Twitter: Hohe Strafe nach Datenschutz-Verstößen
Datenschutz-Strafen können ins Geld gehen – diese Erfahrung musste jetzt auch der Kurznachrichtendienst Twitter machen. Im heutigen Beitrag erfahrt Ihr mehr über die Vorwürfe gegen Twitter, die Gründe für das Bußgeld von 150 Millionen US-Dollar und die darauffolgende Reaktion von Twitter selbst. Außerdem berichten wir über die Folgen für den Kurznachrichtendienst und ziehen ein Fazit aus dem Bußgeldverfahren.
Twitter in aller Munde
Der Kurznachrichtendienst Twitter gehört – neben Facebook, Instagram oder TikTok – zu den größten sozialen Netzwerken; mit weltweit 229 Millionen aktiven Nutzenden pro Tag können datenschutzfreundliche Alternativen wie Mastodon (244.634 aktive Nutzende; s. Mastodon Recap 2021) leider nicht mithalten. Dementsprechend erhält Twitter viel mediale Aufmerksamkeit – in jüngerer Zeit mitunter auch durch Elon Musk und die geplante Übernahme von Twitter.
Derzeit bestehen Zweifel, ob Musk Twitter wirklich kauft: Zahlreiche Fake-Accounts, hinter denen keine echten Nutzenden stehen, sorgten für Unmut bei dem Tech-Milliardär. Mitte Juni folgte eine erneute Kehrtwende; Musk wolle Twitter doch weiterhin übernehmen und sprach mit Beschäftigten über die Zukunft Twitters. Ob die Übernahme durch den Tesla-Chef jedoch funktioniert, hängt nicht zuletzt von Behörden ab: Die US-Börsenaufsicht SEC monierte Musks Vorgehen.
Still wird es um Twitter auch außerhalb des Übernahme-Chaos‘ durch Musk nicht: Auch in puncto Datenschutz sorgte der Kurznachrichtendienst zuletzt für Aufsehen. Das US-Justizministerium und die Handelsbehörde FTC verkündeten Ende Mai 2022, dass Twitter aufgrund von Datenschutzverstößen 150 Millionen US-Dollar – also etwa 140 Millionen Euro – Strafe zu zahlen hat. Twitter konnte sich mit den US-Behörden auf eine Datenschutz-Strafe in dieser Höhe einigen, um ein Verfahren vor Gericht abzuwehren.
Was wurde Twitter vorgeworfen?
Die US-Behörden werfen Twitter vor, Nutzende zu Werbezwecken getäuscht zu haben. Konkret soll das Unternehmen sowohl die Telefonnummern als auch die E-Mail-Adressen von Nutzenden unrechtmäßig für seine Werbeplattform verwendet haben. Die Nutzenden wussten davon nichts – ihnen gegenüber begründete Twitter die Verwendung dieser Daten damit, dass die Accounts besser abgesichert wären.
Das ist in der Tat nichts Ungewöhnliches bei Online-Diensten: Wenn Nutzende ihre Passwörter vergessen oder sich aus ihren Profilen ausgesperrt haben, werden Telefonnummern sowie E-Mail-Adressen oft zur Wiederherstellung verwendet. Auch um beispielsweise eine Zwei-Faktor-Authentifizierung nutzen zu können, ist die Angabe dieser Daten häufig notwendig. Twitter jedoch soll die Information der Nutzenden nicht nur für diese Sicherheitsaspekte, sondern auch für personalisierte Werbung verwendet haben, hieß es von der Leiterin der US-Wettbewerbsbehörde, Lina Khan.
Ereignet haben sich die Vorfälle zwischen Mai 2013 und September 2019. Mehr als 140 Millionen Twitter-Nutzende sollen betroffen sein. Um die Datenschutzklage beizulegen, habe sich das Unternehmen mit der FTC und dem Justizministerium auf die Zahlung der Datenschutz-Strafe in Höhe von 150 Millionen US-Dollar geeinigt. Bei einem Umsatz von rund 5,08 Milliarden US-Dollar in 2021 dürfte diese Vergleichssumme kaum ins Gewicht fallen.
