Die irische Datenschutzkommission (DPC) hat Twitter mit einer Geldstrafe belegt. Das Unternehmen hat gegen die EU-Datenschutz-Grundverordnung (GDPR) verstoßen, indem es Nutzer nicht rechtzeitig über eine Datenschutzverletzung informiert und diese nicht dokumentiert hat.
Bei dem Vorfall im Jahr 2019 wurden private Tweets von Nutzern der Twitter Android-App aufgrund einer Sicherheitslücke offengelegt, als diese Aktualisierungen an ihren Konten vornahmen.
In einer Erklärung der irischen Datenschutzbehörde hieß es, man habe "festgestellt, dass Twitter gegen die Artikel 33(1) und 33(5) der Datenschutz-Grundverordnung verstoßen hat, da der Datenschutzbeauftragte nicht rechtzeitig über den Verstoß informiert und der Verstoß nicht angemessen dokumentiert wurde".
Dies ist das erste Mal, dass ein Bußgeld dieser Art gegen ein US-amerikanisches Online-Unternehmen gemäß EU-Datenschutzgesetz verhängt wurde. Allerdings gibt es derzeit mehr als 20 laufende Untersuchungen gegen weitere Unternehmen, darunter Apple, Facebook, Google, LinkedIn und WhatsApp. Auch Twitter ist derzeit Gegenstand von zwei weiteren Untersuchungen durch die irische Datenschutzbehörde.
Die GDPR verlangt von Unternehmen, Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Behörde zu melden, Personen zu kontaktieren, die von der Situation betroffen gewesen sein könnten und die Vorgänge zu dokumentieren.
Als Reaktion auf die Entscheidung der DPC sagte Damian Kieran, oberster Datenschutzbeauftragter von Twitter:
"Wir übernehmen die Verantwortung für diesen Fehler und verpflichten uns weiterhin voll und ganz, die Privatsphäre und die Daten unserer Kunden zu schützen, auch durch unsere Arbeit, die Öffentlichkeit schnell und transparent über auftretende Probleme zu informieren."
Die irische Datenschutzbehörde zog es zunächst in Erwägung, Twitter zu einer Geldstrafe von 150.000 bis 300.000 Euro zu verurteilen. Man entschied jedoch später, die Strafe zu erhöhen, nachdem sich österreichische, deutsche und italienische Behörden mit der ursprünglich geplanten Summe unzufrieden zeigten.
Abhängig von der Schwere eines Verstoßes sind die Regulierungsbehörden berechtigt, eine Geldstrafe in Höhe von bis zu vier Prozent des weltweiten Umsatzes des jeweiligen Unternehmens beziehungsweise 22 Millionen US-Dollar zu verhängen.
Mehr zum Thema - Datenkrake SCHUFA will wachsen – Kontodaten sollen Teil der Bonitätsprüfung werden