Die explosive Twitter-Whistleblower-Beschwerde, die gestern veröffentlicht wurde – mit einer Reihe vernichtender Anschuldigungen in Bezug auf Sicherheit, Privatsphäre und Datenschutz (unter anderem) des ehemaligen ehemaligen Sicherheitschefs von Twitter, Peiter „Mudge“ Zatko – enthielt Verweise auf europäische Regulierungsbehörden behauptet, dass das Social-Media-Unternehmen regionale Aufsichtsbehörden über die Einhaltung lokaler Gesetze in die Irre geführt oder zu täuschen beabsichtigt habe.
Zwei nationale Datenschutzbehörden in der EU, in Irland und Frankreich, haben gegenüber Tech bestätigt, dass sie der Whistleblower-Beschwerde nachgehen.
Irland, das Twitters leitende Aufsichtsbehörde für die Datenschutz-Grundverordnung (DSGVO) des Blocks ist – und zuvor eine DSGVO-Untersuchung eines separaten Sicherheitsvorfalls leitete, der zu einer Geldstrafe von 550.000 US-Dollar für Twitter führte – sagte, dass es mit dem Unternehmen „in Kontakt“ stehe Folge der Publicity rund um die Beschwerde.
„Wir sind uns der Probleme bewusst geworden, als wir die Medienberichte gelesen haben [yesterday] und haben uns in dieser Angelegenheit mit Twitter in Verbindung gesetzt“, sagte uns der stellvertretende Beauftragte der Regulierungsbehörde, Graham Doyle.
Die französische Datenschutzbehörde sagte, sie untersuche die in der Beschwerde erhobenen Vorwürfe.
„Die CNIL untersucht derzeit die in den USA eingereichte Beschwerde. Im Moment sind wir nicht in der Lage, die Richtigkeit der mutmaßlichen Verstöße zu bestätigen oder zu dementieren“, sagte uns ein Sprecher der französischen Aufsichtsbehörde. „Wenn die Vorwürfe wahr sind, könnte die CNIL Kontrollen durchführen, die zu einer Anordnung zur Einhaltung oder zu einer Sanktion führen könnten, wenn Verstöße festgestellt werden. Liegt kein Verstoß vor, wird das Verfahren eingestellt.
Bedenken hinsichtlich des maschinellen Lernens
Irlands Datenschutzkommission (DPC) und Frankreichs nationales Äquivalent, die CNIL, wurden beide im „Mudge-Bericht“ zitiert – in einem Fall im Zusammenhang mit Zatkos Verdacht, dass Twitter beabsichtigte, sie in Bezug auf Anfragen zu Datensätzen, die zum Trainieren verwendet wurden, in die Irre zu führen seine maschinellen Lernalgorithmen auf ähnliche Weise wie in der Beschwerde behauptet wird, Twitter habe die FTC Jahre zuvor über das Problem in die Irre geführt.
In einem Abschnitt der Beschwerde mit dem Titel „Irreführende Regulierungsbehörden in mehreren Ländern“ behauptet Zatko, die FTC habe Twitter Fragen zu den Schulungsmaterialien gestellt, die zum Aufbau ihrer Modelle für maschinelles Lernen verwendet wurden.
„Twitter erkannte, dass wahrheitsgemäße Antworten das Unternehmen in umfangreiche Verletzungen des Urheberrechts / des geistigen Eigentums verwickeln würden“, heißt es in der Beschwerde, bevor behauptet wird, dass die Strategie von Twitter (von der er sagt, dass Führungskräfte „explizit einräumten, dass sie irreführend war“) darin bestand, die Bereitstellung der angeforderten Informationen an die FTC abzulehnen Schulungsmaterial und verweise stattdessen auf „bestimmte Modelle, die das Versäumnis von Twitter, angemessene IP-Rechte zu erwerben, nicht aufdecken würden“.
Die beiden europäischen Aufsichtsbehörden kommen ins Spiel, weil Zatko vorschlägt, dass sie in diesem Jahr ähnliche Untersuchungen anstellen würden – und er sagt, ihm sei von einem Twitter-Mitarbeiter mitgeteilt worden, dass das Unternehmen beabsichtige, dieselbe Taktik anzuwenden, die es als Reaktion auf frühere FTC eingesetzt habe Anfragen zu diesem Thema, um die behördliche Prüfung zu entgleisen.
