Verbraucherschutz und SicherheitsrisikenTwitter im Visier der Behörden

Das Chaos bei Twitter nimmt mit jedem Tag zu. Behörden in der EU und in den USA zeigen sich alarmiert und untersuchen, ob der Konzern weiterhin die rechtlichen Vorgaben erfüllt. Dabei stehen Twitters EU-Hauptsitz sowie die Sicherheitsvorkehrungen und die Inhaltemoderation des sozialen Netzwerks auf dem Prüfstand.

Links ist Elon Musk abgebildet, im Hintergrund eine rote Hauswand mit dem Twitter-Logo. Der Twitter-Vogel wird von einer Lupe untersucht.
Massenentlassung und Abo-Desaster haben die Behörden auf den Plan gerufen. (Symbolbild) – Lupe: IMAGO / Design Pics, Hintergrund: IMAGO / NurPhoto, Musk: IMAGO / UPI Photo; Montage: netzpolitik.org

Elon Musk hat offenbar den Bogen überspannt: Seit seiner Übernahme von Twitter herrscht in der Firmenzentrale Chaos, das mit jedem Tag größer zu werden scheint. Bislang nahmen das vor allem die Medien und die Twitternutzer:innen selbst in den Blick. Nun aber schalten sich auch die Behörden in der EU und in den USA ein. Sie zeigen sich zunehmend besorgt, dass die unternehmensinternen Sicherheitsmechanismen an Wirkung verlieren.

So untersucht die irische Datenschutzbehörde, ob Twitter weiterhin seine Hauptniederlassung in Irland haben kann. Dafür muss die dortige Niederlassung Einfluss auf das Unternehmen ausüben können, woran wegen des herrschenden Chaos zunehmend Zweifel aufkamen. Bestätigen sich diese, droht Twitter die Regulierung durch jeden einzelnen der 27 EU-Staaten.

Darüber hinaus kündigte auch die mächtige US-amerikanische Federal Trade Commission (FTC) Untersuchungen an. Sieben US-Senator:innen hatten die Behörde zuvor dazu aufgefordert, Verbraucherschutz und Sicherheitsrisiken bei Twitter zu überprüfen. Und auch die französische Behörde Arcon hat Untersuchungen darüber eingeleitet, wie es um die Inhaltemoderation bei Twitter bestellt ist.

Sollte Twitter den Vorgaben und Ermahnungen der unterschiedlichen Behörden nicht nachkommen, drohen nicht nur dem Konzern, sondern auch Elon Musk persönlich Sanktionen.

Irische Datenschutzbehörde untersucht Hauptsitzanspruch

Nach Musks Übernahme entließ Twitter rund die Hälfte seiner Mitarbeitenden, darunter auch die Datenschutz- und Sicherheitsbeauftragten des Unternehmens. Das könnte, so die Sorge der irischen Datenschutzbehörde (DPC), zu erheblichen Datenschutzproblemen führen. Dem Bundesamt für Datenschutz und Informationssicherheit (BfDI) zufolge habe sie deshalb Untersuchungen eingeleitet.

Die personellen Veränderungen haben noch einen weiteren Effekt. Denn die irische Datenschutzbehörde überprüft derzeit den regulativen Rahmen, der es Twitter erlaubt, allein der DPC gegenüber verantwortlich zu sein, statt gegenüber allen 27 EU-Staaten einzeln. Das sogenannte One-Stop-Shop-Prinzip (OSS) der europäischen Datenschutz-Grundverordnung (DSGVO) ermöglicht es Unternehmen, den mühsamen Austausch mit allen 27 EU-Staaten zu umgehen, sofern sie einen Hauptsitz innerhalb der EU angeben. Dann haben sie sich nur noch gegenüber der Datenschutzbehörde des entsprechenden Landes zu verantworten. Allerdings sind daran bestimmte Auflagen gekoppelt, die Twitter möglicherweise nicht länger erfüllt.

Unter anderem muss Twitter dafür „die effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung“, die die Verarbeitung personenbezogener Daten betreffen, im Land der Hauptniederlassung nachweisen. Außerdem muss das Unternehmen eine:n Datenschutzbeauftragte:n als Ansprechpartner:in für die entsprechende nationale Aufsichtsbehörde benennen.

