Hamburg setzt Rekordstrafe für Instagram durch

Vor allem bei Jugendlichen ist die Foto-Plattform Instagram beliebt. Ihre privaten Fotos und Daten, darunter Telefonnummern, waren laut Datenschützern in vielen Fällen öffentlich. (Symbolbild) © picture alliance / Zoonar | Oleksandr Latkun

Hamburg. Das Unternehmen soll massenhaft private Daten von Jugendlichen öffentlich zugänglich gemacht haben. Nun muss der Konzern zahlen.

Es ist das bisher höchste Bußgeld, das gegen den Facebook-, WhatsApp- und Instagram-Mutterkonzern Meta verhängt wurde – zumindest in Europa. 405 Millionen Euro soll das Unternehmen an die irischen Behörden zahlen, weil es mit seiner Fotoplattform Instagram massenhaft private Daten von Jugendlichen öffentlich zugänglich gemacht haben soll.

405 Millionen Euro! Instagram muss Rekordstrafe zahlen

Dabei geht die drakonische Strafe auch auf die Arbeit des früheren Hamburger Datenschutzbeauftragten Johannes Caspar und seines Nachfolgers Thomas Fuchs zurück. Die Hamburger Datenschutzbeauftragten transportierten nämlich nach eigenen Angaben eine Beschwerde über den gravierenden Datenschutzverstoß mit durch die europäischen Instanzen – und erreichten schließlich eine wegweisende Entscheidung des europäischen Datenschutzausschusses (EDSA).

Diese wurde nun in Irland mit hohen Geldbußen umgesetzt. Ein US-Bürger hatte sich eigens an die Hamburger Behörde gewandt, weil diese den Ruf habe, auch gegen Riesenkonzerne wie Meta hart und konsequent vorzugehen, wenn sie gegen Datenschutzvorgaben verstießen, hieß es.

Der Hamburgische Beauftragte für Datenschutz, Thomas Fuchs. © Roland Magunia/Hamburger Abendblatt | Roland Magunia/Hamburger Abendblatt

Hintergrund der Entscheidung ist nach Auskunft des aktuellen Hamburger Datenschutzbeauftragten Fuchs eine Umstellung der Konten bei Instagram im Jahr 2016. Damals habe die Plattform Business-Konten mit einigen zusätzlichen Möglichkeiten eingeführt – gedacht vor allem für sogenannte Influencer, also Menschen mit hoher Reichweite, die oft auch für kommerzielle Produkte werben.

Ein Knopfdruck – und die Kontaktdaten der Jugendlichen waren einsehbar

Ein Wechsel vom normalen zum Business-Konto sei quasi per Knopfdruck möglich gewesen – auch für Jugendliche im Alter von 13 bis 17 Jahren. Eine Folge der Kontoumstellung sei gewesen, dass auch auf „privat“ gestellte Accounts, deren Bilder bis dahin nur zugelassene Freunde sehen konnten, nun vollständig öffentlich und für alle Nutzer sichtbar gewesen seien. Zudem seien Kontaktdaten auch der Jugendlichen einsehbar gewesen, inkl. Telefonnummern und E-Mail-Adressen.

Instagram habe es allen Nutzenden ohne zusätzliche Altersbeschränkung erlaubt, von einem persönlichen zu einem Business-Account zu wechseln, so der Hamburger Datenschutzbeauftragte Fuchs. Ein IT-interessierter US-Bürger habe festgestellt, dass die Kontaktinformationen von Business-Konten beim Aufruf per Web-Browser im Quellcode der Seite einsehbar waren. Dies habe etwa jedes dritte Konto in Europa betroffen.

Instagram muss Rekordstrafe von 405 Millionen Euro zahlen

„Erkennbar befanden sich darunter viele Nutzerinnen und Nutzer im Alter zwischen 13 und 17 Jahren“, so Fuchs. Offenbar sei vielen die Bedeutung des Wechsels zu einem Business-Konto nicht bewusst gewesen. „Im Ergebnis waren die Kontaktdaten Minderjähriger für jeden abrufbar“, sagte Fuchs dem Abendblatt.

Der amerikanische IT-Experte habe das Problem bei Instagram gemeldet und zugleich eine „Datensicherheitsverletzung“ bei der Aufsichtsbehörde in Irland angezeigt, wo der Metakonzern seinen europäischen Sitz hat. Den irischen Behörden wird gelegentlich vorgeworfen, nachsichtig mit dem Unternehmen umzugehen. Das war offenbar auch in diesem Fall so.

Nachdem ihm die erste Reaktion der Iren nicht deutlich genug ausgefallen war, wandte sich der Beschwerdeführer im Juli 2019 jedenfalls zusätzlich an den „Hamburgischen Datenschutzbeauftragten“, seinerzeit noch Johannes Caspar. Der richtete sich an die irische Datenschutzbehörde IDPC, die laut einem Ende 2021 vorgestellten Beschlussentwurf schließlich doch eine Verwarnung und Bußgelder aussprach. Auch dieser ging den deutschen Datenschützern jedoch nicht weit genug – und der Hamburger Datenschutzbeauftragte, inzwischen schon Thomas Fuchs, legte zusammen mit anderen deutschen Aufsichtsbehörden Einspruch beim Europäischen Datenschutzausschuss ein.

Minderjährige müssen bei der Nutzung von sozialen Netzwerken besonders geschützt werden

Das war möglich, weil „Entscheidungen von grenzüberschreitender Bedeutung“ unter den europäischen Aufsichtsbehörden abgestimmt oder auch gemeinsam gefasst werden müssen. Dabei machten Fuchs und seine Kollegen auch weitere Verstöße gegen die 2018 in Europa eingeführte Datenschutzgrundverordnung (DSGVO) geltend. Der EDSA gab Fuchs und den anderen Datenschützern in wesentlichen Punkten recht und erhöhte das Bußgeld. Umgesetzt wurden die Vorgaben nun wiederum von den irischen Behörden – im Ergebnis mit dem Rekordbußgeld von 405 Millionen Euro. Der Metakonzern hat bereits verlauten lassen, die Entscheidung anfechten zu wollen.

Das hohe Bußgeld sei „eine gute Entscheidung der irischen Kollegen, an der mein Haus maßgeblich beteiligt war“, sagte Datenschutzbeauftragter Thomas Fuchs dem Abendblatt. „Es zeigt, dass es sich lohnt,sich in den europäischen Entscheidungsprozessen hartnäckig und mit Sachverstand zu engagieren.“

Minderjährige müssten bei der Nutzung von sozialen Netzwerken besonders geschützt werden. Diese seien von Instagram jedoch „erheblichen Risiken für ihre Privatsphäre ausgesetzt“ worden, „indem Telefonnummern und E-Mail-Adressen für jeden abrufbar waren“, so Fuchs. Die irische Entscheidung sei auch „im Sinne der betroffenen Personen, die sich darauf verlassen können, dass ihre Rechte und Freiheiten europaweit gleichermaßen geschützt werden“.