Schlagwort: Twitter

Erstes Kohärenzverfahren der europäischen Aufsichtsbehörden – Thema: Bußgeld gegen Twitter

22. Dezember 2020

Nicht selten steht der unterschiedliche Umgang der zuständigen nationalen Aufsichtsbehörden mit Datenschutzverstößen in der Kritik. Insbesondere der irischen Aufsichtsbehörde – welche u.a. für die Big-Tech-Konzerne Facebook und Twitter zuständig ist – wird regelmäßig ein zu lasches Vorgehen gegen die ihr unterstellten Konzerne vorgeworfen, selbst von anderen Behörden. Hintergrund der Kritik ist auch, dass Datenschutzverstöße solcher Big-Player regelmäßig die Bürger aller EU-Staaten betreffen, es aber grundsätzlich in der Hand einer Behörde liegt, die Verstöße zu ahnden. Um hier ein einheitliches Vorgehen der nationalen Behörden zu gewährleisten, wurde in der Datenschutz-Grundverordnung das sog. Kohärenzverfahren geregelt (Art. 63 ff. DS-GVO). In diesem Verfahren tauschen sich die Aufsichtsbehörden – ggf. unter Einbindung der Kommission – untereinander aus, um eine einheitliche Rechtsanwendung sicherzustellen. Besteht diesbezüglich Uneinigkeit, ist es Aufgabe des Europäischen Datenschutzausschusses (EDSA), die Streitigkeiten zwischen den nationalen Behörden über den Umgang mit Datenschutzverstößen beizulegen. Zum ersten Mal hat der EDSA nun einen solchen Beschluss erlassen und sich dabei auch zur Berechnung von Bußgeldern geäußert.

Datenpanne durch Veröffentlichung geschützter Tweets

Grundlage des Kohärenzverfahrens war eine Datenpanne bei Twitter, welche durch eine fehlerhafte Programmierung ausgelöst wurde. Änderten Nutzer auf Android-Geräten ihre zum Account gehörende E-Mail-Adresse, wurden alle geschützten Tweets der Nutzer öffentlich (über die Follower hinaus), ohne dass dies für den Nutzer ersichtlich war. Die Datenpanne wurde im Dezember 2018 bekannt. Insgesamt waren wohl 88.726 Nutzer innerhalb der EU/des EWR von der Datenpanne betroffen. Bei der Überprüfung der Datenpanne durch die zuständige irische Aufsichtsbehörde stellte diese Verstöße gegen Art. 33 Abs. 1 DS-GVO (Verletzung der Mitteilungspflicht gegenüber der Aufsichtsbehörde) und Art. 33 Abs. 5 DS-GVO (Verletzung der entsprechenden Dokumentationspflicht) fest und schlug ein Bußgeld in Höhe von 135.000 bis 275.000 Euro in Bezug auf die Verletzung dieser Kooperationspflichten vor.

Nachdem die irische Behörde diese Informationen entsprechend Art. 60 Abs. 3 DS-GVO an die anderen europäischen Aufsichtsbehörden übermittelte, erhoben einige Behörden – insbesondere aus Deutschland – Einspruch gegen diese Entscheidung. Gerügt wurde u.a. die Berechnung der Bußgeldhöhe. Der EDSA befasste sich eingehend mit den erhobenen Rügen, wies aber eine Vielzahl davon als unzulässig ab. Geprüft wurde aber insbesondere, ob die Berechnung der Bußgeldhöhe korrekt erfolgte. Dabei stellte der EDSA ausdrücklich fest, dass das Kohärenzverfahren auch dazu dienen soll, die Höhe der Bußgelder in den Mitgliedsstaaten zu vereinheitlichen.

