Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Ist Twitter für registrierte User datenschutzkonform nutzbar?

Veröffentlicht am 13. Juli 2021 von Dr. DSGVO · Zuletzt aktualisiert am 29. Dezember 2022
2

Kategorien: Datenschutz, Recht und Tracking

Kann ein Twitter Profil DSGVO-konform betrieben werden? Immerhin werden auf Twitter die Tracker Google Analytics und Twitter Analytics, jeweils mit technisch nicht notwendigen Cookies, ohne Einwilligung geladen. Zudem sind Twitter Profilseiten eigene Seiten der Profilinhaber. Zwei EuGH-Urteile schaffen Klarheit.

Einleitung

Update 23.03.2022: Mittlerweile hat Twitter das Tool Google Analytics jedenfalls in der bisherigen Einbindeart entfernt. Was bleibt, sind zahlreiche Cookies ohne Einwilligung:

Beispielbefund bei Aufruf eines Tweets, ohne bei Twitter angemeldet zu sein oder in etwas eingewilligt zu haben. Stand: 23.03.2022

Die Laufzeiten dieser Cookies sind teils viele Jahre lang. Die Werteausprägungen sprechen für sich. Zum Glück kann Twitter mit serverseitigem Tracking so unbemerkt weiter sein Unwesen treiben. Wie die Twitter Datenschutzhinweise zeigen (https://help.twitter.com/de/rules-and-policies/twitter-cookies), verwendet Twitter allerdings erklärterweise weiterhin Google Analytics. Update Ende. Hier folgt der ursprüngliche Beitrag:

Der Inhaber eines Twitter Kontos ist mit seinem Nutzernamen für beliebige Personen mit seinem Profil auf Twitter sichtbar. Auch Personen, die kein Twitter-Konto haben und somit nicht auf Twitter angemeldet sind, können ein solches Twitter Profil ansehen.

Bei einem solchen Besuch eines Twitter Accounts wird nun Google (Universal) Analytics mit Cookies geladen. Dies ist eindeutig einwilligungspflichtig, sage ich aufgrund einer technisch-rechtlichen Betrachtung. Irland ist in jedem Fall an europäisches Recht gebunden, mindestens an irisches und wahrscheinlich auch an deutsches Recht. In Irland wurde die ePrivacy-Richtlinie bereits 2011 umgesetzt, in Deutschland per BGH-Urteil (mit § 15 Abs. 3 TMG als Grundlage für ein Einwilligungserfordernis) und offiziell bald mit dem TTDSG im Dezember 2021. Bei Twitter-Profilen, die von deutschen Firmen oder Personen betrieben werden, und die sich an ein deutsches Publikum wenden, gilt nach meinem naiven Verständnis auch das deutsche Recht, also die Einwilligungspflicht für technisch nicht notwendige Cookies. Twitter sagt sogar selbst, dass Profilinhaber sich selber um die Einhaltung nationaler Rechtsvorschriften kümmern müssen.

In diesem Beitrag geht es nur um Twitter-Profile, über die Beiträge (Posts) auf Twitter erstellt und mit Hashtags versehen werden. Dies ist die Standardnutzung von Twitter. Wer keine Posts erstellt, benötigt keinen Twitter-Account. Wer Posts ohne Hashtag erstellt, kann auch auf eine andere Social Media Plattform gehen (am besten aber nicht auf Facebook).

Die Google Richtlinie zur EU-Nutzereinwilligung schreiben übrigens vor, dass für Nutzer, die im EWR sitzen, eine Einwilligung für Google Ads Produkte (wie Google Analytics) einzuholen ist.

Quelle: https://www.google.com/intl/de/about/company/user-consent-policy-help/

Twitter gibt übrigens selbst einen Rechtsbruch zu, denn Twitter schreibt in seinen eigenen Regeln und Richtlinien:

Wir erfassen keine Daten in Bezug auf Twitter für das Web aus Browsern, von denen wir annehmen, dass sie sich in der Europäischen Union oder im Europäischen Wirtschaftsraum befinden. Wir setzen und verwenden Cookies so, wie es unter 'So verwenden wir Cookies und ähnliche Technologien' beschrieben wird. Wenn du dich in der Europäischen Union, einem EFTA-Staat oder dem Vereinigten Königreich befindest, holen wir deine Einwilligung nach der Richtlinie 95/46/EG ein.

