Der irische Datenschutzbeauftragte wird Instagram mit einer Geldstrafe in Höhe von 402 Millionen Dollar belegen. Stein des Anstoßes ist der Umgang mit personenbezogenen Daten von Minderjährigen: Standardeinstellungen in der Instagram-App haben dafür gesorgt, dass die Telefonnummern und E-Mail-Adressen von Nutzern im Alter zwischen 13 und 17 Jahren nach einer Umstellung von einem Privat- auf ein Geschäftskonto offengelegt wurden.
Die Instagram-Mutter Meta hat bereits angekündigt, gegen die Entscheidung der irischen Datenschutzbehörde Berufung einlegen zu wollen. Nach dem 739-Millionen-Dollar-Bußgeld, das die Datenschutzwächter in Luxemburg gegen Amazon verhängt haben, wäre die Millionenstrafe für Instagram die bislang zweithöchste, die von EU-Datenschutzbehörden verhängt wurde. Die irische Datenschutzbehörde will in den kommenden Tagen alle Details zu ihrer Entscheidung veröffentlichen.
Instagram is being hit with the second-largest European Union privacy fine for allegedly mishandling data about children https://t.co/PJ8HSquhkj
— The Wall Street Journal (@WSJ) September 5, 2022
Konfigurationsfehler - gefährlicher als Hacker?
Grundlage für die Entscheidung der Regulatoren bildet eine Studie aus dem Jahr 2019. Die förderte zutage, dass ein großer Teil der 60 Millionen Instagram-Nutzer (die zu diesem Zeitpunkt unter 18 Jahre alt waren) ihre persönlichen Konten in Geschäftskonten umgewandelt hatten, um Einblicke in die Anzahl der Aufrufe bestimmter Posts und die Anzahl der Profilansichten zu erhalten, wie die Washington Post berichtet. Das Problem: Die Standardeinstellung sah bei Geschäftskonten vor, E-Mail und Telefonnummer öffentlich zugänglich zu machen. Inzwischen hat Instagram seine Datenschutzeinstellungen aktualisiert und erklärt, "voll und ganz" mit der irischen Datenschutzbehörde zu kooperieren - trotzdem man mit der Art und Weise, wie die Geldstrafe berechnet wurde, nicht einverstanden sei.
Laut Rob Shavell, Mitbegründer und CEO des US-Datenschutzspezialisten DeleteMe, sollten Unternehmen in Zukunft mit weiteren Regulierungsmaßnahmen rechnen, sofern ihre Datenschutzsysteme nicht bereits auf hohem Niveau funktionieren - doch auch die Nutzer seien gefordert: "Es handelt sich hierbei nicht um einen klassischen Datenschutzverstoß, sondern um Informationen, die durch die vorsätzliche Vernachlässigung von Voreinstellungen und ähnlichen Dingen preisgegeben wurden. Sowohl Datenmakler als auch Inhaber von personenbezogenen Daten sollten sich auf eine nahende Regulierungswelle vorbereiten. Insbesondere Letztgenannte sollten sich darüber im Klaren sein, dass die größte Bedrohung für ihre Kundendaten nicht in einem böswilligen Hackerangriff besteht, sondern in einfachen Konfigurationsfehlern, die es ermöglichen, dass Daten aus dem Internet abgegriffen und von Maklern verkauft werden." (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.