Die irische Datenschutzbehörde hat eine Geldstrafe über € 450.000 gegen die Twitter International Company verhängt, da Twitter die irische Aufsichtsbehörde nicht binnen 72 Stunden über einen Datenschutz-Vorfall informierte und auch keine entsprechende Dokumentation anfertigte (Art. 33 Abs. 1 und 5 DSGVO). Zum Thema im Allgemeinen wird auf diesen Beitrag  und zur Fristenberechnung auf diesen verwiesen.

Die Datenverletzung selbst entstand durch einen Fehler im Design von Twitter, durch den, wenn ein Benutzer auf einem Android-Gerät die mit seinem Twitter-Konto verknüpfte E-Mail-Adresse änderte, die geschützten Tweets ungeschützt, und somit für eine breitere Öffentlichkeit (und nicht nur für die Follower des Benutzers) zugänglich wurden, ohne dass der Benutzer Kenntnis davon erlangte. Der Fehler wurde am 26. Dezember 2018 von einem externen Auftragnehmer entdeckt, der das „Bug Bounty-Programm“ von Twitter betreut. Der Fehlerbericht wurde Twitter am 29. Dezember 2018 und am 2. Januar 2019 dem Legal Team von Twitter übermittelt. Der globale Datenschutzbeauftragte erlangte am 7. Januar 2019 Kenntnis von dem Vorfall. Eine Meldung an die irische Aufsichtsbehörde erfolgte am 8. Januar 2019. In Summe waren 88.726 EU/EWR-User in einem Zeitraum von Anfang September 2017 bis 11. Januar 2019 von diesem Bug betroffen. Der Bug konnte auf eine Code-Änderung im November 2014 zurückgeführt werden. Ausführlichere Informationen finden Sie zudem hier.

In einem Statement räumte Twitter ein, dass bedingt durch die Weihnachtsfeiertage und dem Neujahrstag die Meldung nicht binnen der 72-stündigen Frist erfolgte.

Empfehlung

Achten Sie vor allem in der Weihnachts- bzw. natürlich auch in der sonstigen Urlaubszeit darauf, dass eine entsprechende personelle Besetzung vorhanden ist. Es ist unerlässlich, dass die Informationen über potentielle Datenschutz-Vorfälle unverzüglich an den Datenschutzbeauftragten gemeldet werden, damit dieser beurteilen kann, ob eine Meldung an die Aufsichtsbehörde – binnen 72 Stunden! – zu erfolgen hat oder nicht. Bei Unterlassen einer Meldung entstehen Dokumentationspflichten, die u.a. die Auswirkungen des Vorfalls sowie die Abhilfemaßnahmen umfassen. Wie der Fall von Twitter zeigt, kann es unangenehme finanzielle Folgen haben, wenn dies nicht gewährleistet wird.

Zum Nachlesen

Art. 33 DSGVO: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

  • Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. 2Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
  • Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels.