsbehörde die Verarbeitung personenbezogener Daten durch Facebook untersuchen wollen. Wer weiß, was sie dabei entdeckt und welche weiteren Bußgelder drohen könnten.

Fazit

Egal, um welche Art Einrichtung es sich bei Ihnen handelt, solch ein Ereignis kann auch bei Ihnen eintreten. Um sich dafür zu wappnen, empfehlen wir (sofern nicht schon umgesetzt), ein Datenschutz-Management-System zu implementieren. Dies beinhaltet die Einschätzung der Verarbeitungsvorgänge und deren Risiken für die Rechte und Freiheiten betroffener Personen dabei. Anhand dieser Einschätzung sind Sie dann in der Lage, die für die jeweilige Verarbeitung angemessenen technischen und organisatorischen Maßnahmen zu ergreifen. So können Sie mögliche Bußgelder durch Datenschutzaufsichtsbehörden, Schadensersatzansprüche durch Betroffene und Abmahnungen durch die Konkurrenz vermeiden bzw. dem Eintreten eines Vorfalles und eines möglichen Schadens idealerweise entgegenwirken.

Den Datenschutz und die DSGVO müssen Sie nicht im Alleingang in Ihrer Einrichtung umsetzen. Wir können Ihnen dabei helfen. Kontaktieren Sie uns dazu: Gern erstellen wir Ihnen ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.