„Anfang 2022 wurde erwartet, dass die irische DPC und die französische CNIL ähnliche Fragen stellen würden, und ein leitender Datenschutzmitarbeiter teilte Mudge mit, dass Twitter dieselbe Täuschung versuchen würde“, heißt es in der Beschwerde. „Wenn sich die Umstände seit der Entlassung von Mudge im Januar nicht geändert haben, ist der fortgesetzte Betrieb vieler seiner Basisprodukte durch Twitter höchstwahrscheinlich rechtswidrig und könnte Gegenstand einer einstweiligen Verfügung sein, die den größten Teil oder die gesamte Twitter-Plattform zum Erliegen bringen könnte.“
Weder die irische noch die französische Aufsichtsbehörde antworteten auf Fragen zu den konkreten Behauptungen. Es ist also nicht klar, welche Anfragen die EU-Datenschutzbehörden möglicherweise an Twitter in Bezug auf seine Trainingsdatensätze für maschinelles Lernen gestellt haben oder zu stellen planen.
Eine Möglichkeit – und angesichts des EU-Datenschutzrechts vielleicht die wahrscheinlichste – könnte sein, dass sie Bedenken oder den Verdacht haben, dass Twitter personenbezogene Daten verarbeitet hat, um seine KI-Modelle zu erstellen, ohne eine angemessene Rechtsgrundlage für die Verarbeitung zu haben.
In einem separaten Beispiel sah sich das umstrittene Gesichtserkennungsunternehmen Clearview AI in den letzten Monaten einer Reihe regionaler Durchsetzungsmaßnahmen von Datenschutzbehörden gegenüber, die mit der Verwendung personenbezogener Daten zum Training seiner Gesichtserkennungsmodelle in Verbindung standen. Obwohl die personenbezogenen Daten in diesem Fall – Selfies/Gesichtsbiometrie – zu den am besten geschützten „sensiblen“ Datenklassen nach EU-Recht gehören, bedeutet dies, dass sie die strengsten Anforderungen für die rechtliche Verarbeitung erfüllen (und es ist nicht klar, ob Twitter möglicherweise ähnlich sensible Daten verwendet hat). Datensätze zum Trainieren seiner KI-Modelle).
Cookies außer Kontrolle?
Die Mudge-Beschwerde erhebt auch die direkte Behauptung, Twitter habe die CNIL in einem anderen Fall – im Zusammenhang mit der unsachgemäßen Trennung von Cookie-Funktionen – in die Irre geführt, nachdem die französische Aufsichtsbehörde sie angewiesen hatte, ihre Prozesse zu ändern, um sie im Dezember 2021 mit den einschlägigen Gesetzen in Einklang zu bringen.
Zatko behauptet, dass Twitter bis zum 2./3. Quartal 2021 kein ausreichendes Verständnis dafür hatte, wie es Cookies einsetzt und wofür sie verwendet werden – und dass Twitter-Cookies für mehrere Funktionen wie Anzeigenverfolgung und Sicherheitssitzungen verwendet wurden.
„Es war offensichtlich, dass Twitter in vielen Regionen der Welt gegen internationale Datenanforderungen verstoßen hat“, heißt es in der Beschwerde.
Ein wichtiger Grundsatz des Datenschutzrechts der Europäischen Union, der hier zur Anwendung kommt, ist die „Zweckbindung“ – dh der Grundsatz, dass personenbezogene Daten für den angegebenen (legitimen) Zweck verwendet werden müssen, für den sie erhoben wurden; und dass die Verwendung von Daten nicht gebündelt werden sollte. Wenn Twitter also Cookie-Funktionen für deutlich unterschiedliche Zwecke wie Marketing und Sicherheit mischen würde – wie in der Beschwerde behauptet – würde dies zu klaren rechtlichen Problemen in der EU führen.
Der Beschwerde zufolge hat die CNIL Wind von einem Problem mit der Cookie-Funktion bei Twitter bekommen und das Unternehmen angewiesen, das Problem Ende letzten Jahres zu beheben, wobei sie sich vermutlich auf ihre Zuständigkeit im Rahmen der ePrivacy-Richtlinie der EU (die die Verwendung von Tracking-Technologien wie Cookies regelt) stützte.
Zatko schreibt, dass ein neues Datenschutz-Engineering-Team bei Twitter „unermüdlich“ daran gearbeitet habe, die Cookie-Funktion zu entwirren, um „irgendeine Form der Benutzerauswahl und -kontrolle“ zu ermöglichen – um beispielsweise Tracking-Cookies zu verweigern, aber sicherheitsrelevante Cookies zu akzeptieren – wie würde nach EU-Recht erforderlich sein. Und er sagt, dass dieser Fix am 31. Dezember 2021 exklusiv in Frankreich eingeführt, aber sofort zurückgesetzt und deaktiviert wurde, nachdem Twitter auf ein Problem gestoßen war – ein operativer SNAFU, den er aufgreift, um Twitter noch mehr dafür verantwortlich zu machen, dass es keinen separaten gibt Testumgebung.
