iusNet Digitales Recht und Datenrecht

Digitales Recht und Datenrecht > Rechtsprechung > International > Datenschutzverletzungen > Twitter kassiert eine Busse von EUR 450'000 wegen Datenschutzverletzung

Twitter kassiert eine Busse von EUR 450'000 wegen Datenschutzverletzung

Twitter kassiert eine Busse von EUR 450'000 wegen Datenschutzverletzung

Jurisprudence
Datenschutzverletzungen
DSGVO

Twitter kassiert eine Busse von EUR 450'000 wegen Datenschutzverletzung

IDPC, IN-19-1-1 v. 09.12.2020

Die irische Datenschutzkommission (Irisch Data Protection Commission, IDPC) hat Twitter mit einer Geldstrafe in Höhe von EUR 450’000 belegt, weil Twitter es versäumte, eine Datenschutzverletzung gemäss der Europäischen Datenschutzgrundverordnung (DSGVO) innerhalb von 72 Stunden zu melden und ordnungsgemäss zu dokumentieren.

Der Fehler, der zu der Datenschutzverletzung führte, war eine fehlerhafte Programmierung (ein «bug») im Designcode von Twitter, zurückgehend auf ein Update vom November 2014. Das Update hatte Auswirkungen, wer einen Tweet sehen konnte. Nutzer von Twitter können entscheiden, ob ihre Tweets «geschützt» oder «ungeschützt» sein sollen. Bei geschützten Tweets kann nur ein bestimmter Personenkreis (die Follower) die geschützten Tweets der Nutzer lesen. Der bug führte dazu, dass wenn Nutzer mit einem Android-Gerät die mit dem Twitter-Konto verknüpfte E-Mail-Adresse änderten, ihre Tweets ungeschützt und folglich ohne das Wissen der Nutzer für die breite Öffentlichkeit zugänglich wurden.

Die Höhe der Busse ist nicht besonders bemerkenswert, wenn man sie neben Twitter’s Jahresumsatz von fast 3,5 Milliarden US-Dollar stellt. Der Entscheid ist jedoch deswegen interessant, weil der Entscheidentwurf das erste Mal überhaupt allen anderen EU-Datenschutzaufsichtsbehörden nach Artikel 65 DSGVO («Streitbeilegung») vorgelegt wurde und es dabei ein «big tech»-Unternehmen betraf. Die grenzüberschreitende Koordinierung mit allen anderen EU-Datenschutzaufsichtsbehörden war auch ein Grund für die lange Verfahrensdauer von fast zwei Jahren: Die irische Datenschutzaufsichtsbehörde begann ihre Untersuchungen gegen Twitter im Januar 2019 und veröffentlichte ihren Entscheidungsentwurf im Mai 2020 als Teil des DSGVO-Streitbeilegungsverfahrens. Mehrere andere Aufsichtsbehörden erhoben Einwände gegen mehrere Punkte des Entscheidentwurfs, was schliesslich zu einem Streitschlichtungsverfahren nach der DSGVO führte. Das bedeutete ein formelles Verfahren zwischen den einzelnen EU-Datenschutzaufsichtsbehörden mit mehrmaligem Schriftenwechsel, der Einhaltung von Fristen und Äusserungsmöglichkeiten und letztlich dem bindenden Entscheid des Europäischen Datenschutzausschusses (des «European Data Protection Board», EDPB) vom 9. November 2020. Der Aktenumfang erschien ebenfalls erheblich, wie aus dem rund 200-seitigen Entscheid der IDPC hervorgeht.

Ein wichtiger Einwand der anderen EU-Datenschutzaufsichtsbehörden betraf die Höhe der Geldstrafe, die der IDPC gegen Twitter verhängen wollte. Die irische Aufsichtsbehörde sah gegenüber Twitter ursprünglich eine geringere Geldstrafe vor, als die letztlich ausgesprochenen EUR 450'000. Die IDPC empfahl eine Geldstrafe von umgerechnet rund EUR 120'000 – 250'000, weil sie das Versäumnis der Meldung von Twitter als fahrlässig und nicht als vorsätzlich oder systematische einstufte. Im Rahmen des Streitbeilegungsverfahrens wurden sie aber von den anderen EU-Datenschutzaufsichtsbehörden aufgefordert, den Betrag zu erhöhen.

