Christina Etteldorf

Irland: Finale Strafe gegen Twitter


Die irische Datenschutzbehörde (Data Protection Commission, DPC) hat nun ihre endgültige Entscheidung im Verfahren gegen die Social Media Plattform Twitter wegen eines Datensicherheitsvorfalls auf der Plattform Ende 2018 getroffen. Das Verfahren hatte auf EU-Ebene das von der DS-GVO vorgesehene Kohärenzverfahren für grenzüberschreitende Fälle durchlaufen, da durch den Vorfall auf der international agierenden Plattform auch Nutzer in anderen Mitgliedstaaten betroffen waren. Die 180-seitige Entscheidung der DPC kommt zu dem Ergebnis, dass eine Verletzung von Art. 33 Abs. 1 und 5 DS-GVO vorlag, und beziffert die Geldbuße mit 450.000,– EUR.

Konkret ging es in dem Verfahren darum, dass Ende 2018/Anfang 2019 durch einen Fehler in der Android-App Posts und Accounts, die von den Nutzern der Plattform als privat gekennzeichnet worden waren, fehlerhafter Weise frei öffentlich zugänglich gemacht worden waren. Hiervon waren nicht nur irische Nutzer, sondern Nutzer in der ganzen Welt betroffen. Die Plattform meldete den Verstoß gegenüber der DPC, die auf Grund der europäischen Niederlassung von Twitter in Irland federführend als Aufsichtsbehörde zuständig ist (Art. 56 DS-GVO) und daraufhin ein Untersuchungsverfahren einleitete. I.E. stellte die DPC insbesondere (insoweit auch im Wesentlichen unbestritten) Verstöße gegen Datenschutz- und Datensicherheitsrecht fest. Wegen der grenzüberschreitenden Bezüge wurde jedoch das Kohärenzverfahren (Art. 60 ff. DS-GVO) zur Beteiligung weiterer zuständiger europäischer Datenschutzbehörden eingeleitet. Diese kritisierten insbesondere den Umfang der festgestellten Verstöße, die Feststellungen zur Rolle von Twitter als (alleinige) für die Datenverarbeitung Verantwortliche sowie die Höhe der vorgeschlagenen Geldbuße. Bereits am 9.11.2020 hatte der Europäische Datenschutzausschuss (EDSA) daher seinen ersten Streitbeilegungsbeschluss auf der Grundlage von Art. 65 DS-GVO angenommen, auf dessen Grundlage die DPC nun zu entscheiden hatte.

 

Neben den umfangreichen Ausführungen zu den Verstößen gegen die genannten Vorschriften sowie zur Rechtfertigung des Erlasses einer Geldbuße (Art. 83 DS-GVO) sind dabei vor allem die Ausführungen zur Kalkulation des Bußgelds interessant. Die DPC stellt dabei unter Auslegung des Unternehmensbegriffs zunächst fest, dass es vorliegend allein auf die Einnahmen der Twitter Inc. als Betreiberin der Plattform ankomme. Anders als im früheren Entscheidungsentwurf (150.000-300.000 EUR) vorgesehen sei eine Höhe von 450.000,- Euro gerechtfertigt. Dabei wurden Art, Schwere und Dauer der betreffenden Verstöße unter Berücksichtigung der Art, des Umfangs und des Zwecks der Verarbeitung sowie der Anzahl der betroffenen Personen berücksichtigt. Art. 33 Abs. 1 und 33 Abs. 5 DS-GVO seien dabei von zentraler Bedeutung für das allgemeine Funktionieren der von den Aufsichtsbehörden ausgeübten Aufsichts- und Durchsetzungsregelungen. Zudem floss der fahrlässige Charakter der Verstöße besonders in die Berechnung ein.

 

Ass. iur. Christina Etteldorf ist wissenschaftliche Mitarbeiterin am Institut für Europäisches Medienrecht e.V. (EMR), Saarbrücken/Brüssel.