EDSA zur Bußgeldberechnung

Der EDSA weist in seiner Entscheidung ausdrücklich und wiederholt darauf hin, dass es sich um eine Einzelfallentscheidung handelt. Dadurch soll verhindert werden, dass sie in anderen Fällen als Präzedenzfall herangezogen werden kann. Nichtsdestotrotz können aus der Entscheidung Rückschlüsse gezogen werden, insbesondere was die Berechnung der Bußgeldhöhe anbelangt. Wichtig ist aber die Feststellung, dass sich die Aussagen auf die Verletzung der Pflichten aus Art. 33 Abs. 1 und Abs. 5 DS-GVO beziehen, also auf Pflichten im Rahmen der Kooperation mit der Aufsichtsbehörde. Dabei sind insbesondere folgende Feststellungen interessant:

  • Werden Kooperationspflichten verletzt, seien diese Verstöße der Höhe des Bußgeldes zugrunde zu legen, nicht die eigentliche Datenpanne (Veröffentlichung der Tweets).
  • Es müsse berücksichtigt werden, ob die Betroffenen die Absicht hatten, den Personenkreis einzuschränken, welcher von den Daten (Tweets) Kenntnis erlangen soll.
  • Hinsichtllich “Art” und “Umfang” der Verarbeitung sei auf die ursprüngliche Verarbeitung abzustellen, nicht auf die konkrete Datenpanne oder den Datenschutzverstoß (hier also auf die Kommunikation per Tweet).
  • Kenntnis von der Datenpanne (im Sinne des Art. 33 Abs. 1 DS-GVO) habe der Verantwortliche erst, wenn dieser “einen gewissen Grad an Gewissheit” darüber besitze, dass eine Datenpanne aufgetreten ist.
  • Gehört die Verarbeitung personenbezogener Daten zum Kern der Tätigkeiten des Verantwortlichen, müsse man erwarten können, dass dieser geeignete Maßnahmen implementiert hat, um Datenpannen und Abhilfemaßnahmen dokumentieren und somit seinen Pflichten nachkommen zu können. Werden die Kooperationspflichten dennoch verletzt, sei dies nachteilig zu bewerten.
  • Die Aufsichtsbehörde müsse konkret darlegen, aufgrund welcher Kriterien die vorgeschlagene Bandbreite des Bußgeldes (0.25% bis 0.5% des maximalen Bußgeldes) ermittelt wurde.

Letztendlich rügte der EDSA vor allem die Berechnung des Bußgeldes und verwies die Sache zurück an die irische Datenschutzbehörde. Diese müsse die Höhe des Bußgeldes neu berechnen. Darauf hin hat die irische Behörde nun das Bußgeld auf 450.000 Euro erhöht.

SMS von Donald Tusk

Nach einer Entscheidung der Europäischen Bürgerbeauftragten Emely O’Reilly müssen EU-Institutionen künftig auch interne Direktnachrichten archivieren und zugänglich machen.

Regieren via SMS & Co. ist längst Alltag in der Politik des 21. Jahrhunderts. Dies zeigte nicht zuletzt die Kommunikation über den EU-Rettungsschirm im Jahre 2015. Dennoch fiel diese Form der Verständigung nie unter die europäische Verordnung über den Zugang der Öffentlichkeit zu Dokumenten der Europäischen Institutionen. Dies wird sich nun ändern.

Zunächst lehnte der Rat das Auskunftsbegehren des Antragstellers FragDenStaat, welcher Direktnachrichten des ehemaligen EU-Ratspräsidenten Donald Tusk einsehen wollte, ab. Dementgegen stellte die Bürgerbeauftragte O’Reilly in ihrer Entscheidung jedoch grundlegend fest, dass sich die Verordnung auf alle Inhalte, unabhängig von der Form des Datenträgers bezieht.

Diese Entscheidung steht auch im Einklang mit einem vom VG Berlin verkündeten Urteil, nach welchem private Twitter-Direktnachrichten des Bundesinnenministers durch das Ministerium zugänglich gemacht werden müssen. Dagegen hat das Innenmisisterium jedoch eine Sprungrevision beantragt, deren Entscheidung noch aussteht.

Hack auf Twitter-Konten von US-Prominten

17. Juli 2020

Hacker verschafften sich Zugang zu den Prominenten-Accounts mit Millionen Followern. Betroffene sind unter anderem Barack Obama, Warren Buffet, Kanye West, Bill Gates, Elon Musk und Jeff Bezos.

Auf den gehackten Accounts wurde am Mittwoch dazu aufgefordert, Bitcoins zu überweisen. Nach öffentlichen Daten flossen Bitcoins im Wert von mindestens 120.000 Dollar über rund 400 Überweisungen ab.

“Harter Tag für uns bei Twitter.”