Mit einem Fragenkatalog will die irische Behörde nun herauszufinden, inwiefern Twitter diesen Verpflichtungen nachkommt. Auf eine Nachfrage von netzpolitik.org zum Stand der Untersuchung hat die DPC bislang nicht geantwortet.

Twitter-Niederlassung in Dublin ohne Einfluss

Zweifel am OSS-Arrangement haben vor allem die jüngsten Änderungen am sozialen Netzwerk aufkommen lassen. Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holsteins, äußert gegenüber netzpolitik.org den Eindruck, „dass die Niederlassung in Dublin, die bisher ‚main establishment‘ war, wenig Einfluss auf Änderungen nehmen konnte, die auch Auswirkungen auf personenbezogene Daten (z.B. ‚Twitter Blue‘) hatten.“

Auch einer anonymen Quelle zufolge seien die Kriterien für eine Hauptniederlassung in Irland nicht länger erfüllt. So habe Twitter seit der Übernahme durch Musk keine Informationen über anstehende Produktveränderungen an das irische Management weitergegeben. Damit kann sich dieses unter anderem nicht länger gegen etwaige Änderungen aussprechen.

Europäische Datenschutzbehörden sind alarmiert

Auf Anfrage der DPC hat Twitter bestätigt, weiterhin seinen Hauptsitz in Irland zu beanspruchen und damit von der irischen DPC reguliert werden zu wollen. Außerdem benannte das Unternehmen Renato Monteira als amtierenden Datenschutzverantwortlichen und damit als Ansprechperson der DPC. Dessen ungeachtet verfolgen laut Marit Hansen die europäischen Datenschutzaufsichtsbehörden das Thema weiterhin „intensiv“.

Auch die deutschen Datenschutzbehörden beobachten die Ereignisse derzeit sehr genau. Die jüngsten Produktänderungen haben Zweifel daran gesät, dass „von Europa aus weiterhin die ‚Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten‘ bei Twitter getroffen werden“, sagt Hansen. Die Datenschutzbeauftragte sieht jedoch ein „positives Zeichen […] darin, dass man anscheinend bei Twitter auf die irische Datenschutzbeauftragte reagiert und sich auch getroffen hat.“

Mögliche Folgen der Untersuchung

Würde Twitter tatsächlich seinen Anspruch auf Hauptniederlassung in Irland verlieren, könnten alle 27 nationalen Datenschutzbehörden der EU aufsichtsbehördlich tätig werden. Twitter drohen damit erheblicher bürokratischer Mehraufwand und empfindliche Sanktionen, die bis zu vier Prozent des jährlichen Umsatzes ausmachen können – und das jeweils in sämtlichen 27 EU-Staaten. Derartige Folgen blieben bislang nicht zuletzt wegen des unternehmensfreundlichen Charakters der irischen Behörde aus. Seitens der französischen und belgischen Behörden ist, angesichts ihrer Sanktionsentscheidungen in der Vergangenheit, ein deutlich aggressiveres Verhalten zu erwarten.

Zudem könnten etwa die deutschen Datenschutzbehörden gegen Twitter auch ein sogenanntes Dringlichkeitsverfahren nach Artikel 66 der DSGVO einleiten. Laut der Landesdatenschutzbehörde Berlins seien „die Verlegung von Sitzen, die Aufgabe von Niederlassungen oder Entlassungen von Personal für sich genommen keine Gründe, ein Dringlichkeitsverfahren […] einzuleiten.“ Erst wenn außerdem der „Schutz betroffener Personen“ auf dem Spiel stände, wären die Voraussetzungen dafür gegeben.

„Gar nicht beruhigend“, findet Marit Hansen diesbezüglich die Ankündigung Musks auf Twitter, wo er „a lot of dumb things in coming months“ ankündigte. „Sollten diese ‚dummen Dinge‘ mit Datenschutzverletzungen verbunden sein, wäre dies kein lustiges Statement, sondern eine Ankündigung von Rechtsverstößen mit erheblichem Schädigungspotenzial für die Nutzerinnen und Nutzer“, urteilt die Datenschutzbeauftragte.

