Politisches Profiling: EU DisinfoLab muss DSGVO-Geldbuße zahlen

Eine im August 2018 veröffentlichte Studie der zivilgesellschaftlichen Organisation EU DisinfoLab hat datenschutzrechtliche Folgen. In der Analyse ging es um das Geschehen auf Twitter nach Bekanntwerden der Affäre um den französischen Sicherheitsbeauftragten Alexandre Benalla, der zuletzt als stellvertretender Stabschef von Präsident Emmanuel Macron tätig war. Die belgische Datenschutzbehörde APD hat nun eine Geldstrafe gegen die EU DisinfoLab und einen ihrer Forscher verhängt. Sie wirft ihnen vor, mit einer "massiven Sammlung" personenbezogener Informationen auf Twitter gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen zu haben.

Kleine Minderheit für fast falle Tweets verantwortlich

Die Studie der belgischen Organisation, die sich auf den Kampf gegen Desinformation spezialisiert hat, zielte darauf ab, die politische Orientierung von Personen zu ermitteln, die Tweets über die heikle Affäre verfasst hatten. Die Zeitung "Le Monde" hatte Benalla im Juli 2018 in Aufnahmen als die Person identifiziert, die zuvor bei den Maidemonstrationen in Paris einen jungen Protestler verprügelt und sich dabei als Polizist ausgegeben hatte. Die Staatsanwaltschaft leitete daraufhin Ermittlungen ein, der Élysée-Palast entließ den übergriffig gewordenen Beamten.

Erste Einschätzungen aus dem DisinfoLab legten nahe, dass russische Akteure die Kontroverse auf sozialen Netzwerken und insbesondere Twitter angefeuert haben könnten. Eine Minderheit von Konten (1 Prozent) mit Verbindungen zu Russland habe fast die Hälfte (47 Prozent) der einschlägigen Twitter-Inhalte zur Benalla-Affäre produziert hat, einschließlich der Retweets. 3378 Individuen hätten so für 2.163.000 Tweets gesorgt. Die Behauptungen lösten wiederum einen Shitstorm gegen das DisinfoLab; sie sind bis heute heftig umstritten.

Um auf die Kritik an der Methodik der – damals noch gar nicht vollständig veröffentlichten – Studie zu reagieren, gaben die Institution und der hauptsächlich zuständige Forscher die persönlichen Daten zahlreicher Nutzer bekannt. Die Informationen bezogen sich auf Konten und mutmaßliche politische Meinungen, aber auch auf Details zu religiösen Überzeugungen und zur sexuellen Orientierung.

Kritik an Offenlegung der Daten

Daraufhin gingen insgesamt über 240 Beschwerden bei der belgischen und der französischen Datenschutzbehörde (CNIL). Betroffene wandten sich damit die Verwendung ihrer Twitter-Kontodaten für die Durchführung der Studie sowie die Online-Veröffentlichung der Rohdaten. Da die für die Datenverarbeitung Verantwortlichen in Belgien ansässig sind, wandte sich die CNIL in Folge im Rahmen des durch die DSGVO vorgesehenen Kooperationsverfahrens an die belgische Behörde.

Die APD stellte bei ihrer Untersuchung des Falls laut einer Mitteilung der CNIL jetzt mehrere Verstöße gegen die DSGVO fest und verhängte daher Geldstrafen in Höhe von 2700 Euro gegen EU DisinfoLab und 1200 Euro gegen den beschuldigten Forscher. Die Aufsichtsbehörde wirft der Organisation insbesondere vor, die umstrittene Datenverarbeitung weder in ihrem Register dokumentiert noch eine Folgenabschätzung durchgeführt zu haben. Ferner seien nicht die erforderlichen Maßnahmen ergriffen worden, um die Sicherheit der verwendeten Informationen zu gewährleisten.

Zudem kamen die Kontrolleure zu dem Schluss, dass die Publikation der sensiblen Rohdaten auf Twitter ohne Zustimmung und Wissen der erfassten Nutzer rechtswidrig war. Sie betonten, dass davon eine hohe Diskriminierungsgefahr ausging. Daher hätten die Interessen der Betroffenen denen der Studienautoren an der Veröffentlichung ihrer Quellen zur Rechtfertigung ihrer Methodik überwogen.

(mho)