Eine Datenerfassung deutscher Nutzer durch Google Analytics in deren Browsern findet offensichtlich statt, denn dieser Dienst sendet zahlreiche Daten an Google, darunter auch die Inhalte aus Analytics Cookies. Offensichtlich wird auch keine Einwilligung vor dem Einsatz von Google Analytics mit Cookies eingeholt. Auch gibt es keine Widerrufsmöglichkeit und keine Abwahlmöglichkeit (Opt-Out). Gleiches gilt für Twitter Analytics mit drei weiteren Cookies, die Twitter selbst zuzuordnen sind. Dies gilt wohlgemerkt für nicht auf Twitter angemeldete Besucher von grundsätzlich immer öffentlich zugänglichen Twitter-Profilen.

Hinzu kommt, dass Google Analytics Daten immer in den USA verarbeitet werden, wie Google offiziell zugeben musste. Dies erfordert gemäß Art. 44 ff DSGVO eine Einwilligung, die aber gemäß Art. 49 Abs. 1 DSGVO nur ausnahmsweise abgefragt werden darf. Auch in der Twitter-Datenschutzerklärung wird zugegeben: „Wir beauftragen Dienstanbieter, für uns in den USA, in Irland und in anderen Ländern Funktionen auszuführen und Dienste bereitzustellen.“ Die Liste dieser Diensteanbieter in den USA ist beachtlich. Für jeden dieser Diensteanbieter müssen die Verantwortlichen gültige AVVs nachweisen können. Ich bestreite, dass dies gegeben ist.

Dennoch wird keine Einwilligung für die genannten einwilligungspflichtigen Vorgänge abgefragt. Hier liegen also meiner Einschätzung nach mehrere Datenschutzverstöße vor. Doch wer ist dafür verantwortlich?

Als mögliche Verantwortliche und somit Empfänger einer Abmahnung kommen folgende sich gegenseitig ausschließende Konstellationen in Frage:

  1. Twitter alleine
  2. Der Twitter-Profilinhaber alleine
  3. Twitter und der Twitter-Profilinhaber gemeinsam

Zur Beantwortung der Frage der Verantwortlichkeit schaut man sich am besten die Bedingungen für ein Twitter-Konto an. Meine Betrachtungen zielen, soweit das folgend relevant ist, nur auf einen Zugriff auf ein Twitter-Profil durch eine nicht bei Twitter angemeldete Person über eine Webseite ab, die von einem PC aus aufgerufen wird. Nicht Gegenstand meiner Betrachtung sind Zugriffe über Apps und Zugriffe über mobile Endgeräte. Bei letzteren kommen sicher weitere spannende Datenschutzfragen hoch.

Weiterhin ziehe ich folgende Urteile hinzu, um die Frage zu beantworten:

  1. Fashion-ID Urteil: EuGH-Urteil vom 29.07.2019 – C‑40/17
  2. Facebook-Fanpage Urteil: EuGH-Urteil vom 28.06.2018 – C210/16

Zusätzlich könnte das EuGH-Urteil vom 05.06.2018 – C-210/16 (Wirtschaftsakademie Schleswig-Holstein) berücksichtigt werden, was ich bisher allerdings nicht getan habe. Hier sei nur auf die Rn. 28, 38 und 41 ebd. hingewiesen.

Bedingungen für einen Twitter Account

Bei Registrierung als Twitter-Nutzer, der ein Twitter-Profil betreiben kann, müssen folgende Bedingungen akzeptiert werden:

Twitter-Registrierung, Schritt 3 von 5.

Ebenso müssen diese Bedingungen bei bestehenden Twitter-Accounts akzeptiert werden, wenn man Twitter weiter nutzen möchte.

Allgemeine Geschäftsbedingungen von Twitter

Die Allgemeinen Geschäftsbedingungen von Twitter müssen beim Registrieren eines neuen Twitter-Accounts akzeptiert werden. In diesen AGB steht in Abschnitt 3 „Im Rahmen der Dienste bereitgestellte Inhalte“:

Sie sind für Ihre Nutzung der Dienste und für Inhalte, die Sie bereitstellen, einschließlich der Einhaltung der geltenden Gesetze, Regelungen und Verordnungen, verantwortlich. Sie sollten ausschließlich Inhalte einstellen, die Sie tatsächlich auch mit anderen teilen möchten.

Somit ist zumindest eine Impressumspflicht gegeben, also eine Anbieterkennzeichnung nach § 5 TMG und/oder die Angabe eines redaktionell Verantwortlichen nach § 18 MStV.

