101 Beschwerden zu EU-US-Transfers eingereicht

17 Aug 2020

Eine schnelle Analyse des Quellcodes von europäischen Webseiten zeigt, dass diese einen Monat nach dem Urteil des Europäischen Gerichtshofs (EuGH) immer noch Google Analytics oder Facebook Connect verwenden - obwohl beide Unternehmen eindeutig unter die US-amerikanischen Überwachungsgesetze fallen, wie etwa FISA 702. Keines der beiden Unternehmen scheint eine rechtliche Grundlage für die Übertragung zu haben. Google behaupten immer noch, sich auf den "Privacy Shield" zu verlassen - einen Monat, nachdem er für ungültig erklärt wurde. Facebook nutzt weiter die "SCCs" obwohl der EuGH festgehalten hat, dass diese gegen US-Überwachungsgesetzen keinen ausreichenden Schutz bringen und daher nicht genutzt werden dürfen.

101 Beschwerden gegen Unternehmen in 30 EU- und EWR-Mitgliedstaaten eingereicht. Die Beschwerden richten sich gegen 101 europäische Unternehmen in allen 30 EU- und EWR-Mitgliedsstaaten. Die jeweiligen Webseiten der Unternehmen leiten Daten über Besucher*innen an Google und Facebook weiter. Die Beschwerden richten sich aber auch gegen Google und Facebook in den USA, weil sie diese Daten unter Verletzung der DSGVO weiterhin akzeptieren. Die Webseiten wurden anhand von europäischen TLDs (wie etwa ".de" für Deutschland), zwei spezifischen Tracking-Codes und den groben Besucherzahlen der Seite ausgewählt.

"Wir haben auf den wichtigsten Webseiten in jedem EU-Mitgliedsstaat eine schnelle Suche nach Code von Facebook und Google durchgeführt. Diese Code-Schnipsel leiten Daten über jeden Besucher an Google oder Facebook weiter. Beide Unternehmen geben zu, dass sie die Daten aus der EU zur Verarbeitung in die USA übermitteln, wo sie gesetzlich verpflichtet sind, diese Daten US-Behörden wie der NSA zur Verfügung zu stellen. Weder Google Analytics noch Facebook Connect sind für den Betrieb dieser Webseiten notwendig und hätten daher inzwischen ersetzt oder zumindest deaktiviert werden können", sagt Max Schrems, Ehrenvorsitzender von noyb.

Unternehmen ignorieren das Urteil weitgehend. US-Firmen wie Google, Facebook oder Microsoft fallen eindeutig unter die Verpflichtungen zur Weitergabe persönlicher Daten der Europäer*innen an die US-Regierung gemäß Gesetzen wie FISA 702 oder EO 12.333. Sie werden sogar explizit in den Snowden-Dokumenten erwähnt. Trotz der eindeutigen Entscheidung des EuGH behaupten die Unternehmen nun, dass Datentransfers weiterhin unter sogenannten Standardvertragsklauseln erfolgen dürfen - und viele EU-Unternehmen scheinen diese falsche Behauptung gerne zu akzeptieren.

Schrems: "Der EuGH hat ausdrücklich erklärt, dass man die Standardvertragsklauseln nicht verwenden kann, wenn der Empfänger in den USA unter diese Überwachungsgesetze fällt. Es scheint, dass US-Unternehmen immer noch versuchen, ihre EU-Kunden vom Gegenteil zu überzeugen. Das ist mehr als unlauter Wettbewerb. Unter den Standardvertragsklauseln müsste der US-Datenimporteur eigentlich den EU-Kunden über diese Gesetze informieren und ihn warnen. Geschieht dies nicht, dann sind diese US-Unternehmen für den verursachten Schaden haftbar".

Die Datenschutzbehörden müssen Maßnahmen ergreifen. Die DSGVO verlangt, dass jede Datenschutzbehörde in den Mitgliedsstaaten diese europäischen Regeln auch durchsetzen müssen, insbesondere wenn sie eine Beschwerde erhalten. Der EuGH hat die Handlungspflicht der Datenschutzbehörden ausdrücklich betont. Diese kann von Verarbeitungsverboten bis hin zu empfindlichen Strafen in Höhe von € 20 Mio bis zu 4% des weltweiten Umsatzes reichen.

noyb veröffentlicht Richtlinien für Unternehmen. Vor allem für kleinere EU-Unternehmen, die sich nicht sicher sind, ob die US-amerikanischen Überwachungsgesetze in ihrem Fall relevant sind, hat noyb auf seiner Webseite kostenlose FAQs und Musterfragebogen bereitgestellt. Es ist nicht schwer gezielt nach diesen Gesetzen zu fragen um im Fall des Falles auf einen anderen Provider zu wechseln.

Weitere rechtliche Schritte geplant. noyb plant, den Druck auf Unternehmen aus der EU und den USA schrittweise zu erhöhen, damit sie ihre Datentransfers überprüfen und sich an die klare Entscheidung des EuGH halten. Schrems: "Wir verstehen zwar, dass manche Dinge einige Zeit brauchen, aber es ist nicht hinnehmbar, dass einige Akteure das EU-Höchsgericht einfach ignorieren. Das ist auch unfair gegenüber Konkurrenten, die sich an diese Regeln halten. Wir werden jetzt stückweise Schritte setzten um sicherzustellen, dass sich zumindest die großen Player auch an die Gesetze halten.