Stellungnahme von Twitter
Twitter selbst räumt seinen Fehler – zumindest ein wenig – ein: „Vor kurzem sind wir auf ein Problem in diesem Zusammenhang aufmerksam geworden. In Fällen, in denen du eine E-Mail-Adresse oder Telefonnummer für Sicherheitszwecke (z. B. für die Zwei-Faktor-Authentifizierung) angegeben hattest, wurden diese Daten möglicherweise versehentlich für Werbezwecke verwendet. Das war speziell in unserem Werbesystem für maßgeschneiderte Zielgruppen und Partnerzielgruppen der Fall. […] Wenn ein Werbekunde seine Marketingliste hochgeladen hat, haben wir möglicherweise den Abgleich zwischen seiner Liste und den Nutzern auf Twitter anhand der E-Mail-Adresse oder Telefonnummer durchgeführt, die der Inhaber des Twitter-Accounts aus Sicherheitsgründen angegeben hatte. Das hätte nicht passieren dürfen und wir möchten uns für diesen Fehler entschuldigen“, heißt es im Hilfe-Center des Unternehmens.
Das Problem, welches diesen Fehler verursacht hatte, sei behoben und die Daten, die aus Sicherheitsgründen erfasst wurden, würden nicht länger für Werbezwecke verwendet. Es seien laut dieser Mitteilung keine personenbezogenen Daten an Partner weitergegeben worden.
Folgen des Vergleichs
Noch ist der geschlossene Vergleich nicht rechtskräftig; Richter:innen müssen ihn noch genehmigen. Damit gehen jedoch Bedingungen einher, die der Kurznachrichtendienst umsetzen muss:
• Das Unternehmen muss seine Datenschutzpraktiken optimieren.
• Unter anderem muss Twitter ein „umfassendes Programm zur Informationssicherheit“ einführen.
• Neue Dienstleistungen, die mit dem Sammeln personenbezogener Daten einhergehen, müssen vorab verschiedene unabhängige Prüfungen bestehen.
Tech-Riesen und Datenschutz-Strafen
Es ist nicht das erste Mal, dass Tech-Riesen gegen einschlägige Datenschutzgesetze verstoßen. DSGVO-Verstöße wurden auch schon bei Amazon, Google, dem Meta-Konzern, zu dem Facebook, Instagram oder WhatsApp gehören, geahndet. So wurde der Versandriese Amazon mit einer DSGVO-Strafe i. H. v. 746 Millionen Euro sanktioniert, Google musste 150 Millionen, Meta 60 Millionen Euro Strafe zahlen.
Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweit erwirtschafteten Jahresumsatzes vor – je nach dem was höher ist. Im Falle der Amazon-Strafe wurde die Bußgeldhöhe nicht ausgereizt: Der Jahresumsatz lag im Jahr 2020 bei 386,1 Milliarden US-Dollar, sodass eine Datenschutz-Strafe von bis zu 12,96 Milliarden Euro möglich gewesen wäre.
Twitters Datenschutz-Strafe: Schnelle Einigung bei fehlender Einsicht
In den oben erwähnten Fällen von DSGVO-Verstößen zogen sich die jeweiligen Prozesse; teilweise mussten die Unternehmen ihre Sanktionen erst im darauffolgenden Jahr begleichen. Deshalb ist es im Falle Twitter durchaus positiv zu bewerten, dass sich das Unternehmen zügig mit den Behörden auf eine Strafzahlung einigen konnte.
Dennoch: Dass Twitter in der Stellungnahme von „möglicherweise versehentlichen“ Verstößen spricht, erscheint nur bedingt glaubwürdig, da dem „versehentlich“ erwirtschafte Werbeeinnahmen in Milliardenhöhe entgegenstehen. Von echter Aufklärung und Transparenz kann bei Twitters kurzer Mitteilung nicht die Rede sein. In der Folge dürfte der Kurznachrichtendienst das Vertrauen vieler Nutzender verspielt haben, aber auch das der grundsätzlich empfehlenswerten Zwei-Faktor-Authentifizierung.
Bleibt für die Zukunft zu hoffen, dass Twitter die Vorgaben der Vereinbarung umsetzt. Eine derartige Täuschung schadet nicht nur Nutzenden, sondern dem Unternehmen, dessen Glaubwürdigkeit und dem Vertrauen in sonst sinnvolle Sicherheitsmechanismen wie der Zwei-Faktor-Authentifizierung.
Welches Fazit zieht Ihr aus der Datenschutz-Strafe für Twitter? Findet Ihr sie angemessen? Bleibt Ihr dem Netzwerk weiterhin treu oder kommt für Euch ein Wechsel zu Alternativen in Frage? – Kommt mit uns ins Gespräch; wir freuen uns auf Eure Kommentare!