In den AGB steht ferner:

Dafür, dass Twitter Ihnen den Zugang zu den Diensten und deren Nutzung gewährt, erklären Sie Ihr Einverständnis, dass Twitter und seine Drittanbieter und Partner im Rahmen der Dienste oder im Zusammenhang mit den Inhalten oder Informationen, die Sie oder andere im Rahmen der Dienste bereitstellen, Werbung platzieren dürfen.

Damit unterstützen und akzeptieren Twitter-Profilinhaber wissentlich und willentlich Werbung auf deren eigener Seite, nämlich auf deren Twitter-Profil und in deren Twitter Timeline sowie Tweets. Diese Werbung wird anderen Personen, die kein Twitter Konto besitzen müssen, dann angezeigt, und zwar in der Mitverantwortung der einzelnen, registrieren Twitter-Nutzer.

Die AGB verweisen auf die Twitter Datenschutzrichtlinie, ebenso wird diese Richtlinie bei der Registrierung eines neuen Twitter Kontos genannt und auch als Bedingung für bestehende Konten erwähnt.

Twitter Datenschutzrichtlinie

In der Datenschutzrichtlinie wird anfangs direkt mitgeteilt:

Twitter ist öffentlich und Tweets sind sofort für jeden weltweit sichtbar und auffindbar.

Somit ist das Aufrufen von Twitter-Profilen auch durch Personen ohne Twitter-Profil und durch Personen, die gerade nicht auf Twitter angemeldet sind, geradezu eines der oberen Ziele dieser Social Media Plattform. Erweitert wird dieses Vorhaben durch Twitters Aussage:

Indem Sie durch Ihr Tweeten Inhalte veröffentlichen, weisen Sie uns an, diese Informationen so umfassend wie möglich offenzulegen…

Twitter nutzt Daten, die beim Aufruf eines Twitter-Profils erhalten werden, auch dazu, um „relevantere Tweets, Personen, denen Sie folgen können, und Anzeigen anzuzeigen.“ Die Frage ist, ob der Inhaber eines Twitter-Profils davon profitieren kann. Die Frage ist eindeutig zu bejahen.

Weiterhin nutzt Twitter erhaltene personenbezogene und personenbeziehbare Daten, um mehr Geld mit Werbung verdienen zu können. Hiervon profitiert offensichtlich auch jeder Twitter-Profilinhaber, denn er muss dadurch entweder kein oder ein geringeres Entgelt an Twitter zahlen, um sein Profil auf der Plattform betreiben zu können. Ebenso kann ein Twitter-Profilinhaber selbst Werbung schalten und von dem, wie ich finde, rechtswidrig erworbenen, Datenschatz von Twitter profitieren.

Soweit ich weiß, ist die Nutzung von Twitter aktuell finanziell kostenfrei. Bezahlt wird somit unter anderem mit den Daten von Nutzern, die Twitter-Profile aufrufen. Die relevanten Inhalte auf Twitter ergeben sich ausschließlich aus der Gesamtheit aller Twitter-Profile samt den Tweets, die die Inhaber der Twitter Accounts erstellen. Hinzu kommen, weniger relevant, Kommentare auf Tweets.

Auch Standortinformationen von Personen, die Twitter aufrufen, werden von Twitter verwendet, um relevante Profile anzuzeigen. Somit profitiert wieder der Twitter-Profilinhaber davon, dass Twitter beliebige Personen unter anderem mit Google Analytics ausspioniert. Die Rn.80 des o.g. Fashion-ID Urteils besagt somit etwas Analoges wie für Twitter-Profilinhaber, denn auch diese profitieren stillschweigend von der Nachverfolgung von Nutzern durch Twitter.

Twitter gibt immerhin direkt zu, die Do Not Track Browser-Option nicht zu unterstützen. Soviel Ehrlichkeit ist fast schon erfrischend. Die erhaltenen personenbezogenen oder personenbeziehbaren Daten nutzt Twitter lauft eigener Aussage, um die Twitter Dienste besser für Twitter-Profilinhaber zu vermarkten. Im Deutschen ist ein Schreibfehler enthalten, daher die englische Twitter-Erklärung, die dies zeigt: „This helps us better promote and design our services for you …“

Anscheinend hat Twitter noch nicht mitbekommen, dass der Privacy Shield laut Fashion-ID Urteil schon immer ungültig war, somit auch jetzt. Denn die Twitter Datenschutzerklärung verweist darauf, dass Twitter Inc. die Grundsätze des EU-US-Datenschutzschildes einhält.