Ein weiterer wesentlicher Einwand der anderen EU-Datenschutzaufsichtsbehörden war, dass sie das Hauptquartier von Twitter, die Twitter Inc. in den USA, nicht als Processor von Twitter in Irland, die Twitter International Company (TIC), qualifizierten, sondern als gemeinsame Verantwortliche, sog. Joint-Controller. Die IDPC hingegen beurteilte die Twitter Inc. als Processor von TIC.

Diese Auseinandersetzung der Rollen von Twitter Inc. und TIC kam auf, weil die erkannte Datenschutzverletzung bei TIC dem globalen Datenschutzbeauftragten von Twitter, dem Data Protection Office (DPO) in den USA, mitgeteilt wurde und dieser, via der TIC, die Meldung an das IDPC machte.

Namentlich wurde vorgebracht, der Entscheidungsentwurf der IDPC:

  1. hebe die Rolle der TIC als Controller nicht ausreichend hervor. Es erschiene, dass die Zwecke und Mittel der Datenbearbeitung durch die Twitter Inc. durchgeführt wurden und die TIC dem lediglich gefolgt sei;
  2. kläre nicht genügend, welche Rolle die Rechtseinheiten Twitter Inc. und TIC hätten, da die TIC ein Tochter-Unternehmen der Twitter Inc. sei;
  3. zeige nicht, wie die tatsächliche Organisation und Datenflüsse von Twitter Inc. und der TIC den vorgebrachten Strukturen entsprechen würden;
  4. zeige, dass Twitter Inc. und TIC die gleichen Systeme, Policies und Prozesse benutzen, was als Joint-Controller-Verhältnis zu qualifizieren sei;
  5. zeige nicht, dass andere Hinweise zur Qualifikation, ob Controller / Processor hinzugezogen wurden, als die Aussage der TIC. Die Reduktion auf einige wenige Hinweise oder Aussagen würde jedoch ein forum shopping erlauben, was zu verhindern wäre.

Letztlich entschied die EDPB, dass die Argumente der erwähnten EU-Datenschutzaufsichtsbehörden nach den Bestimmungen für das Schlichtungsverfahren nach der DSGVO nicht genügend gewichtig waren, die Beurteilung der IDPC abzuweisen. Es blieb somit dabei, dass die IDPC die TIC als Controller und die Twitter Inc. als Processor von TIC qualifizierte.

Die Qualifizierung der Rollen als Controller-Processor oder als Joint Controller ist deshalb wichtig, weil es in der Konsequenz keine allenfalls mögliche getrennte Haftung für die irische Rechtseinheit als Controller und die Twitter Inc. in den USA als Processor gegeben hätte. Des Weiteren hätte die 72-Stundenfrist bei einem Joint-Controller-Verhältnis bereits mit Kenntnis eines der Controller zu laufen begonnen (siehe dazu sogleich unten zur «controller awareness»). Es bedeutete hingegen nicht, dass sich an der Basis für die Bussenberechnung etwas geändert hätte. Massgebend war der weltweite Umsatz des Jahres 2019 von Twitter Inc. von rund 3,5 Milliarden US-Doller.

Im Verhältnis zwischen Twitter und dem beauftragten IT-Security Unternehmen das den bug entdeckte, erhellt sich ein weiterer interessanter Aspekt: Die sog. «controller awareness», also ab welchem Zeitpunkt ein Controller weiss oder wissen muss, dass eine Datenschutzverletzung vorliegt. Die DSGVO verlangt in Art. 33(1), dass der Controller Datenschutzverletzungen «binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde» der zuständigen Datenschutzaufsichtsbehörde melden muss. Eine Datenschutzverletzung durch den Processor ist dem Controller dann bekannt, wenn er vom Processor über die Verletzung benachrichtigt wird, sofern der Controller ausreichende Massnahmen ergriffen hat, um diese Kenntnisnahme zu erleichtern.

