Nachdem Twitter unter seinem neuen Geschäftsführer Elon Musk Anfang November rund die Hälfte seiner Mitarbeitenden entlassen haben soll, sind Behörden innerhalb und außerhalb Europas besorgt darüber, dass unternehmensinterne Sicherheitsmechanismen bei Twitter nun an Wirkung verlieren könnten. Denn unter den entlassenen Mitarbeitenden befanden sich auch die Datenschutz- und Sicherheitsbeauftragten des Unternehmens.
Unter wessen Aufsicht steht Twitter eigentlich?
Aktuell stellt sich die datenschutzrechtliche Aufsichtsbehörde in Irland (DPC) die Frage, ob sie für Twitter weiterhin alleinig zuständig ist oder nicht doch die Aufsicht europaweit verteilt werden müsste. Denn aufgrund des One-Stop-Shop-Prinzips muss sich Twitter momentan nur gegenüber der DPC verantworten.
One-Stop-Shop-Verfahren
Das One-Stop-Shop-Verfahren wurde zusammen mit der DSGVO eingeführt. Ziele des europäischen Gesetzgebers waren, sowohl für Unternehmen als auch für Aufsichtsbehörden den mit der Einhaltung von Datenschutzvorschriften verbundenen Aufwand zu senken, den freien Verkehr von personenbezogenen Daten zu ermöglichen und ein einheitliches Datenschutzniveau in allen Mitgliedstaaten zu schaffen. Bürokratie sowie Rechtsunsicherheit sollten verhindert werden, indem ausschließlich die federführende Aufsichtsbehörde für das Unternehmen zuständig ist.
Begründet wird diese Zuständigkeit einer Aufsichtsbehörde gemäß Art. 56 Abs. 1 DSGVO anhand zweier Kriterien:
- Es bedarf einer grenzüberschreitenden Verarbeitung von personenbezogenen Daten.
- Der Sitz der Hauptniederlassung innerhalb Europas.
Eine grenzüberschreitende Verarbeitung liegt vor, sofern ein Unternehmen entweder mehrere Niederlassungen innerhalb der EU hat, für deren Tätigkeit die Verarbeitung durchgeführt wird oder die Verarbeitung erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann, vgl. Art. 4 Nr. 23 DSGVO.
Eine Hauptniederlassung befindet sich in der Regel dort, wo die Hauptverwaltung des Unternehmens stattfindet. Sie kann aber auch dort liegen, wo effektive und tatsächliche Managementtätigkeiten ausgeübt werden, bei denen über die Zwecke und Mittel der Verarbeitungen entschieden wird, vgl. Erwägungsgrund 36. Dabei ist nicht ausschlaggebend, ob die Verarbeitung tatsächlich an diesem Ort ausgeführt wird oder andernorts.
Sofern diese Kriterien auf eine Niederlassung zutreffen, ist die dort ansässige Aufsichtsbehörde grundsätzlich allein für Beschwerden oder Verstöße gegen die DSGVO zuständig. Sie ist außerdem alleiniger Ansprechpartner für Verantwortliche sowie deren Auftragsverarbeiter hinsichtlich grenzüberschreitender Verarbeitungen. Ausgenommen hiervon sind „örtliche Fälle“, Erwägungsgrund 127. Ein solcher liegt vor, wenn nur ein Mitgliedstaat betroffen ist oder nur Betroffene eines bestimmten Mitgliedstaats beeinträchtigt werden.
Die aktuellen Vorkommnisse führen dazu, dass Twitter Zweifel daran aufkommen lässt, inwiefern die Niederlassung in Irland effektiv Einfluss auf Verarbeitungen personenbezogener Daten ausüben kann. Sofern dies nicht der Fall ist, könnte der Status einer Hauptniederlassung in Dublin auf der Kippe stehen. Dadurch besteht das Risiko, dass Twitter sich in naher Zukunft nicht mehr nur vor der DPC verantworten muss, sondern vor sämtlichen nationalen Aufsichtsbehörden, die nach dem Territorialprinzip zuständig wären.
Doch nicht nur die datenschutzrechtlichen Aufsichtsbehörden sind hellhörig geworden, auch die europäische Gerichtsbarkeit und ihre Urteile machten Twitter kürzlich zu schaffen.
LG Frankfurt / Main Urteil vom 14.12.2022- Az. 2-03 O 325/22 (noch nicht rechtskräftig)
Das Landgericht Frankfurt am Main hat am 14.12.2022 entschieden, dass Betroffene von Twitter verlangen können, dass falsche oder ehrverletzende Tweets über sie gelöscht werden müssen. Auch sinngemäße Kommentare mit identischem Äußerungskern muss Twitter entfernen, sobald es von der konkreten Persönlichkeitsrechtsverletzung Kenntnis erlangt.
Elon Musk (CEO von Twitter) twitterte am 28.11.2022 „New Twitter policy is freedom of speech, but not freedom of reach “. Was inhaltlich so viel bedeutet wie: Die Redefreiheit sollte mehr Gewicht haben als die Begrenzung der Inhalte. Durch die Entscheidung des Landgerichts Frankfurt am Main wurde diese weitreichende Unternehmenspolitik eingeschränkt jedenfalls in Deutschland.
Grundsätzlich werde Twitter damit aber keine allgemeine Monitoring-Pflicht im Hinblick auf seine rund 237 Mio. Nutzer*innen auferlegt, so die Ausführungen des Gerichts. Eine Prüfpflicht bestehe nur hinsichtlich der konkret beanstandeten Persönlichkeitsrechtsverletzung. Das deutsche Recht mute jedem Verpflichteten eines Unterlassungsgebots zu, selbst festzustellen, ob in einer Abwandlung das Charakteristische der konkreten Verletzungsform zum Ausdruck komme und damit kerngleich sei. Also, ob ähnliche Tweets — mit gleicher Kernaussage — betroffen wären. Auch in diesem Fall müsse Twitter prüfen, ob diese Rechtsverletzung eine Löschung bedinge oder nicht, so die Vorsitzende in der Urteilsbegründung.
Das Urteil (Az. 2-03 O 325/22) ist noch nicht rechtskräftig, es kann mit der Berufung zum Oberlandesgericht Frankfurt am Main angefochten werden.
Damit wird es weiterhin spannend bleiben, welchen Charakter Twitter in Zukunft annehmen wird. Es bleibt zu hoffen, dass sich die Betroffenen auch in Zukunft zu wehren wissen, das Landgericht Frankfurt am Main hat jedenfalls weiter für Klarheit gesorgt.
Und wie gehen die deutschen Aufsichtsbehörden mit Twitter um?
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg hat sich schon Anfang 2020 von Twitter verabschiedet. Auf Grundlage eines Urteils des Europäischen Gerichtshofs, das vom Bundesverwaltungsgericht in deutsches Recht übertragen wurde, müssten alle öffentlichen Stellen in Baden-Württemberg ihre Kooperation mit den Social Media-Monopolisten auf den Prüfstand stellen – so die Auffassung des LfDI. Demnach seien nicht nur soziale Netzwerke wie Facebook und Twitter, sondern auch Nutzer*innen mitverantwortlich für Datenschutzverstöße. Der LfDI argumentierte, er könne nicht gleichzeitig Datenschutzbeauftragter und Nutzer eines wohl datenschutzrechtlich bedenklichen Netzwerks sein.
Joachim Wernstedt
23. Dezember 2022 @ 13:58
Es sollte ja wohl für Twitter ein Leichtes sein, die Positionen eines Datenschutzbeauftragten und eines Sicherheitsbeauftragten mit qualifizierten Personen neu zu besetzen.