Cookie-Richtlinie von Twitter

Für Twitter-Konten gilt weiterhin die Cookie-Richtlinie. Wie in vielen schlechten Datenschutzhinweisen wird dort erwähnt, dass Google Analytics gegebenenfalls genutzt wird. Das fett gedruckte Wort kann grundsätzlich immer gestrichen werden. Entweder es liegt eine Nutzung vor, ob nur selten oder oft ist egal. Oder es liegt keine Nutzung vor. Aber gegebenenfalls liegt im Sinne der DSGVO nie eine Nutzung vor.

In der Cookie-Richtlinie wird ferner (immerhin) zugegeben, dass Twitter Daten auch von nicht angemeldeten Nutzern mit anderen Daten zusammenführen kann. Dazu wird laut Twitter unter anderem die IP-Adresse des Nutzers verwendet. So kann laut Twitter festgestellt werden, ob ein Nutzer vor oder nach Aufruf eines Twitter-Profils andere Webseiten Dritter besucht hat und welche dies waren.

Google Analytics & Cookies

Twitter verwendet Google Analytics mit Cookies ohne Einwilligung. Dies erscheint rechtswidrig. Google Analytics wird unter anderem verwendet, um Nutzer besser kennenzulernen und Werbung so zielgerichteter ausspielen zu können. Auch werden sonstige Cookies zu diesem Zweck verwendet.

Hier ein Auszug aus dem Dokument „So verwenden wird Cookies und ähnliche Technologien“:

Nutzung von Google Analytics mit Cookies und von anderen Cookies auf Twitter.

Somit profitieren Twitter-Kontoinhaber davon, dass Twitter die Nutzer der Plattform mit einwilligungspflichtigen Mitteln besser kennenlernt.

Twitter Ads

Werbung auf Twitter ist mit Twitter Ads möglich. Dazu ruft ein Profilinhaber die Werbemöglichkeit auf Twitter auf und hinterlegt eine Finanzierungsquelle, etwa eine Kreditkarte. In einem weiteren Schritt gibt der Profilinhaber an, welche Nutzer von der Werbung bedacht werden sollen. Der Screenshot zeigt ein paar Möglichkeiten, die Twitter bietet.

Werbung mit Twitter anhand von demographischen und weiteren Merkmalen.

Diese demografischen Merkmale werden von Twitter erhoben. Besonders gut gelingt dies mit dem von Twitter eingesetzten Tool namens Google Analytics.

Als Zielgruppe können Nutzer sogar danach ausgewählt werden, nach welchen Begriffen diese gesucht oder mit dem Profil eines Twitter Nutzers interagiert haben.

Weit reichende Targeting-Funktionen auf Twitter.

Somit kann der Twitter-Profilinhaber direkt von den durch Twitter erhobenen Daten anderer Personen profitieren. Hierbei spielt es zunächst keine Rolle, ob die anderen Personen selbst auf Twitter angemeldet sind oder nicht.

Twitter Analytics

Über sein Twitter-Profil kann Twitter Analytics aktiviert werden. Der Werbeslogan hierzu lautet:

Miss und verstärke Deine Reichweite auf Twitter.

Zitat: Werbeaussage zu Twitter Analytics

Twitter Analytics stellt Statistiken bereit. Dazu gehört eine Aufschlüsselung der Personen, die Tweets aufgerufen haben, nach Geschlecht, Alter, Ort und Interesse. Anscheinend ist es nicht vorgesehen, Twitter Analytics zu deaktivieren. Ich konnte jedenfalls keine Möglichkeit finden. Informationen im Internet dazu konnte ich zwar finden. Diese waren aber anscheinend veraltet und bezogen sich anscheinend auf eine nur früher gegebene Möglichkeit, Twitter Analytics deaktivieren zu können, die jetzt wohl nicht mehr vorhanden ist.

„Erforsche die Interessen, Orte und Herkunft Deiner Follower.“

Quelle: https://analytics.twitter.com/about

Für Twitter Analytics und für Google Analytics nutzt Twitter technisch nicht notwendige Cookies.