Die IDPC ging zutreffend nicht dahin zu argumentieren, dass dem Processor bekannte Datenschutzverletzungen dem Controller gleichentags angerechnet werden sollen. Die 72-Stundenfrist fängt entsprechend nicht schon dann an zu laufen, wenn dem Processor bzw. seinen Mitarbeitenden oder seinen weiteren Unter-Beauftragten (hier also dem Mitarbeitenden des IT-Security Unternehmens) bekannt ist, dass eine Datenschutzverletzung vorliegen könnte.

Hingegen argumentierte der IDPC, und das wird von den anderen EU-Datenschutzaufsichtsbehörden getragen, dass der Controller Kenntnis von einer Datenschutzverletzung erhält, wenn er bei der richtigen Handhabung der Prozesse durch den Processor von der Verletzung erfahren hätte. Der Controller muss sich also das Wissen einer Datenschutzverletzung des Processors anrechnen lassen, wenn die Prozesse zwischen dem Controller und dem Processor in irgendeiner Hinsicht nicht wirksam sind, versagen oder vom Processor nicht befolgt werden und dies zu einer Verzögerung oder einem Versagen des Processors führt, den Controller auf die Datenschutzverletzung aufmerksam zu machen. In der Konsequenz bedeutet dies die Anrechnung einer hypothetischen Datenschutzverletzung beim Controller.

Damit zusammenhängend ist auch der zeitliche Ablauf der Entdeckung der Datenschutzverletzung zwischen dem ersten Weihnachtsfeiertag 2018 und dem Neujahrstag aufschlussreich. Der bug wurde am 26. Dezember 2018 durch das erwähnte IT-Security Unternehmen, beauftragt von Twitter Inc., entdeckt. Ein Mitarbeiter dieses Unternehmens sendete einen Report, den «bug bounty report», an die Twitter in Irland und diese weiter an das Hauptquartier, die Twitter Inc. in den USA. Aufgrund der Feiertage und der (wohl ungünstigen) Ferienplanung der Mitarbeitenden von Twitter über die Feiertage, wurde der bug Report jedoch erst am 2. Januar 2019 durch das Information Security Team von Twitter weiterbearbeitet. Dieses benachrichtigte gleichentags das Twitter Legal Team (organisatorisch bei der Twitter Inc.), mit dem Hinweis, dass zwar keine Sicherheitsverletzung, möglicherweise jedoch eine Datenschutzverletzung vorliege. Zwar beurteilte das Twitter Legal Team am 3. Januar 2019, dass eine Datenschutzverletzung vorliegt und erstellte gleichentags eine Meldung an den globalen Datenschutzbeauftragten von Twitter, den DPO und Verantwortlichen für Datenbearbeitungen des Twitter-Konzerns. Aufgrund eines Mitarbeiterfehlers wurde der DPO, organisatorisch in den USA angegliedert, jedoch erst anlässlich eines Team-Meetings am 7. Januar 2019 (den Montag nach den Ferien) über die Datenschutzverletzung in Kenntnis gesetzt. Daraufhin informierte der DPO die irische Datenschutzaufsichtsbehörde am folgenden Tag, dem 8. Dezember 2019. Der IDPC schloss, dass die Datenschutzverletzung der TIC bereits am 3. Januar, nach der Einschätzung durch das Twitter Legal Team, bekannt war und nicht erst mit der Meldung an den DPO am 7. Januar. Die Meldung an die IDPC hätte demnach innert 72 Stunden spätestens am 6. Januar 2019, beim IDPC eintreffen sollen.

Der Entscheid ist eine Erinnerung an Unternehmen den Prozess für Datenschutzverletzungen durchdacht aufzugleisen und umzusetzen sowie genügende Ressourcen zur Verfügung zu stellen. Diese Koordination und das Zusammenspiel verschiedener Funktionen ist eine Herausforderung, insbesondere bei grossen Unternehmen, die organisatorisch in verschiedenen Zeitzonen und Jurisdiktionen tätig sind. Praxisgemäss sind solche Unternehmen darauf angewiesen, dass Standardprozesse funktionieren, die notwendigen Informationen Team-übergreifend ausgetauscht werden können und dass auch Feiertagen oder Abwesenheiten von einzelnen Mitarbeitenden.

Olivier Heuberger

iusNet DigR 21.01.2020