Pres­se­mit­tei­lung des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit vom 21.03.2019

Der aktu­el­le Skan­dal belegt, dass Face­book das The­ma Daten­schutz immer noch stief­müt­ter­lich behan­delt. Gera­de weil die Face­book-Zugangs­da­ten auch für vie­le ande­re Dien­ste als Authen­ti­fi­zie­rungs­mög­lich­keit genutzt wer­den kön­nen, soll­ten Nut­zer des sozia­len Netz­werks unbe­dingt ihre Pass­wör­ter ändern.

Bei Ulrich Kel­ber, dem Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit, hat der erneu­te Skan­dal vor allem Kopf­schüt­teln aus­ge­löst: „Es ist zwar trau­rig, aber ein Daten­schutz­vor­fall bei Face­book ist mitt­ler­wei­le lei­der kei­ne gro­ße Über­ra­schung mehr. Skan­da­lös ist aller­dings, dass einer der welt­weit größ­ten IT-Kon­zer­ne offen­sicht­lich nicht weiß, wie Kun­den­pass­wör­ter gespei­chert wer­den müs­sen. Damit setzt Face­book sei­ne Kun­den einem unnö­ti­gen Risi­ko aus. Das ist in etwa so, wie wenn sich Fahr­gä­ste in einem Taxi nicht anschnal­len kön­nen, weil der Fah­rer nicht weiß, wie ein Sicher­heits­gurt funk­tio­niert.“

Da Unter­neh­men beim Anmel­de­pro­zess ledig­lich über­prü­fen müs­sen, ob Zugangs­ken­nung und Pass­wort zuein­an­der pas­sen, ist es Stand der Tech­nik, Pass­wör­ter regel­mä­ßig nur in ver­schlüs­sel­ter Form zu spei­chern, bei­spiels­wei­se als Hash­wert. Bei einem ähn­lich gela­ger­ten Fall hat­te der Lan­des­da­ten­schutz­be­auf­trag­te in Baden-Würt­tem­berg vor eini­gen Mona­ten aus die­sem Grund ein deut­sches Unter­neh­men mit einer Geld­bu­ße belegt.

Der BfDI ist sich daher sicher, dass auch der vor­lie­gen­de Fall peni­bel von den Daten­schutz­auf­sichts­be­hör­den unter­sucht wer­den wird: „Zum einen muss geklärt wer­den, ob Face­book vor­lie­gend gegen Mel­de­vor­schrif­ten nach der Daten­schutz-Grund­ver­ord­nung ver­sto­ßen hat. Das Pro­blem scheint ja bereits seit Janu­ar bekannt gewe­sen zu sein. Unab­hän­gig davon wird die in Euro­pa zustän­di­ge Iri­sche Daten­schutz­be­auf­trag­te sicher­lich die Ein­lei­tung eines Buß­geld­ver­fah­rens prü­fen. Und schließ­lich wer­den wir auch im Euro­päi­schen Daten­schutz­aus­schuss über den Fall dis­ku­tie­ren.“

Face­book hat­te heu­te bekannt gege­ben, dass über Jah­re hin­weg die Pass­wör­ter von hun­der­ten Mil­lio­nen Kun­den unver­schlüs­selt auf inter­nen Ser­vern lagen und so für mehr als 20.000 Mit­ar­bei­ter zugäng­lich waren. Beson­ders kri­tisch ist der Fall, weil die­se Daten nicht nur für den Zugang zum sozia­len Netz­werk selbst, son­dern auch als soge­nann­tes Sin­gle Sign-On genutzt wer­den kön­nen. Vie­le wei­te­re Apps oder Online-Dien­ste ermög­li­chen es, sich mit den Face­book-Zugangs­da­ten bei ihnen anzu­mel­den. So gewäh­ren die Daten poten­ti­ell auch den Zugriff auf wei­te­re gege­be­nen­falls sehr sen­si­ble Daten, etwa aus Gesund­heits-Apps. Face­book-Nut­zer soll­ten daher drin­gend ihr Pass­wort ändern. Tipps für siche­re Pass­wör­ter fin­den sich bei­spiels­wei­se auf der Web­site des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik.

Die Pres­se­mit­tei­lun­gen des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit kön­nen hier abge­ru­fen wer­den.