Von Twitter ohne Einwilligung genutzte Cookies (Werte sind aus Datenschutzgründen abgeschnitten)

Die ersten beiden Cookies, _ga und _gid, sind Google Analytics zuzuordnen. Die anderen drei Cookies sind Twitter direkt zuzuordnen. Das erste und die letzten beiden Cookies haben eine Lebensdauer von 2 Jahren. Dies alleine kann als technisch nicht notwendig bezeichnet werden. Die Werteausprägung der Cookies trägt ein Übriges dazu bei.

Twitter Analytics stellt Twitter-Profilbetreibern statistische Informationen bereit. Dies ist analog gelagert zum Fashion-ID Urteil, wo Fashion-ID von den Daten profitierte, die über den Gefällt mir Button durch Facebook erhoben wurden. Facebook stellte, analog zu Twitter, statistische Daten an Fashion-ID bereit. Dazu bietet Facebook den eigenen Dienst Facebook Insights an, das Analogon zu Twitter Analytics. Analoges ergibt sich aus dem Fanpage-Urteil. Der Profilbetreiber veranlasst bei Twitter die Datenverarbeitung einzelner Nutzer, indem er sich Statistiken zu seinem Profil und den zugehörigen Besuchern abruft. Außerdem veranlasst dies durch Verwendung von Hashtags in eigenen Tweets.

Gemäß Rn. 36 des Fanpage-Urteils findet bei Facebook Fanpages eine Parametrisierung durch den Fanpage Betreiber statt. Bei Twitter geschieht dies durch genutzte Hashtags sowie aus dem gebildeten Netzwerk der anderen Twitter-Profile, denen gefolgt wird. Dass eine solche Parametrisierung schneller als gedacht erfolgt, zeigt der Beschluss des VG Aachen vom 26.08.2021 (Az.: 1 L 480/21). Demnach durfte die Bundespolizei zurecht die Bewerbung einer Person ablehnen, weil diese ein Like für eine fragwürdige Karrikatur gegeben hatte.

Auch ist die Frage nach der Mitverantwortung des Twitter-Profilinhabers für die durch Twitter Analytics stattfindende Datenverarbeitung im Sinne des Facebook Fanpage Urteils zu beantworten. Offensichtlich sind Twitter-Profile und Twitter Timelines direkt mit Facebook Fanpages vergleichbar.

Öffentliche Nutzeranalyse

Twitter-Profile und Tweets sind öffentlich zugänglich, jedenfalls gilt das für die Präsenz sehr vieler Twitter Nutzer. Diese Daten können automatisiert eingelesen und ausgewertet werden. Daraus lassen sich Erkenntnisse ableiten. Analog ist dies mit Likes auf Facebook und anderen Datenpunkten möglich, was durch den Cambridge Analytica Skandal öffentlich bekannt wurde.

Eine Studie mit nur 335 Twitter Nutzern zeigt bereits, dass eine Auswertung der öffentlich zugänglichen Twitter Daten durch eine kleine Gruppe von Wissenschaftlern Vorhersagen über die Persönlichkeit der Twitter-Nutzer zulässt.

Jeder Twitter Nutzer kann aufgrund seiner Öffentlichkeitsarbeit mit einer hohen Wahrscheinlichkeit einem Persönlichkeitsprofil aus fünf Eigenschaften zugeordnet werden. Diese Eigenschaften werden quantitativ mit einem Prozentwert belegt. Sie sind Openness, Conscientiousness, Extraversion, Agreeableness, Neuroticism. So können für folgende Sparten Grade der Übereinstimmung festgestellt werden:

  • Vorstellungskraft
  • Organisiertheit
  • Konzentration auf die Umgebung (äußere Objekte)
  • Vertraulichkeit und Kompetenz
  • Extrovertiert und emotional stabil

Wann entsteht eine gemeinsame Verantwortlichkeit?

Hierzu bediene ich mich des Fashion-ID Urteils. In Rn. 77 steht dort:

Was die Mittel betrifft, die zum Zweck des Erhebens bestimmter personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingesetzt werden, ergibt sich aus Rn. 75 des vorliegenden Urteils, dass Fashion ID den „Gefällt mir“-Button von Facebook, der Website-Betreibern von Facebook Ireland zur Verfügung gestellt wird, in ihre Website offenbar in dem Wissen eingebunden hat, dass dieser als Werkzeug zum Erheben und zur Übermittlung von personenbezogenen Daten der Besucher dieser Seite dient, unabhängig davon, ob es sich dabei um Mitglieder des sozialen Netzwerks Facebook handelt oder nicht.

