Der ehemalige WhatsApp-Sicherheitschef reicht Klage wegen Datenschutzverstößen bei Meta ein

Ein ehemaliger Mitarbeiter von Meta hat Klage eingereicht und dem Unternehmen vorgeworfen, bei WhatsApp „systemische Cybersicherheitslücken“ zugelassen zu haben, die die Privatsphäre der Nutzer gefährdeten.

Die am Montag beim US-Bezirksgericht für den nördlichen Bezirk von Kalifornien eingereichte Klage stammt von Attaullah Baig, dem ehemaligen Sicherheitschef von WhatsApp. Baig wirft Meta vor, sich an ihm gerächt zu haben, nachdem er Bedenken geäußert hatte, unter anderem direkt gegenüber CEO Mark Zuckerberg, hinsichtlich schwerwiegender Sicherheitslücken in der Messaging-App.

Der ehemalige WhatsApp-Sicherheitschef behauptet, Meta habe Datenschutzrisiken ignoriert

In der Klage, die beim US-Bezirksgericht für den nördlichen Bezirk von Kalifornien eingereicht wurde, wird behauptet, dass Baig nach seinem Eintritt bei WhatsApp im Jahr 2021 Sicherheitslücken aufdeckte, die gegen Bundeswertpapiergesetze und Metas Verpflichtungen aus einem 2020 mit der Federal Trade Commission (FTC) geschlossenen Datenschutzvergleich.

Der Fall ereignet sich vor dem Hintergrund der umfassenderen Rechtsstreitigkeiten von Meta, darunter der jüngste Antrag an einen US-Bundesrichter, die Kartellklage der FTC abzuweisen. In dieser Klage wird Meta vorgeworfen, durch die Übernahme von Instagram und WhatsApp seine Marktmacht im Bereich der sozialen Medien unrechtmäßig ausgebaut zu haben.

Meta verteidigt sich damit, dass die FTC nicht ausreichend Beweise dafür vorgelegt habe, dass die Übernahmen wettbewerbswidrig oder verbraucherschädigend gewesen seien. Das Unternehmen argumentiert, dass Instagram und WhatsApp unter seiner Führung floriert hätten und von erheblichen Investitionen, verbesserter Sicherheit und erweiterten Funktionen profitiert hätten. Wie Cryptopolitander FTC zurück defiund betont, dass Plattformen wie TikTok, YouTube und Reddit direkt um die Aufmerksamkeit der Nutzer konkurrieren.

Im vorliegenden Fall behauptete Baig, bei einem Sicherheitstest mit dem zentralen Team von Meta festgestellt zu haben, dass etwa 1.500 WhatsApp-Entwickler uneingeschränkten Zugriff auf sensible Nutzerdaten hatten und diese unbemerkt oder ohne Protokollierung verschieben oder stehlen konnten. Meta wies Baigs Anschuldigungen in einer Stellungnahme zurück und versuchte, seine Position und Verantwortung herunterzuspielen.

„Leider handelt es sich hierbei um ein bekanntes Muster: Ein ehemaliger Mitarbeiter wird wegen mangelnder Leistung entlassen und verbreitet anschließend verzerrte Behauptungen, die die anhaltende harte Arbeit unseres Teams falsch darstellen“, schrieb der Sprecher. „Sicherheit ist ein konfrontatives Feld, und wir sind stolz darauf, unseretronErfahrung im Schutz der Privatsphäre weiter auszubauen.“

Die Whistleblower-Organisation Psst.org vertritt Baig zusammen mit der Anwaltskanzlei Schonbrun, Seplow, Harris, Hoffman & Zeldes.  Die Klage behauptet zwar nicht, dass Nutzerdaten direkt kompromittiert wurden, aber sie wirft Baig vor, seine Vorgesetzten wiederholt vor den Cybersicherheitslücken von WhatsApp gewarnt zu haben, die erhebliche Risiken für die Einhaltung gesetzlicher Vorschriften mit sich brächten.

Als Probleme werden das Fehlen eines für die Größe der Plattform angemessenen 24-Stunden-Sicherheitsbetriebszentrums, unzureichende Systeme zur tracdes Mitarbeiterzugriffs auf Benutzerdaten und das Fehlen eines umfassenden Verzeichnisses der Datenspeichersysteme genannt, was einen ordnungsgemäßen Schutz und die Offenlegung gegenüber den Aufsichtsbehörden unmöglich macht.

Baigs Anwälte argumentieren in der Klage, dass seine Vorgesetzten seine Arbeit wiederholt kritisierten und dass er bereits drei Tage nach seiner ersten Meldung über Cybersicherheitsvorfälle „negatives Leistungsfeedback“ erhielt.

Ende letzten Jahres informierte Baig die SEC über die angeblichen „ defiund die unterlassene Information der Anleger über wesentliche Cybersicherheitsrisiken“, heißt es in der Klage. Einen Monat später schickte Baig Zuckerberg den zweiten von zwei Briefen, in denen er den CEO darüber informierte, dass er „die Beschwerde bei der SEC eingereicht“ habe und „unverzüglich Maßnahmen zur Behebung sowohl der zugrundeliegenden Compliance-Verstöße als auch der rechtswidrigen Vergeltungsmaßnahmen“ fordere.

Meta weist die Vorwürfe zurück und bezeichnet die Klage als einen „verzerrten“ Angriff auf seine Erfolgsbilanz

Im Januar reichte Baig laut Klage eine Beschwerde bei der Arbeitsschutzbehörde ein, in der er die „systematischen Vergeltungsmaßnahmen“ anprangerte, denen er nach den Sicherheitsmitteilungen ausgesetzt gewesen sei.

Laut der Klage wurde Baig im darauffolgenden Monat von Meta wegen „mangelhafter Leistung“ entlassen. Dies geschah im Zuge der Entlassungen im Februar, von denen 5 % der Belegschaft betroffen waren.

Die Klage argumentiert, dass Zeitpunkt und Umstände von Baigs Kündigung einen klaren Zusammenhang mit seiner geschützten Tätigkeit belegen. Sie erfolgte kurz nach seinen Meldungen an externe Aufsichtsbehörden und bildete den Höhepunkt einer über zweijährigen mutmaßlichen systematischen Vergeltungsmaßnahme aufgrund seiner Offenlegungen im Bereich Cybersicherheit und seines Drängens auf die Einhaltung von Bundesgesetzen und behördlichen Anordnungen.

Baigs Anwälte erklärten, er habe am Montag einen Antrag auf Verlegung seiner SEC-bezogenen Ansprüche vor ein Bundesgericht gestellt und zuvor bereits alle verwaltungsrechtlichen Rechtsmittel ausgeschöpft, bevor er den Fall weiterverfolgte.