Dies erklärte Twitter-Chef Jack Dorsey. Laut Twitter haben die Hacker sich anscheinend zunächst die Zugänge von Twitter-Mitarbeitern gesichert und erst anschließend die Profile der Prominenten gehackt. Es handelt sich nach Meinung vieler Experten um einen der größten Angriffe auf eine reichweitenstarke Social-Media-Plattform.

Twitter sperrte nach mehr als einer Stunde die entsprechenden Konten. Nach Meinung von Experten, ist es sehr wahrscheinlich, dass die Hacker Zugriff auf die Systeme von Twitter gehabt haben. Daher ist das wahre Ausmaß der Attacke noch nicht abzusehen. Da manche Politiker über ihren Twitter-Kanal auch Außenpolitik betreiben, ist das Risiko nicht nur monetärer Natur.

Datenschützer zu Twitter: “Die Gnadenfrist läuft schon”

11. Februar 2020

Der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg, Stefan Brink, löschte am 31. Januar 2020 seinen Twitter-Account mit rund 5400 Followern. Diesen Schritt begründete er damit, dass die Benutzung des datenschutzrechtlich problematischen Dienstes nicht mit seiner Tätigkeit vereinbar sei. Er wolle nun prüfen, “ob die anderen drinbleiben dürfen.” Die Landesregierung Baden-Württembergs und die Landespolizei meldeten kurz danach an, nicht auf den Kurznachrichtenndienst verzichten zu wollen. Der “Twexit” des Landesbeauftragten könnte nun aber Folgen für Behörden und Unternehmen haben. Kürzlich veröffentlichte die Aufsichtsbehörde Anforderungen an die behördliche Nutzung “Sozialer Netzwerke“. Im Wesentlichen werden 5 Anforderungen aufgestellt: Behörden müssten eine datenschutzrechtliche Rechtsgrundlage für die Benutzung vorweisen und Transparenzgebote einhalten. Sie sollen mit dem Sozialen Netzwerk einen Vertrag zur gemeinsamen Verantwortung schließen. Zudem müssten Behörden alternative Informations- und Kommunikationswege anbieten und technisch und organisatorische Sicherungsmaßnahme einhalten. Besonders die Forderung nach einem Vertrag über die gemeinsame Verantwortung hat es in sich: Denn Twitter weigert sich aktuell solche Verträge mit seinen Nutzern zu schließen. Stefan Brink sieht aber Verträge für die gemeinsame Verantwortlichkeit als zwingende Voraussetzung für eine rechtskonforme Benutzung des Dienstes an. Diese Anforderung schließt die Aufsichtsbehörde aus den neuerlichen Urteilen des EuGH und des BVerwG zu Facebook-Fanpages, die auf Twitter übertragbar seien.

In einem Interview mit JUVE Rechtsmarkt erläuterte Stefan Brink nun seine Strategie: Zunächst will er mit Behörden den Dialog suchen. Wenn das nicht funktioniere könnten Anordnungen erlassen werden, um “die Behörden [zu] zwingen, mit dem Twittern aufzuhören.” Er erkennt zwar die große Rolle die Social-Media-Kanäle spielen, möchte sich aber trotzdem “in der zweiten Jahreshälfte […] Unternehmen ansehen.” Er ist sich sicher durch “Druck auf die Unternehmen” zu erreichen, dass “die Unternehmen ihrerseits Druck auf die Plattformbetreiber ausüben” und so an “den formal nötigen Vertrag” kommen werden.

Twitter gesteht einen Datenschutzverstoß ein

15. Oktober 2019

Twitter hat in einem Hinweis an seine Nutzer am 8.10.2019 erklärt, dass das Unternehmen Telefonnummern und E-Mail-Adressen nutzte, um personalisierte Werbung zu schalten. Die betroffenen Daten wurden von Usern hinterlegt, um die sicherere Zwei-Faktor-Anmeldung zu nutzen und sollten dementsprechend lediglich für Sicherheitszwecke genutzt werden. Es handelte sich um einen internen Fehler, der ab Mitte September behoben worden sei, erklärte der Dienst.