Im Falle Fashion-ID hat diese selbst einen Dienst von Facebook eingesetzt, der datenschutzrechtlich in Frage stand. Im Falle eines Twitter-Profils wird der fragliche Dienst, Google Analytics, hingegen vom Betreiber der Plattform, nämlich Twitter, eingesetzt. Allerdings handelt es sich in beiden Fällen um die eigene Webseite des infrage stehenden Verantwortlichen, einmal Fashion-ID, einmal dem Twitter-Profilinhaber. In beiden Fällen muss dem infrage stehenden (Mit-)Verantwortlichen bekannt sein, dass dies passiert. Schließlich schaut doch jeder sorgfältig hin, wenn er sich irgendwo registriert.

Es gab zudem mal ein Urteil vom OLG Frankfurt (18.03.2021 – Az. 6 W 8/18), wonach ein Händler mit Produkten auf Amazon vom Gericht in der Verpflichtung gesehen wurde, regelmäßig und aktiv sein Angebot auf Amazon zu sichten und auf Rechtmäßigkeit zu beurteilen. Der Händler wurde als schuldig erkannt, obwohl Amazon mit einem Algorithmus den Händler quasi in die Rechtswidrigkeit gebracht hatte, indem im Angebot des Händlers automatisiert und ohne Zutun des Händlers rechtswidrige Angaben eingebracht wurden.

Außerdem setzt Twitter sein eigenes Tool namens Twitter Analytics ein, was ebenso Daten erhebt und den Twitter-Nutzern jeweils für deren Profil in aggregierter Form bereitstellt.

Die e.g. Rn. 77 des Fashion-ID Urteils referenziert Rn. 75. Hier scheint meines Erachtens ein mangelndes Wissen der Richter oder ihrer Berater Grund für eine unglückliche oder nicht zielführende Formulierung in Rn. 75 zu sein. Denn dort wird ausgedrückt, dass durch das Einbinden eines Buttons quasi immer personenbezogene Daten erhalten werden können. Hier ist die Frage, ob das Gericht damit die IP-Adresse meinte, die sowieso erhoben wird, unabhängig von einem Facebook- oder Twitter-Button, oder ob das Gericht die von Facebook durch das Button-Script erhaltenen Daten später an Fashion-ID als Webseitenbetreiber weitergeben kann bzw. Fashion-ID damit profitieren könnte. Ich vermute wohlwollend letzteres. Die Analogie zu Twitter ist mit Twitter Analytics und Google Analytics auf Twitter gegeben, denn es handelt sich bei einem Twitter-Profil um eine eigene Seite des Twitter-Profilinhabers.

In Rn 78. steht im Urteilstext weiterhin:

Mit der Einbindung eines solchen Social Plugins in ihre Website hat Fashion ID im Übrigen entscheidend das Erheben und die Übermittlung von personenbezogenen Daten der Besucher dieser Seite zugunsten des Anbieters dieses Plugins, im vorliegenden Fall Facebook Ireland, beeinflusst, die ohne Einbindung dieses Plugins nicht erfolgen würden.

Die Frage ist, ob ein Twitter Profil entscheidend dazu beiträgt, dass personenbezogene Daten zugunsten Twitter übertragen werden. Der von mir betrachtete Fall ist eine Person ohne Twitter-Account, die ein Twitter-Profil aufruft. Dieser Aufruf geschieht typischerweise aufgrund einer der folgenden Voraussetzungen:

  1. Ein Twitter-Profilinhaber hat auf einer seiner Webseiten einen Link auf sein Twitter-Profil bereitgestellt
  2. Ein Twitter-Profi wird über eine Suchmaschine gefunden, beispielsweise wenn man nach dem Namen des Inhabers sucht oder nach einem Stichwort, welches in einem Tweet vorkommt

Zu Fall 1 scheint es mir gegeben, dass der Twitter-Profilinhaber entscheidend dazu beigetragen hat, was Gegenstand der Datenschutzfrage ist.

Zu Fall 2 könnte man argumentieren, dass der Inhalt des Twitter-Profils in der alleinigen Verantwortlichkeit des Twitter-Profilinhabers liegt. Dies wird auch durch die weiter o.g. Impressumspflicht ausgedrückt, die von Twitter selbst angesetzt und von vielen Twitter-Profilinhabern auch erfüllt wird.

In Rn. 82 des Fashion-ID Urteils ist ausgedrückt, dass eine gemeinsame Verantwortlichkeit auch dann vorliegen kann, wenn einer der Verantwortlichen nicht selbst Zugang zu erhobenen Informationen hat. Auch das Urteil zu Facebook Fanpages stellt dies explizit fest, etwa in Rn. 38. Bestimmen Twitter und der Twitter-Profilinhaber gemeinsam über die Zwecke und Mittel? Die Mittel wählt Twitter teilweise selbst, nämlich Google Analytics und Twitter Analytics. Der Inhaber des Twitter-Profils unterstützt dies durch Anbieten einer eigenen Seite, dem Twitter-Profil, welches ebenfalls einen Zweck darstellt. Nur aufgrund dieses Twitter-Profils und anderer Twitter-Profile gelangen überhaupt Personen auf Twitter.

Denn ohne diese Twitter Kanäle wäre Twitter quasi ohne Inhalt. Ebenso verlinken viele Twitter-Profilinhaber von deren Webseite unter eigener Domäne auf deren Profil. Die Zwecke bestimmen Twitter und der Profilinhaber also gemeinsam, da beide die Plattform betreiben, um Vorteile daraus zu ziehen, die bereits dargestellt wurden und die auch im Fashion-ID-Urteil thematisiert wurden.

So zu tun, als würde man als Profilinhaber ein unbeteiligter Außenstehender sein, der sich höchstens über die Datenverarbeitung durch Twitter wundert und wehrlos dabei zusehen muss, ist nicht zulässig, behaupte ich nach all dem Gesagten. Art. 4 Nr. 7 DSGVO besagt zudem, dass verantwortlich ist, wer alleine oder gemeinsam mit anderen über die Zwecke und Mittel verfügt. Über alle Zwecke und Mittel gemeinsam zu entscheiden, ist somit nicht nötig, damit eine gemeinsame Verantwortlichkeit entstehen kann. Vgl. auch Rn. 29ff des Urteils zu Facebook Fanpages.

Vergleich Fashion-ID und Facebook Fanpage mit Twitter-Profil

Ein Vergleich der Gegebenheiten aus den EuGH-Urteilen zu Fashion-ID und Facebook Fanpages mit der Sachlage auf Twitter schadet nicht. Mit Seitenbetreiber sind Fashion-ID bzw. Fanpage Betreiber und Twitter-Profilinhaber gemeint.

Fashion-IDFacebook FanpageTwitter-Profil
Zugang für jeden (ohne Login)JaJa (Standard)
Nein (wenn Seitenbetreiber Einschränkungen der Zielgruppe vorgenommen hat)		Ja
Erhebung Daten für Social Media Plattform auf eigener WebseiteJa, gänzlich eigene WebseiteJa, eigene FanpageJa, eigenes Profil
Datenausbeute durch Social Media PlattformJa, über Facebook ConnectJa, über Facebook InsightsJa, über Google Analytics und Twitter Analytics
Profiteur ist auch der SeitenbetreiberJa, durch RemarketingJa, durch Remarketing und mehr/relevantere NutzerJa, durch mehr/relevantere Nutzer
Datenauswertung durch Seitenbetreiber möglichJa, Zugriff auf Statistik über Facebook InsightsJa, Zugriff auf Statistik über Facebook InsightsJa, Zugriff auf Statistik über Twitter Analytics
Mitverantwortlichkeit für SeitenbetreiberJa, Fashion-ID UrteilJa, Facebook Fanpage UrteilJa, sage ich, analog zu den genannten EuGH-Urteilen
Bewerbung eigener InhalteJa, durch Plugin/Verlinkung und öffentliche AuffindbarkeitJa, durch öffentliche Auffindbarkeit und oft durch VerlinkungJa, durch öffentliche Auffindbarkeit und oft durch Verlinkung
Vergleich Gegebenheiten Fashion-ID und Facebook Fanpage zu Twitter-Profil

Der Vergleich zeigt erhebliche Ähnlichkeiten in den beiden Fällen, wo einmal ein Facebook-Plugin auf einer Webseite eingebunden wird und ein anderes Mal über Google Analytics auf der Twitter-Plattform Daten erhoben werden. Auch zeigt der Vergleich erhebliche, wenn nicht noch mehr Ähnlichkeiten in den beiden Fällen Facebook Fanpage versus Twitter-Profil.

