Nach einer Reihe von Rücktritten von hochrangigen Datenschutz- und Sicherheitsmitarbeitern von Twitter Ende letzter Woche hat das Social-Media-Unternehmen seine führende Datenschutzbehörde in der Europäischen Union darüber informiert, dass es einen „amtierenden“ Ersatz für eine dieser Positionen ernannt hat: Die Schlüsselrolle von Datenschutzbeauftragter (DSB).
Die abrupten Abgänge von Twitters CISO Lea Kissner; Chief Privacy Officer (und DPO) Damien Kieran; und Chief Compliance Officer Marianne Fogarty stellte sofort Fragen zu seiner Fähigkeit, die regulatorischen Anforderungen unter dem neuen, normenzerstörenden Besen Elon Musk zu erfüllen – der erst Ende letzten Monats seine 44-Milliarden-Dollar-Übernahme abgeschlossen hat.
Ein Unternehmen, das personenbezogene Daten in dem Umfang verarbeitet, wie Twitter es tut, ist gemäß der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verpflichtet, mindestens einen Datenschutzbeauftragten zu haben – als absolutes Minimum.
Twitter hat auch ein Zustimmungsdekret von 2011 mit der FTC, das es verpflichtet, regelmäßige Berichte darüber vorzulegen, wie es seinen laufenden Verpflichtungen zum Schutz von Benutzerdaten nachkommt – also ließ der plötzliche Abgang von leitenden Datenschutz- und Sicherheitsmitarbeitern sofort die Alarmglocken läuten. Unter anderem bei der Irish Data Protection Commission (DPC), Twitters führender Datenaufseher für die EU-DSGVO.
Ein Treffen zwischen dem DPC und Twitter folgte unmittelbar auf das Trio von Rücktritten – das letzte Woche vereinbart wurde und gestern stattfand – und bei diesem Treffen teilte das DPC Twitter mit, dass es einen bestehenden Mitarbeiter, Renato Monteiro, als seinen „ amtierender Datenschutzbeauftragter.“
Monteiro ist laut seinem LinkedIn-Profil seit zwei Jahren und neun Monaten bei Twitter beschäftigt – beginnend bei Match 2020 in São Paulo, Brasilien, als Data Protection Counsel Lead für Lateinamerika, bevor er diesen Sommer zu Twitter Irland wechselte, um eine Rolle als zu übernehmen Director for International Privacy and Data Protection Lead – Management von Datenschutz- und Datenschutzteams in Europa, dem Nahen Osten und Afrika, Nord- und Südamerika und APAC.
Es ist nicht klar, warum Monteiro nur zum „amtierenden“ Datenschutzbeauftragten ernannt wurde – oder ob seine Ernennung nur als Überbrückung gedacht ist, während ein vollständiger Ersatz gesucht wird, oder nicht.
Seit Musk Twitter übernommen hat, reagiert das Unternehmen nicht mehr auf Presseanfragen, sodass eine Bestätigung über einen offiziellen Kanal nicht möglich ist. Aber Musk scheint eine Vorliebe dafür zu haben, eher „Schauspieler“ als tatsächliche Berufsbezeichnungen zu ernennen, sowie mit absurden Berufsbezeichnungen zu spielen (z.Chef Dummkopf,” nachdem er gefeuert und den aktuellen CEO übernommen hatte; gefolgt von Musk zu „Twitter-Beschwerde-Hotline-Betreiber,“ scheinbar als Kommentar zu Benutzern, die negativ auf seine frühen Produktentscheidungen und andere Änderungen reagieren).
Eine Frage, die sich daher wahrscheinlich stellen wird, ist, ob Monteiro mit den vollständigen Verantwortlichkeiten und Pflichten ausgestattet ist, die die Rolle des Datenschutzbeauftragten gemäß DSGVO erfordert – und falls nicht, ob ein „handelnder“ Rahmen bei den EU-Regulierungsbehörden bestehen wird.
Zum Zeitpunkt des Verfassens dieses Artikels hatte die DPC unsere Frage zu diesem Punkt noch nicht beantwortet. Aber wir werden diesen Bericht aktualisieren, wenn wir eine Antwort erhalten.
Letzte Woche teilte uns die irische Regulierungsbehörde mit, dass sie neben der Nutzung des Treffens mit Twitter am Montag, um Informationen über die Situation des Datenschutzbeauftragten einzuholen, plante, ein umfassenderes Anliegen zu erörtern – um zu fragen, ob das Unternehmen immer noch seine Hauptniederlassung beansprucht (für DSGVO-Zwecke) In Irland.
Diese Struktur ist wichtig, weil sie es Twitter ermöglicht, am One-Stop-Shop (OSS)-Mechanismus der DSGVO teilzunehmen – der den DPC als seinen leitenden Datenaufseher für EU-Datenschutzfragen einrichtet und bedeutet, dass Beschwerden, die an anderer Stelle im Block eingereicht werden, normalerweise über weitergeleitet werden Irland – ermöglicht es dem in den USA ansässigen Unternehmen, seine DSGVO-Compliance zu optimieren und das regulatorische Risiko zu verringern.
Angesichts all der drastischen Änderungen, die mit der Übernahme von Twitter durch Musk einhergingen – einschließlich des angeblichen Verzichts auf standardmäßige Datenschutz- und Sicherheitsüberprüfungsprozesse – kommen jedoch Zweifel auf, ob Twitter immer noch glaubhaft behaupten kann, eine Hauptniederlassung in Irland zu beanspruchen, wie wir gestern berichteten.
Der stellvertretende Kommissar des DPC, Graham Doyle, lehnte es ab, nach dem gestrigen Treffen ein Update zu seiner Befragung des Status der wichtigsten Einrichtung von Twitter zu geben – und sagte nur: „Wir setzen uns weiterhin mit Twitter auseinander.“
Andere EU-Datenschutzbehörden werden die Entwicklungen an dieser Front wahrscheinlich sehr genau beobachten.
Ein Sprecher der französischen CNIL teilte Tech mit, dass sie sich an die DPC wenden werde, um die Art und „möglichen Folgen“ von Änderungen zu erörtern, die Berichten zufolge bei Twitter seit der Übernahme von Musk stattgefunden haben.
Obwohl die Aufsichtsbehörde uns auch sagte, dass sie derzeit nicht über „ausreichende Informationen“ verfüge, um die Anwendung des OSS in Frage zu stellen.
„Bisher haben die den Aufsichtsbehörden zur Verfügung stehenden Beweise dazu geführt, dass sie davon ausgegangen sind, dass der Hauptgeschäftssitz von Twitter in der EU in Irland war, was die DPC zur federführenden Behörde machte. Die CNIL beabsichtigt, sich an die DPC zu wenden, um über die Art und möglichen Folgen zu diskutieren, die die in der Presse erwähnten Änderungen wahrscheinlich auf die Rolle und den Status des irischen Unternehmens von Twitter haben werden“, sagte der Sprecher der CNIL.
„Zum jetzigen Zeitpunkt verfügt die CNIL nicht über ausreichende Informationen, um davon auszugehen, dass die Anwendung des One-Stop-Shop-Systems fraglich ist.“