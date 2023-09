Datenschutz-Skandal bei Twitter: Hat Elon Musk gegen Regeln verstoßen?

Elon Musk, CEO von X, früher bekannt als Twitter. © Jonathan Newton/The Washington Post

Eine Gerichtsakte bietet einen seltenen Einblick in Musks Führung des Unternehmens, das für die Medien bisher weitgehend undurchsichtig war.

Washington, D.C. - Elon Musk hat nach seiner Übernahme von Twitter wiederholt Entscheidungen getroffen, die wahrscheinlich gegen eine Regierungsanordnung aus dem Jahr 2022 verstoßen, die dem Unternehmen weitreichende Beschränkungen in Bezug auf Datensicherheit und Datenschutz auferlegt. Dies geht aus einer am Dienstag eingereichten Gerichtsakte hervor, die Teil eines laufenden Rechtsstreits ist, der zu Geldstrafen und neuen Auflagen für die Geschäftspraktiken des sozialen Netzwerks führen könnte.

In der Gerichtsakte veröffentlichte das Justizministerium bisher vertrauliche Beweise aus der Untersuchung der Federal Trade Commission (FTC) gegen das soziale Netzwerk, darunter detaillierte Auszüge von Aussagen ehemaliger Führungskräfte über die Art und Weise, wie Musks Direktiven und Bemühungen um Kosteneinsparungen gegen die Sicherheits- und Datenschutzpraktiken des Unternehmens verstießen. Das Unternehmen hatte im Mai 2022 zugestimmt, eine Reihe von Sicherheitsvorkehrungen und Datenschutzprüfungen durchzuführen, um den Vorwurf der betrügerischen Sammlung von Nutzerdaten zu entkräften.



Neue Details über Musks Umgang mit einer FTC-Anordnung

Die Einreichung stellt die erste offizielle Bestätigung des Ausmaßes der ersten Ergebnisse der FTC-Untersuchung zur Einhaltung der Anordnung dar und enthüllt „ein chaotisches Umfeld im Unternehmen, das ernsthafte Fragen darüber aufwirft, ob und wie Musk und andere Führungskräfte die Einhaltung der Anordnung sicherstellen“.



Anordnungen der FTC gehören zu den wichtigsten Durchsetzungsinstrumenten, die der Bundesregierung zur Verfügung stehen, um das Silicon Valley zur Rechenschaft zu ziehen. Facebook musste 2019 eine milliardenschwere Strafe an die Behörde zahlen, weil es gegen die Bedingungen seiner eigenen Datenschutzvereinbarung mit der Behörde verstoßen hatte.



Die neuen Details über Musks Umgang mit der FTC-Anordnung kommen zu einem Zeitpunkt, an dem sich die Regierung gegen einen Antrag des sozialen Netzwerks, das jetzt X heißt, wehrt, damit ein Bundesgericht die Einverständnisvereinbarung aufhebt und Musk von einer Befragung abschirmt. Die Akte bietet einen seltenen Einblick in Musks Führung des Unternehmens, das trotz der Versprechen des reichsten Mannes der Welt, X transparenter zu machen, für die Medien undurchsichtig war.



Weder Musk, sein Anwalt noch X reagierten auf Bitten um Stellungnahme.



FTC untersucht die Datenschutz- und Sicherheitspraktiken von Musks X

Die FTC untersucht die Datenschutz- und Sicherheitspraktiken von X seit mehr als einem Jahr und leitete eine Untersuchung ein, nachdem ein Whistleblower dem Unternehmen „extreme, ungeheuerliche Mängel“ bei der Abwehr von Hackern vorgeworfen hatte, wie aus Gerichtsunterlagen hervorgeht. Die Untersuchung wurde fortgesetzt, als Musk Ende Oktober X für 44 Milliarden Dollar erwarb und fast sofort mit massiven Änderungen für die Website begann, einschließlich der Schaffung neuer Abonnementdienste zur Bezahlung von Prüfzeichen, der Wiederherstellung Tausender gesperrter Konten und der Änderung vieler Regeln auf der Plattform. Außerdem entließ er schließlich rund 80 Prozent der Mitarbeiter, sodass das Unternehmen nur noch mit einer Notbesetzung arbeitete.

Das Justizministerium bezeichnete diese Ereignisse als „plötzliche, radikale Veränderungen“ und erklärte, die FTC habe „allen Grund, Informationen darüber einzuholen, ob diese Entwicklungen ein Zeichen für ein Versäumnis bei der Einhaltung der Vorschriften durch die X Corp. sind.“



Das Dossier hebt Musks nahezu unmittelbare Veränderungen im Unternehmen hervor, insbesondere in den ersten Tagen nach seiner Übernahme. Er „übte eine detaillierte Kontrolle über die X Corp. aus und wies die Mitarbeiter zeitweise in einer Weise an, die den Datenschutz und die Sicherheit gefährdet haben könnte“, heißt es in dem Antrag.



Als die Zahl der Mitarbeiter schrumpfte, soll Musk einem ehemaligen Mitarbeiter, der sich mit der Einhaltung der FTC-Vorschriften befasste, gesagt haben, dass er „die einzige verantwortliche Person“ sei und dass „die Haftung auf ihn fällt“, so Auszüge aus einer Aussage von Seth Wilson, dem ehemaligen Twitter-Direktor für Bedrohungsmanagement und Betrieb.



Mehrere Mitarbeiter sagten aus, dass Musk Anweisungen gab, die im Widerspruch zu den normalen Prozessen und Richtlinien des Unternehmens standen, so der Bericht.