Soweit ich weiß, können Tweets und Twitter Profile nicht mit solchen Sichtbarkeitseinschränkungen versehen werden wie Facebook Fan Pages und die zugehörigen Posts. Damit wäre es noch eindeutiger, dass Twitter Profile rechtswidrig sind. Den Hinweis zur Einschränkbarkeit der Sichtbarkeit von Facebook Seiten erhielt ich von einem Leser dieses Blogs (Herr Carsten Geis, Namensnennung mit seiner Genehmigung), dem ich dafür herzlich danke!

Ich gehe deswegen davon aus, dass Inhaber von Twitter Kanälen mitverantwortlich für die rechtswidrige Datenerhebung durch Google Analytics mit Cookies sind, ebenso für die rechtswidrige Datenerhebung durch Twitter Analytics, im Zuge dessen ebenfalls kritische Cookies ohne Einwilligung eingesetzt werden, obwohl Twitter in beiden Fällen etwas anderes zusichert.

Der Betreiber eines Twitter-Profils ist mitverantwortlich für die Datenerhebung durch Google Analytics und Twitter Analytics auf der Twitter-Plattform.

Meine Einschätzung nach Vergleich mit den EuGH-Urteilen zu Fashion-ID und zu Facebook Fanpages.

Datenschutzfreundliche Alternativen

Wer Twitter nutzen möchte, um Nachrichten zu lesen, der kann (konnte?) Nitter nutzen. Nitter ist ein Frontend, welches im Gegensatz zu Twitter auf Google Analytics und DoubleClick verzichtet. Nitter wird zurzeit auf Github als Open Source Frontend für Twitter angeboten

Wer sich kundtun möchte und Datenschutz ernst nimmt, sollte sich andere Möglichkeiten suchen. Beispielsweise ist Mastodon eine Möglichkeit. Es gibt aber auch zahlreiche andere Plattformen, die etwas anders als Twitter funktionieren.

Andere Netzwerke erlauben im Gegensatz zu Twitter und Facebook einen Zugriff auf Profile erst nach Login. Beim Login bzw. bei einer vorher notwendigen Registrierung werden vom Nutzer Einwilligungen abgefragt, die in der Verantwortlichkeit der Social Media Plattform liegen. Ebenso bieten andere Social Media Plattformen im Gegensatz zu Facebook und Twitter keine Analyse-Funktion von Hause aus an.

Fazit

Ein Twitter-Account kann nicht datenschutzkonform betrieben werden, ist das Ergebnis meiner Untersuchung. Weiterhin ist der Inhaber des Twitter-Kontos mit verantwortlich für die Datenschutzverstöße auf Twitter.

Jeder, der Datenschutz wirklich ernst nimmt, ist nicht auf Twitter vertreten. Ich bin sicher, dass Twitter gegen geltendes Recht verstößt, indem Google Analytics in der beschriebenen Weise eingesetzt wird.

Auch denke ich, dass Twitter Profilinhaber mit verantwortlich sind für diese genannten Datenschutzverstöße.

Sollten diese Verstöße auf Twitter geahndet werden, dann stehen die Chancen für Mastodon und andere Plattformen, die Datenschutz ernst nehmen, wesentlich besser.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/twitter-account-datenschutzkonform-nutzbar-oder-nicht
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Anonymous

    "Zudem sind Twitter Profilseiten eigene Seiten der Profilinhaber." – Der große Fehlschluß scheint mir, dass man den Profilinhabern eine _Betreiber_eigenschaft zuschreibt, die tatsächlich nicht existiert. Ein Profilinhaber ist ebenso Gast/Kunde bei Twitter, wie andere Leser seines Profils.

    Würde man der "Logik" dieser Daten"schützer" folgen, wäre jeder Gast einer Karaokebar, der dort lediglich ein Lied trällert (also dort "Inhalte einstellt"), verantwortlich für sonstige Belange des Barbetreibers.

    Antworten
    • Dr. DSGVO

      Twitter-Profilseiten verarbeiten Daten zusammen mit Twitter, wie im Beitrag dargestellt.

      Zum Karaoke-Vergleich: Der ist natürlich völliger Unsinn. Ein Lied zu trällern ist keine teil- oder vollautomatisierte Verarbeitung und es findet dabei auch keine Speicherung in einem Dateisystem statt. Der Vergleich ist so fern vom gegebenen Fall, dass weitere Gegenargumente überflüssig sind.

      Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Artikel 24 DSGVO: Verantwortung des für die Verarbeitung Verantwortlichen