US-Behörde sorgt sich um Sicherheit

Angesichts des massiven Stellenabbaus bei Twitter warnen Sicherheitsforscher:innen und Jurist:innen vor einem erhöhten Risiko von Datenabflüssen. Auch Twitters neuer Abo-Service sorgt für Unruhe. Am 17. November haben sieben demokratische Abgeordnete des US-Senats die FTC in einem Schreiben dazu aufgefordert, auch diesbezüglich Untersuchungen gegen Twitter einzuleiten. Die FTC solle überprüfen, ob Twitter gegen Verbraucherschutzgesetze und andere Auflagen verstoße.

Da Twitter in der Vergangenheit bereits wiederholt Sicherheitsanforderungen missachtet hat, beobachtet die FTC ohnehin genau, was das Unternehmen tut. Erst im Mai bekam der Konzern eine Strafe in Höhe von 150 Millionen US-Dollar wegen des Missbrauchs von Telefonnummern von mehr als 140 Millionen Nutzer:innen auferlegt. Damals ordnete ein Gericht zudem an, dass die FTC Twitter über eine gegebene Frist hinaus überwachen dürfe. Der Konzern muss sich, um den Anforderungen der FTC gerecht zu werden, seither strengerer Kontrollen unterziehen wie etwa regelmäßiger Schwachstellentests und unabhängiger Sicherheitsüberprüfungen.

Twitter drohen empfindliche Strafen

David Vladeck, Jura-Professor an der Georgetown-Universität in Washington D.C., reichte im Jahr 2011 jene Klage ein, die zu den strengen Auflagen führte. Er glaubt, dass Twitter gegen eben diese verstoßen haben könnte. Dafür spricht auch, dass die Kontrollen der Privatsphäre- und Sicherheitsvorkehrungen bei Twitters neuem Abo-Service ausgeblieben. Die US-Senator:innen, die sich in einem Brief an die FTC wandten, sind ebenfalls überzeugt davon, dass die jüngsten Ereignisse, „bereits einen Verstoß gegen die FTC-Verfügung darstellen, die falsche Angaben verbietet und verlangt, dass Twitter ein umfassendes Informationssicherheitsprogramm unterhält.“

Laut Vladeck könnte der wiederholte Verstoß gegen die Behördenauflagen hohe Strafzahlungen und zusätzliche Regeln für Twitter nach sich ziehen. Auch sei nicht auszuschließen, dass „Musk persönlich zur Verantwortung gezogen wird“, so Vladeck. Dass die FTC nicht mit sich spaßen lässt, veranschaulicht der Umgang der Behörde mit Facebook: 2019 musste das Unternehmen fünf Milliarden US-Dollar Strafe zahlen, nachdem es wiederholt gegen FTC-Auflagen verstoßen hatte.

Frankreich fordert Pflicht zur Inhaltemoderation ein

Auch die französische Regulierungsbehörde Arcom hat Untersuchungen eingeleitet. Sie forderte Twitter dazu auf, zu bestätigen, dass es seinen gesetzlichen Verpflichtungen zur Inhaltemoderation nachkommt. Laut Arcom-Präsident Roch-Olivier Maistre hätten die jüngsten Ereignisse „systemische Fragen in Bezug auf die Glaubwürdigkeit der demokratischen Debatte und die öffentliche Sicherheit“ aufgeworfen.

Nachdem Arcom dem Unternehmen eine Frist bis zum 24. November gesetzt hatte, machte Twitter inzwischen offenbar die eingeforderten Zusagen. Wie genau der Konzern fortan die geforderte Inhaltemoderation durchführen wird, hat die Behörde der Öffentlichkeit jedoch noch nicht mitgeteilt. Eine entsprechende Anfrage von netzpolitik.org blieb bislang unbeantwortet. Die jüngsten Entwicklungen bei Twitter lassen jedoch wenig Gutes ahnen. In einem Tweet stellte Musk jüngst in Aussicht, in dieser Woche die gesperrte Twitter-Konten zahlreicher Rechtsextremist:innen wieder freizugeben.

5 Ergänzungen

  1. Die Amerikaner (Senatoren) fordern von Twitter und Elon Musk die Einhaltung von Datenschutz und Sicherheitsmassnahmen??
    Das ist ja wohl der Witz des Jahrhunderts…ausgerechnet amerikanische Politiker,die mit ihren Geheimdiensten sämtliche Daten der westlichen Welt überwachen und auch sonst nicht davor zurückschrecken,Unternehmen zu infiltrieren und Schwachstellen von Unternehmen zur Informationsgewinnung auszunutzen…
    Und Netzpolitik hat einen neuen Feind: Elon Musk…was passt euch an ihm nicht? Dass er keine Zensur machen will,wie das der Rest der politisch korrekten westlichen Welt seit Corona macht?

