Elon Musks Wunsch, verschwörerische Scheiße zu schüren, indem er ausgewählten Außenstehenden, die mit seiner konservativen Agenda in Einklang stehen, Zugang zu Twitter-Systemen und -Daten gewährt, könnte den reichsten Mann der Welt in einen ernsthaften Doodoo mit den Aufsichtsbehörden auf beiden Seiten des Atlantiks bringen.
In den letzten Tagen hat dieser Zugriff, den Musk einigen externen Reportern gewährt hat, zur Veröffentlichung dessen geführt, was er und seine Cheerleader als Exposé des früheren Ansatzes der Plattform zur Moderation von Inhalten darstellen.
Bisher waren diese „Twitter Files“-Veröffentlichungen, wie er sie gebrandmarkt hat, ein feuchter Knaller in Bezug auf berichtenswerte Enthüllungen – es sei denn, die Vorstellung, dass ein Unternehmen mit einer großen Menge an nutzergenerierten Inhalten A) Vertrauens- und Sicherheitsmitarbeiter beschäftigt, die darüber diskutieren, wie zur Umsetzung von Richtlinien, einschließlich in B) sich schnell verändernden Situationen, in denen möglicherweise noch nicht alle Fakten zu Inhalten festgestellt wurden; und C) auch über Moderationssysteme verfügt, die angewendet werden können, um die Sichtbarkeit potenziell schädlicher Inhalte zu verringern (als Alternative zum Entfernen), ist eine besonders wilde Neuigkeit.
Aber diese stark amplifizierten Datendumps könnten dennoch einige harte Nachrichten für Twitter hervorbringen – wenn Musks Taktik, seine Systeme für externe Reporter zu öffnen, in Form von behördlichen Sanktionen zurückschlägt.
Die irische Datenschutzkommission (DPC), die (zumindest vorerst) die führende Datenschutzbehörde von Twitter in der Europäischen Union ist, bittet Twitter um weitere Einzelheiten zum Problem des Datenzugriffs von Außenstehenden.
„Die DPC war heute Morgen mit Twitter in Kontakt. Wir arbeiten in dieser Angelegenheit mit Twitter zusammen, um weitere Details zu ermitteln“, sagte eine Sprecherin gegenüber Tech.
Heute früher, Bloomberg berichtete auch über Bedenken hinsichtlich des Zugriffs von Außenstehenden auf Twitter-Benutzerdaten – unter Berufung auf Tweets des ehemaligen CISO von Facebook, Alex Stamos, der öffentlich postulierte, dass ein Twitter-Thread, der gestern von einem der Reporter gepostet wurde, denen Musk Zugang gewährte, „für die FTC ausreichen sollte Eröffnung einer Untersuchung des Einwilligungsdekrets“.
Der FTC-Zustimmungserlass von Twitter stammt aus dem Jahr 2011 – und bezieht sich auf Vorwürfe, dass das Unternehmen die „Sicherheit und Privatsphäre“ von Benutzerdaten über mehrere Jahre hinweg falsch dargestellt habe.
Das Social-Media-Unternehmen wurde bereits im Mai wegen Verstoßes gegen die Anordnung mit einer Geldstrafe von 150 Millionen US-Dollar belegt. Aber zukünftige Strafen könnten viel strenger sein, wenn die FTC der Meinung ist, dass sie die Bedingungen der Vereinbarung offenkundig verletzt. Und die Zeichen sind ahnungsvoll, da die FTC Twitter bereits im vergangenen Monat benachrichtigt hat – mit der Warnung, dass „kein CEO oder Unternehmen über dem Gesetz steht“.
Eine weitere Überlegung ist hier die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union – die eine gesetzliche Anforderung enthält, dass personenbezogene Daten angemessen geschützt sind.
Dies ist als Sicherheits- oder „Integritäts- und Vertraulichkeitsprinzip“ der DSGVO bekannt, das besagt, dass personenbezogene Daten:
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung, unter Verwendung geeigneter technischer oder organisatorischer Maßnahmen („Integrität und Vertraulichkeit“).
Die Übergabe von Benutzerdaten (und/oder Systemzugriffen, die Benutzerdaten offenlegen könnten) an Nicht-Mitarbeiter zum Durchsuchen könnte daher Fragen darüber aufwerfen, ob Twitter das Sicherheitsprinzip der DSGVO vollständig einhält. Auch hier stellt sich die Frage, auf welche Rechtsgrundlage sich Twitter beruft, um (nicht-öffentliche) Nutzerdaten an Außenstehende weiterzugeben, falls dies tatsächlich der Fall ist.