Musks Anordnungen verhindern Sicherheits- und Datenschutzprüfung

Im Dezember wies Musk an, dass die Server des Unternehmens von einem Rechenzentrum in ein anderes verlegt werden sollten, heißt es in der Akte. Die Unternehmensrichtlinien sahen vor, dass die Daten gelöscht werden, bevor die Server aus einem Rechenzentrum entfernt werden. Die umgezogenen Server wurden jedoch ohne Löschung übertragen, weil die Mitarbeiter nicht genug Zeit hatten, um einen Prozess zu entwickeln, der mit [ihren] eigenen Richtlinien übereinstimmt“, heißt es in der Aussage.



Die FTC hat eine Beschreibung der Daten auf den Servern, die aus Sacramento verlegt wurden, geschwärzt. Sie enthielten jedoch sensible personenbezogene Daten, die nicht vollständig verschlüsselt waren, und einige elektronische Speichermedien aus derselben Einheit wurden weggeworfen, ohne dass diese Daten gelöscht wurden, so ein ehemaliger Sicherheitsmitarbeiter, der von der FTC befragt wurde, gegenüber der Washington Post.

Musk wies seine Mitarbeiter auch an, den kostenpflichtigen Verifizierungsdienst Twitter Blue so schnell zu starten, dass eine Sicherheits- und Datenschutzprüfung nicht durchgeführt wurde, wie es die unternehmenseigenen Richtlinien vorschreiben, so eine in der Akte zitierte Aussage des ehemaligen Chief Privacy Officer Damien Kieran.



Musks Sparmaßnahmen - zu denen fünf Entlassungsrunden zwischen Oktober und Dezember letzten Jahres gehörten - hätten das Unternehmen daran gehindert, die Datensicherheitsversprechen einzuhalten, die es der Regierung im Jahr 2022 gegeben habe, heißt es in dem Antrag. Darin wird Lea Kissner, die ehemalige Chief Information Security Officer des Unternehmens, zitiert, die aussagte, dass aufgrund der Entlassung von Mitarbeitern etwa die Hälfte der Kontrollen im Sicherheitsprogramm des Unternehmens keinen spezifischen „Eigentümer“ mehr hatte, der für ihren Betrieb verantwortlich war. Ähnlich äußerte sich Kieran zu den Kontrollen des Datenschutzprogramms des Unternehmens und sagte der FTC, dass 37 Prozent der Kontrollen unbeaufsichtigt blieben.



Als die FTC Kieran fragte, wer der „ranghöchste“ X-Mitarbeiter mit langjährigem Wissen über das Sicherheitsteam des Unternehmens sei, antwortete er, dass „niemand mehr da sei“.



„Die FTC musste sich bei ihren früheren Befragungen auf ehemalige Mitarbeiter konzentrieren, da fast alle Mitarbeiter, die als Ansprechpartner für den Datenschutz oder die Datensicherheit identifiziert wurden, entweder gekündigt haben oder entlassen wurden, bevor die FTC mit ihnen sprechen konnte“, schreibt das Justizministerium in dem Antrag.



Musk beschuldigt FTC, X zu schikanieren“

Das Gerichtsdossier zitiert auch einen Bericht der Post, in dem detailliert beschrieben wird, wie Musk X-Mitarbeiter anwies, der ehemaligen New-York-Times-Kolumnisten Bari Weiss „vollen Zugang zu allem bei Twitter“ zu geben. Langjährige Sicherheitsmitarbeiter verhinderten, dass Weiss „direkten Zugang“ erhielt, da sie befürchteten, dass dies gegen die FTC-Zustimmung verstoßen würde, so das Justizministerium in seinem Antrag.

Die Zustimmungsverfügung ist eines der mächtigsten Instrumente der Regierung, um gegen mutmaßliche Datenschutzverstöße vorzugehen, da es kein Bundesgesetz zum Datenschutz gibt. Sie hat sich zu einem politischen Blitzableiter entwickelt, da Musk und die Republikaner im Repräsentantenhaus die FTC-Vorsitzende Lina Khan beschuldigt haben, X zu schikanieren“.



Die Argumente von X stützen sich zum Teil auf den Vorwurf, die FTC habe versucht, Ernst & Young zu beeinflussen, einen unabhängigen Prüfer, den Twitter mit der Bewertung der Einhaltung der Anordnung beauftragt hatte. Der Vorsitzende des Justizausschusses des Repräsentantenhauses, Jim Jordan (R-Ohio), hat diese Behauptungen kürzlich bei einer Anhörung im Kongress mit Khan bekräftigt.



In den Unterlagen des Justizministeriums heißt es, dass Ernst & Young seine Zusammenarbeit mit dem Unternehmen im Februar 2023 beendete, „aufgrund der umfangreichen Abgänge innerhalb der X Corp. und der mangelnden Unterstützung durch diese“.



Zur Autorin Cat Zakrzewski ist Reporterin für Technologiepolitik und verfolgt die Bemühungen Washingtons, die Unternehmen des Silicon Valley zu regulieren. Sie berichtet über Kartellrecht, Datenschutz und die Debatte über die Regulierung von Social-Media-Unternehmen. Joseph Menn hat zu diesem Bericht beigetragen.

Wir testen zurzeit maschinelle Übersetzungen. Dieser Artikel wurde aus dem Englischen automatisiert ins Deutsche übersetzt.

Dieser Artikel war zuerst am 12. September 2023 in englischer Sprache bei der „Washingtonpost.com“ erschienen – im Zuge einer Kooperation steht er nun in Übersetzung auch den Lesern der IPPEN.MEDIA-Portale zur Verfügung.