Aber während er schreibt, dass der Fehler „innerhalb weniger Stunden“ behoben wurde, behauptet er, dass Twitter-Produkte und rechtliche Entscheidungsträger die Einführung für einen weiteren Monat – bis zum 31 bevor Sie den Fix ausrollen“.
„Mudge forderte die Führungskräfte auf zu behaupten, dies sei alles andere als ein Versuch, inkrementelle Gewinne über die Privatsphäre der Benutzer und gesetzliche Datenschutzanforderungen zu stellen“, heißt es in der Beschwerde weiter und fügt hinzu: „Die hochrangigen Führungskräfte bei diesem Treffen gaben zu, dass Mudge Recht hatte.“
Zatko macht eine weitere Behauptung geltend, Twitter habe „proaktive“ rechtliche Schritte eingeleitet – in denen er sagt, dass sie „versuchten zu behaupten, dass alle Cookies per Definition kritisch und erforderlich seien, weil die Plattform durch Werbung betrieben wird“ – bevor er dies währenddessen behauptete In internen Gesprächen hörte er Produktmitarbeiter, die erklärten, das Argument sei „falsch und in böser Absicht gemacht“.
Twitter wurde wegen einer Antwort auf die spezifischen Behauptungen kontaktiert, auf die in den zitierten Teilen des Berichts des Hinweisgebers verwiesen wird, aber zum Zeitpunkt der Erstellung dieses Berichts hatte es noch nicht geantwortet. Aber das Unternehmen hat gestern eine allgemeine Antwort auf den Mudge-Bericht veröffentlicht und die Beschwerde als „falsche Erzählung“ eines verärgerten ehemaligen Mitarbeiters abgetan, von der es auch behauptete, sie sei „durchsetzt mit Ungereimtheiten und Ungenauigkeiten“.
Unabhängig davon löst die Whistleblower-Beschwerde bereits eine neue behördliche Prüfung der Behauptungen von Twitter aus.
Es ist nicht klar, welche Strafen dem Unternehmen in der EU drohen könnten, wenn die Aufsichtsbehörden – bei näherer Betrachtung – entscheiden, dass es gegen regionale Anforderungen verstoßen hat, nachdem sie Mudges Beschwerde nachgegangen sind.
Die DSGVO erlaubt Strafen, die bis zu 4 % des weltweiten Jahresumsatzes betragen können – obwohl die frühere DSGVO-Strafe von Twitter für einen separaten sicherheitsbezogenen Verstoß weit darunter lag. Die Vollstreckung soll jedoch das Ausmaß und das Ausmaß (und tatsächlich die Absicht) von Verstößen berücksichtigen – und die von Mudge behaupteten umfangreichen Versäumnisse könnten – wenn sie durch eine förmliche behördliche Untersuchung bestätigt werden – letztendlich zu einer weitaus härteren Strafe führen.
Die ePrivacy-Richtlinie, die der CNIL die Befugnis verleiht, die Cookies von Twitter zu regulieren, ermächtigt die Datenschutzbehörden, „wirksame, verhältnismäßige und abschreckende“ Sanktionen zu verhängen – es ist also schwer vorherzusagen, was dies finanziell bedeuten könnte, wenn sie eine Geldstrafe für gerechtfertigt hält. Aber in den letzten Jahren hat die französische Aufsichtsbehörde Technologiegiganten eine Reihe von Bußgeldern in Höhe von mehreren Millionen Dollar wegen Fehlern im Zusammenhang mit Cookies auferlegt.
Dazu gehören zwei kräftige Strafen für Google – eine Geldstrafe von 170 Millionen US-Dollar im Januar wegen irreführender Cookie-Zustimmungsbanner; und eine separate Geldstrafe von 120 Millionen US-Dollar im Dezember 2020 für das Ablegen von Tracking-Cookies ohne Zustimmung – sowie eine Geldstrafe von 68 Millionen US-Dollar für Facebook im Januar (ebenfalls für irreführende Cookies) und eine Geldstrafe von 42 Millionen US-Dollar für Amazon Ende 2020, ebenfalls für Ablegen von Tracking-Cookies ohne Zustimmung.