Auf den ersten Blick hätten Twitter-Nutzer kaum wissentlich einer solchen außergewöhnlichen Verarbeitung gemäß den Standard-AGB zugestimmt. Und es ist nicht klar, welche anderen Rechtsgrundlagen hier vernünftigerweise Anwendung finden könnten. (Twitters Bedingungen sich je nach Verarbeitungsszenario auf vertragliche Notwendigkeiten, berechtigte Interessen, Einwilligungen oder rechtliche Verpflichtungen in Bezug auf die Verarbeitung von Direktnachrichten oder anderen nicht öffentlichen Mitteilungen der Benutzer berufen – aber welche dieser Grundlagen würde passen, wenn sie dies tatsächlich tut Art von nicht-öffentlichen Benutzerdaten an Nicht-Mitarbeiter, die weder Twitter-Dienstleister noch Behörden wie Strafverfolgungsbehörden usw. sind, ist umstritten.)
Nach ihrer Meinung dazu gefragt, Lilian Edwards – eine Professorin für Recht, Innovation und Gesellschaft an der Newcastle Law School – sagte uns, dass die Art und Weise, wie die DSGVO hier angewendet wird, nicht geklärt ist, aber sie schlug vor, dass Twitter Daten an unvorhergesehene Dritte („die sie wohl oder übel weitergeben könnten“) weitergeben könnte ein Verstoß gegen das Sicherheitsprinzip sein.
„Wenn Sie eingewilligt haben [to Twitter’s expansive terms], haben Sie diese Verwendungen autorisiert – also keine Sicherheitsverletzung? Ich denke, hier muss ein Element der Ungeheuerlichkeit vorhanden sein“, argumentierte sie. „Wie sehr haben Sie das nicht erwartet und wie anfällig für Sicherheits- und Datenschutzbedrohungen sind Sie – z. B. wenn es persönliche Informationen wie Passwörter oder Telefonnummern enthält?“
„Es ist schwierig“, fügte sie hinzu – unter Berufung auf Leitlinien der britischen Datenschutzbehörde, die feststellt, dass die gemäß der DSGVO erforderlichen Sicherheitsmaßnahmen „sicherstellen sollten, dass die Daten: nur von denen abgerufen, geändert, offengelegt oder gelöscht werden können, die Sie haben dazu bevollmächtigt sind (und dass diese Personen nur im Rahmen der von Ihnen erteilten Vollmacht handeln“.
„Nun, Musk hat sie richtig autorisiert, aber sollte er? Sind sie Sicherheitsrisiken? Ich denke, eine vernünftige Datenschutzbehörde würde das ziemlich streng betrachten.“
Zum Zeitpunkt des Verfassens dieses Artikels ist nicht klar, welche Daten genau oder wie viel Systemzugriff Twitter seinen ausgewählten externen Reportern zur Verfügung stellt – daher ist nicht klar, ob nicht öffentliche Benutzerdaten übergeben wurden oder nicht.
Einer der Reporter, die über Twitter Zugang erhalten, der Journalist Bari Weiss, behauptete in a twittern Thread (der sich auf vier andere Autoren bezieht, die mit der von ihr gegründeten Publikation in Verbindung stehen und über die Daten berichten werden): „Die Autoren haben breiten und wachsenden Zugriff auf die Dateien von Twitter. Die einzige Bedingung, der wir zugestimmt haben, war, dass das Material zuerst auf Twitter veröffentlicht wird.“
Eine andere dieser Schriftstellerinnen, Abigail Shrier, weiter behauptet: „Unser Team erhielt umfassenden, ungefilterten Zugriff auf die interne Kommunikation und Systeme von Twitter.“
Dennoch fehlen in beiden Tweets spezifische Details zu den Daten, auf die sie zugreifen können.
Twitter hat auch – über einen Mitarbeiter – verweigert, den Reportern Live-Zugriff auf nicht-öffentliche Benutzerdaten als Reaktion auf einen Alarm über die gewährte Zugriffsebene zu gewähren. Die neue Vertrauens- und Sicherheitsleiterin des Unternehmens, Ella Irwin, twitterte in den letzten Stunden, um zu behaupten, dass Screenshots einer internen Systemansicht von Konten, die online geteilt wurden, scheinbar Details des internen Zugriffs zeigten, der Außenstehenden von Twitter gewährt wurde, dies nicht taten Live-Zugriff auf seine Systeme darstellen.
Vielmehr sagte sie, sie habe den Reportern diese Screenshots dieser internen Tool-Ansicht selbst zur Verfügung gestellt – „aus Sicherheitsgründen“.
Irwins Tweet behauptete auch, dass diese Screenshot-Sharing-Methode gewählt wurde, um „keine PII sicherzustellen [personally identifiable information] ausgesetzt war“.