Twitter bestätigte, dass Marketinglisten der Werbekunden mit Kontaktdaten von Twitter-Nutzern abgeglichen wurden. Die Marketinglisten basieren auf Daten, die Werbetreibende schon aus anderen Quellen zusammengestellt haben. Das Unternehmen bestätigt, dass das Problem seit dem 17. September behoben ist und keine Telefonnummern oder E-Mail-Adressen mehr für Werbezwecke verwendet werden. Außerdem teilt Twitter seinen Nutzern mit, dass keine personenbezogenen Daten an Partner oder Dritte weitergegeben wurden.

Twitter schreibt zusätzlich: “Wir können nicht mit Sicherheit sagen, wie viele Menschen betroffen waren, aber im Sinne der Transparenz wollten wir alle aufklären.“ In seinem Hinweis bittet das Unternehmen abschließend um Entschuldigung und erklärte, dass die Werbekunden keinen Zugriff auf diese Daten gehabt hätten.

Kategorien: Allgemein · Online-Datenschutz · Social Media
Schlagwörter:

Datenpanne bei Twitter

8. August 2019

Die Daten von rund 300 Millionen Twitter-Nutzern könnten in ungefugte Hände gelangt sein.

Twitter teilte kürzlich mit, dass Daten über ein Jahr mit Werbekunden geteilt wurden, ohne dass die Nutzer dem zugestimmt hätten.

Laut eigener Aussage wurden die von den Nutzern vorgenommen Einstellungen hinsichtlich des Teilens der gesammelten Daten für Werbung mit externen Werbeanbietern nicht berücksichtigt. Das führte dazu, dass trotz des Verbots Daten an Externe weitergegeben wurden.

Zu den Daten gehört Ländercode sowie ob und gegebenenfalls wie lange die Anzeige angesehen und mit ihr interagiert wurde. Hinzu kommt, dass den Nutzern durch diesen Fehler auch personalisierte Werbung angezeigt wurde, die auf Daten beruht, die nicht hätten gesammelt werden dürfen. Darüber hinaus seien, laut Aussage von Twitter, keine Informationen zu E-mailkonten oder Passwörtern betroffen gewesen.

Der Fehler wurde am 05.August behoben. Zurzeit laufen noch Ermittlungen bezüglich der Anzahl der Betroffenen. Zudem werden Vorkehrungen getroffen, damit ein solcher Fehler zuünftig nicht mehr auftritt.

Falschparker im Internet bloßgestellt – Datenschutzverstoß

25. Juni 2019

Falschparker sind in vielen überfüllten Großstädten ein Ärgernis. Sie blockieren Ein- und Ausfahrten oder behindern Fußgänger und Fahrradfahrer. In Stuttgart wurden Verkehrssünder nun online von Twitter-Usern an den Pranger gestellt. Unter dem Hashtag #StuttgartParktFair wurden Fotos der falsch abgestellten Fahrzeuge gepostet.

Der Landesdatenschutzbeauftragte von Baden-Württemberg sieht hierin einen eindeutigen Verstoß gegen die Datenschutzgrundverordnung. Das Problem: Fotos der Falschparker werden mit klar erkennbaren Nummernschildern ins Internet gestellt. Nummernschilder sind personenbezogene Daten, die einem Fahrzeughalter zugeordnet sind und unterliegen mithin dem Datenschutz. Eine Veröffentlichung im Internet ohne Einwilligung des Betroffenen sei nicht zulässig.

Zwar sollen keine Verfahren gegen die Nutzer angestrebt werden, allerdings verweist der Landesdatenschutzbeauftragte darauf, dass den Betroffenen möglicherweise Schadensersatzansprüche zustehen können.

Kategorien: Allgemein · DSGVO · Online-Datenschutz · Social Media
Schlagwörter: ,

Update Hackerangriff: Verdächtiger festgenommen

8. Januar 2019

Ein Tatverdächtiger im Zusammenhang mit dem riesigen Datenklau wurde festgenommen und soll nach bisherigen Erkenntnissen Einzeltäter gewesen sein.

Rund tausend Politiker und Prominente waren von dem in die Schlagzeilen geratenen massiven Online-Angriff betroffen, sogar ganz persönliche Dinge standen von einigen Betroffenen im Internet.