    1. > Dass er keine Zensur machen will,wie das der Rest der politisch korrekten westlichen Welt seit Corona macht?

      Uff, jumping to conclusions. Es bringt nichts sich über etwas aufzuregen was man sich ausgedacht hat (oder zumindest vermutet). Ich weiß nicht ob Netzpolitik was gegen ihn hat und wenn ja weiß ich auch nicht was, aber ich für meinen Teil kann nur folgendes aufzählen:

      – Als Softwareentwickler zu lesen wie er mit seinem Personal in aller Öffentlichkeit umgeht und sich mit den Leistungen anderer rühmt fand ich traurig und peinlich.
      – Er stellt sich als großer Verteidiger der freien Meinungsäußerung dar, lässt aber tief dreinblicken wenn es um Themen geht die ihm nicht so passen. Beispielsweise wenn Leute tatsächlich Parodie-Accounts von ihm erstellen. Die werden einfach gebannt.
      – Elon Musk wird mmn. immer größenwahnsinniger und er hält sich für einen Experten auf jedem aktuellen Gebiet. Zum Beispiel als er Garry Kasparov, Schachlegende und Aktivist (!), angegangen ist was er denn so für die Ukraine getan hat. Da konnte ich nur den Kopf schütteln. (https://twitter.com/kasparov63/status/1577142807864672256?lang=en)
      – Er behauptet schlichtweg Dinge die nicht wahr sind. https://www.washingtonpost.com/politics/2022/04/08/us-quietly-paying-millions-send-starlink-terminals-ukraine-contrary-spacexs-claims/

      Das sind nur 4 Gründe weswegen ICH ihm gegenüber negativ eingestellt bin.

      Außerdem:
      > Die Amerikaner (Senatoren) fordern von Twitter und Elon Musk die Einhaltung von Datenschutz und Sicherheitsmassnahmen??

      Dies zu fordern ist richtig egal wie heuchlerisch es rüberkommen mag. Ich kann verstehen wenn man bei solchen Themen schnell mal überkocht, doch wär es super wenn du das ganze nochmal ganz neutral betrachten könntest.

      Grüße
      Anon

      1. „Elon Musk wird mmn. immer größenwahnsinniger“

        Oder er hat Twitter nicht gekauft, um damit Gewinn zu machen, sondern um damit (und mit den Erwartungen der Menschen) zu spielen.

        Und der Gesellschaft, und Softwareentwicklern kann man da nur sagen: „Told you so“^N. Warum soll ein kaufbares Unternehmen ohne Gemeinnützigen Zweck bzw. Satzung da irgendwie helfen? Waren schon immer vogelwilde Annahmen.

  2. Only Apple decides who’s allowed on the App Store. If Apple wanted to, it could stop Twitter from being downloaded on iPhones around the world – which would be a devastating blow for Twitter.

    Not only that but Apple can also charge what it likes for the privilege of being on the App Store. For companies like Twitter, it can charge anywhere from 15-30% for in-app purchases.

    Lastly, Apple has the power to stop advertising on Twitter – an important source of revenue for the company.

    As it stands, Apple could take up to 30% of the money from the monthly fee Twitter plans to charge some users.

    On Twitter, Mr Musk posted a meme saying „pay 30%. Go To War“ with an arrow pointing to the latter.

  3. „machte Twitter inzwischen offenbar die eingeforderten Zusagen. “
    Die Formulierung klingt seltsam?

    Zum Thema Twitter-Probleme siehe auch:
    „Würzburger Jurist gegen Twitter vor Gericht: Urteil im Dezember:
    In einem Eilverfahren klagte der Würzburger Anwalt Chan-jo Jun im Namen seines Mandanten, einem Antisemitismusbeauftragten, gegen Twitter. Heute fand die Gerichtsverhandlung statt. Die Urteilsverkündung steht am 14. Dezember an.“
    https://www.br.de/nachrichten/bayern/wuerzburger-jurist-gegen-twitter-vor-gericht-urteil-im-dezember,TO7aX3C

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.