„Wir haben Reportern diesen Zugriff nicht gewährt, und nein, Reporter haben nicht auf Benutzer-DMs zugegriffen“, fügte sie als Antwort auf einen Twitter-Benutzer hinzu, der Sicherheitsbedenken über den Zugriff der Reporter auf seine Systeme (und möglicherweise auf DMs) geäußert hatte. Irwin kam erst im Juni als Product Lead für Trust & Safety zu Twitter – wurde aber letzten Monat zum Head of Trust & Safety ernannt (via Die Information), um den ehemaligen Leiter Yoel Roth zu ersetzen, der nach nur zwei Wochen unter Musk zurückgetreten war, weil er Bedenken hinsichtlich eines „diktatorischen Edikts“ hatte, das Musk von einer in gutem Glauben angewandten Politik übernommen hatte.
Abgesehen von der Frage, warum die neue Leiterin für Vertrauen und Sicherheit von Twitter ihre Zeit damit verbringt, interne Daten zu scannen, um sie mit Nicht-Mitarbeitern zu teilen, deren Zweck es ist, Berichte zu veröffentlichen, die solche Informationen enthalten, ist ihre Wahl der Nomenklatur hier bemerkenswert: „PII“ ist keine Begriff finden Sie überall in der DSGVO. Es ist ein Begriff, der von US-Unternehmen bevorzugt wird, die darauf aus sind, die Idee der „Privatsphäre der Benutzer“ auf das Nötigste zu reduzieren (dh tatsächlicher Name, E-Mail-Adresse usw.), anstatt anzuerkennen, dass die Privatsphäre von Menschen auf viel mehr Arten als durch direkte Offenlegung gefährdet werden kann PII.
Dies ist wichtig, da die relevante Rechtsterminologie in der DSGVO „personenbezogene Daten“ ist – die viel weiter gefasst sind als PII und eine Vielzahl von Daten umfassen, die möglicherweise nicht als PII gelten (z. B. IP-Adresse, Werbetreibenden-IDs, Standort usw.). Wenn es Irwin also in erster Linie darum geht, die Offenlegung von „PII“ zu vermeiden, versteht sie die Sicherheit personenbezogener Daten im Sinne der EU-DSGVO entweder nicht – oder priorisiert sie nicht.
Das sollte die Regulierungsbehörden der Europäischen Union beunruhigen.
Während Irlands DPC derzeit der leitende Datenaufseher für Twitter ist, seit Musk das Unternehmen Ende Oktober übernommen hat – und sich daran gemacht hat, die Zahl der Mitarbeiter zu kürzen und Dutzende mehr Mitarbeiter dazu zu bringen, auf eigenen Wunsch zu gehen, darunter ein Trio aus leitenden Sicherheits-, Datenschutz- und Datenschutzbeauftragten Compliance-Führungskräfte, die gleichzeitig vor einem Monat zurückgetreten sind – es wurden Fragen zum Status ihres Anspruchs aufgeworfen, in Irland für die DSGVO „hauptsächlich niedergelassen“ zu sein.
Wie wir bereits berichtet haben, riskiert eine einseitige Entscheidungsfindung von Musk in den USA, dass Twitter aus dem One-Stop-Shop (OSS)-Mechanismus der DSGVO herausfällt, da es erfordert, dass Entscheidungen getroffen werden, die die Daten von EU-Nutzern betreffen, um die irische Einheit von Twitter einzubeziehen. Und wenn das Unternehmen seinen Anspruch auf den Status einer Hauptniederlassung in Irland verliert, würde es sofort sein regulatorisches Risiko erhöhen, da Datenaufsichtsbehörden in der gesamten EU, nicht nur das DPC, in der Lage wären, ihre eigenen Untersuchungen einzuleiten, wenn sie der Meinung sind, dass die Daten lokaler Benutzer vorhanden sind Risiko.
Da Musk jetzt die Systeme von Twitter für unerwartete Außenstehende öffnet, veranstaltet er ein sehr öffentliches Spektakel, das große Fragen zu Sicherheits- und Datenschutzrisiken aufwirft, die – wenn die strenge Aufsicht durch das DPC fehlschlägt – andere EU-Datenschutzbehörden zunehmend besorgt über die Integrität der Iren von Twitter machen könnten Aufsicht auch. (Und die DSGVO erlaubt Notfallinterventionen durch nicht federführende Datenschutzbehörden, wenn sie ein dringendes Risiko für die Daten lokaler Benutzer sehen, so dass Twitter an anderer Stelle in der EU einer Einwahlprüfung ausgesetzt sein könnte, selbst wenn es sich angeblich noch im OSS befindet, wie es TikTok kürzlich getan hat in Italien.)
Seit Musk das Unternehmen übernommen hat, hat Twitter seine Kommunikationsfunktion eingestellt – daher war es nicht möglich, einer Pressestelle Fragen zum Grad des Datenzugriffs zu stellen, den Twitter externen Reportern gewährt, oder zu der Rechtsgrundlage, auf die es sich für die Weitergabe stützt diese Information. Aber wir fügen gerne eine Erklärung von Twitter hinzu, wenn es eine senden möchte.