Kleine DSGVO-Strafe: EU-Datenschützer entmachten sich im Fall Twitter
Der Hamburgische Datenschutzbeauftragte Johannes Caspar rügt die Entscheidung, dass Twitter nach einem Datenleck symbolische 450.000 Euro zahlen muss.
(Bild: Michael Vi/Shutterstock.com)
Am Dienstag verkündete die irische Datenschutzbehörde, die Data Protection Commission (DPC), eine doppelte Premiere: Sie hatte ihren ersten "Big Tech"-Fall abgeschlossen und damit zugleich das erste Streitschlichtungsverfahren nach Artikel 65 der Datenschutz-Grundverordnung (DSGVO) durchlaufen. Das Ergebnis: Twitter muss nach einer zu spät gemeldeten Datenpanne, die mindestens 88.726 Nutzer in der EU zwischen September 2017 und Anfang 2019 betroffen haben soll, 450.000 Euro zahlen.
Fehler durch Codeänderung
Vor allem im Vergleich zu den Sanktionen, die die französische Datenschutzbehörde CNIL mit einer Buße von bis zu 100 Millionen Euro gegen Google in nationalen Fällen bereits verhängte, nimmt sich der Betrag sehr gering aus. Das von Twitter selbst als "signifikant" eingestufte Leck entstand durch einen Fehler im Design des Kurznachrichtendienstes. Wenn ein Nutzer auf einem Android-Gerät die mit seinem Konto verknüpfte E-Mail-Adresse änderte, waren die geschützten Tweets ungeschützt und so für eine breitere Öffentlichkeit zugänglich, nicht nur für seine Follower.
Ein externer Auftragnehmer entdeckte das Problem am 26. Dezember 2018 im Rahmen des Bug-Bounty-Programms von Twitter, über das jeder einen Fehlerbericht einreichen kann. Während der daraufhin eingeleiteten Untersuchung entdeckte Twitter weitere Benutzeraktionen, die ebenfalls zu demselben unbeabsichtigten Ergebnis führten. Den Fehler führte der Konzern auf eine Codeänderung vom 4. November 2014 zurück. Potenziell Betroffene konnte er aber nur bis 2017 zurückverfolgen, da für die restlichen drei Jahre keine Logfiles mehr vorlagen.
Datenschutzausschuss gebe Kontrolle aus der Hand
Das Rechtsteam von Twitter erfuhr von dem Bug am 2. Januar 2019. Erst am 8. Januar informierte der Konzern, der – wie viele andere US-Internetriesen – seinen europäischen Hauptsitz in Irland hat, die DPC. Eigentlich ist eine Meldefrist von 72 Stunden vorgesehen. Anderthalb Jahre später legte die Datenschutzbehörde nach Ende ihrer Untersuchungen und Abstimmungsrunden mit Twitter den Entwurf für ihre Entscheidung dem Europäischen Datenschutzausschuss (EDSA) vor. Kontrolleure aus acht Mitgliedsstaaten inklusive Deutschlands brachten dagegen Bedenken vor. Anfang November war das Schlichtungsverfahren beendet. Den entsprechenden Beschluss hat der EDSA nun öffentlich gemacht.
Der Hamburgische Datenschutzbeauftragte Johannes Caspar, der den Fall für Deutschland betreut, ist mit der Entscheidung im Artikel-65-Verfahren alles andere als zufrieden. Diese führe dazu, "dass die federführende Behörde künftig den Untersuchungsbereich von Verstößen gegen die DSGVO selbst bestimmen kann", kritisierte er gegenüber heise online. Damit "entmachtet sich" der EDSA und gebe eine eigenständige Kontrolle der federführenden nationalen Prüfer aus der Hand.
Integrität, Vertraulichkeit und Sicherheit der Datenverarbeitung spielte keine Rolle
Die DPC habe nur den Verstoß gegen die Meldepflicht nach Artikel 33 DSGVO beleuchtet, kritisiert Caspar. So seien "weitergehende dahinterliegende Fragen" außen vor geblieben. Mögliche Verstöße etwa gegen Integrität, Vertraulichkeit und Sicherheit der Datenverarbeitung hätten gar keine Rolle gespielt. Dies gelte auch für eine potenzielle gemeinsame Verantwortung mit Blick auf die Twitter-Konzernzentrale in den USA.
"Ist dies der Maßstab, mit dem künftig Entscheidungen im Streitbeilegungsverfahren durch den EDSA überprüft werden, bleibt eine einheitliche Anwendung der DSGVO in der EU auf der Strecke", moniert der Datenschützer. "Es liegt dann bei der federführenden Behörde, zusammenhängende Sachverhalte so zu verkürzen und einzudampfen, dass es eigentlich keines gemeinsamen Verfahrens auf EU-Ebene mehr bedarf."
"Zweispurigkeit des Datenschutzes in Europa"
"Die Höhe des Bußgeldes ist eine zentrale Fragestellung, die in der EU die Einheitlichkeit des Vollzugs wesentlich beeinflusst", stellt Caspar klar. Der Beschluss der DPC liege auf der "bereits seit langem problematischen Linie einer Zweispurigkeit des Datenschutzes in Europa": Während in den nationalen Verfahren der Bußgeldrahmen der DSGVO zusehends ausgeschöpft werde, hätten die bislang spärlich verhängten Sanktionen bei der grenzüberschreitenden Datenverarbeitung "bestenfalls einen symbolischen Wert". Die erforderliche Abschreckung "wird so jedenfalls nicht hergestellt".
Im Ergebnis privilegiert dies laut dem Kontrolleur "globale Tech-Firmen, die sich in einigen Mitgliedstaaten niedergelassen haben, und führt zu Wettbewerbsverzerrungen auf dem digitalen Markt nicht zuletzt zu Lasten von Unternehmen in anderen Mitgliedstaaten". Leider habe die EU-Kommission auch im gerade vorgestellten Digital Services Act (DSA) hierzu keine Antworten gegeben. Wenn es nicht gelinge, nötige Veränderungen herbeizuführen, bleibe eine eigenständige Digitalpolitik in der EU im Bereich der Wunschvorstellung.
Rechtsmittel gegen die Entscheidung in Prüfung
Die Hamburgische Datenschutzbehörde prüft nun, ob sie Rechtsmittel vor dem Europäischen Gerichtshof gegen die Entscheidung des EDSA einlegen soll. Klar ist für Caspar schon jetzt: Dessen erste Entscheidung im Mediationsprozess "darf nicht der Maßstab für sein künftiges Handeln werden".
Der Bundesdatenschutzbeauftragte Ulrich Kelber, Caspar und einige ihrer Kollegen versuchen seit Längerem, die Iren auch bei Facebook & Co. zum Jagen zu tragen. Die DPC gilt als chronisch unterbesetzt sowie voreingenommen und kommt in den von ihr eingeleiteten großen internationalen Verfahren nur langsam voran. Der EDSA hatte im Februar gefordert, dass die Zusammenarbeit in diesem Bereich dringend verbessert werden müsse. 2021 erhält die DPC zwar 2,2 Millionen mehr Budget. Berichten zufolge hatte sie aber ein Plus von knapp sechs Millionen Euro gefordert.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bme)