Am Wochenende hatte das BKA bereits Wohnungen in Hessen und Baden-Württemberg durchsucht und zahlreiche Beweismittel beschlagnahmt. Am Sonntag wurde die Wohnung des Tatverdächtigen durchsucht und er vorläufig verhaftet. Nach Informationen der Welt soll der junge Mann (20) nach mehreren Vernehmungen geständig gewesen sein. Das BKA und die Generalstaatsanwaltschaft Frankfurt am Main werden heute um 12 Uhr über das Ergebnis der Ermittlungen informieren. Der Verdächtige wurde inzwischen, mangels Haftgründen, aus der Untersuchungshaft entlassen.

Das inzwischen gesperrte Twitter-Konto @_0rbit wurde im Dezember 2018 als eine Art Adventskalender benutzt, indem jeden Tag ein Link zu neuen Daten online gestellt wurde. Zahlreiche personenbezogene Daten von Politikern und Prominenten waren betroffen. Einige Daten wurden bereits vorher veröffentlicht. Bekannt wurde das Ganze jedoch erst im neuen Jahr.

Überwiegend ging es um die Veröffentlichung von Kontaktdaten (940 Fälle). In etwa 50 Fällen handelte es sich um schwerwiegendere Veröffentlichungen, wie die Preisgabe von Privatdaten, Chatverläufen, Korrespondenzen sowie Fotos von Pässen.

Betroffen sind zahlreiche Daten von Europa-, Bundes- und Landespolitikern der FDP, der Linken, den Grünen, der SPD und der CDU/CSU, wie auch Frank-Walter Steinmeier. Aber auch Daten von Prominenten wie Jan Böhmermann wurden nicht verschont.

Die Bundesregierung kündigt an, aus diesem Fall Konsequenzen zu ziehen und möchte in Zukunft die Cyber-Sicherheit verbessern. In Planung ist derzeit, in den nächsten Monaten unter anderem ein “Cyber-Abwehrzentrum plus” zu schaffen.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter:

Twitter soll Links sperren

7. Januar 2019

Der Datenschutzbeauftragte Johannes Caspar forderte Twitter zur Sperrung von Links auf, welche im Zusammenhang mit der Veröffentlichung von Daten von Politikern im Internet auftauchten. Der für die Veröffentlichung genutzte Account ist zwar mittlerweile gesperrt, jedoch sind die auf anderen Plattformen befindlichen Daten noch über Links in Form von Retweets und Likes andere Nutzer frei und können somit noch weiterverbreitet werden. Caspar stellte Twitter deshalb auch eine Liste mit Shortlinks bereit, die gelöscht werden sollen. Bisher hat sich Twitter auf diese Aufforderung hin nicht gemeldet. In der deutschen Niederlassung in Hamburg war zudem kein Ansprechpartner erreichbar.

Nun wird versucht, mittels einer an Twitter gerichteten Anordnung, die rechtsverbindliche Sperrung der Links zu erzielen.

Dies wurde in Zusammenarbeit mit der irischen Datenschutzbehörde erwirkt, da sich dort der europäische Hauptsitz von Twitter befindet.

Hacker haben Daten zahlreicher deutscher Politiker veröffentlicht

4. Januar 2019

Deutsche Medien (rrb, Süddeutsche Zeitung, Zeit Online u.v.m.) berichten an diesem Morgen von einem großen Hackerangriff auf Daten zahlreicher deutscher Politiker.

Laut der Berichte wurden bereits seit Anfang Dezember letzten Jahres Daten von Bundestagsabgeordneten und Landespolitikern über einen Twitter-Account mit etwa 17.000 Followern veröffentlicht. Auf diesem wurden Kontaktdaten, wie Handynummern und Adressen, parteiinterne Dokumente, Einzugsermächtigungen und Kreditkarteninformationen von Familienmitgliedern, Rechnungen, Briefe und Chats mit Familienangehörigen veröffentlicht.

Betroffen sind Mitglieder aller im Bundestag vertretenen Parteien, mit Ausnahme der AfD. Laut rbb gehört der Account zu einer Hamburger Internet-Plattform.

Mit welchem Ziel die Daten geleakt wurden und aus welchen Quellen die Daten stammen ist bislang nicht bekannt. Ebenso ist unklar, warum der Hackerangriff erst gestern entdeckt wurde.

Der Hackerangriff macht wieder einmal die Relevanz von IT- und Datensicherheit deutlich und zeigt welche Auswirkungen bestehende Sicherheitslücken haben können.

1 2 3