EDSB sanktioniert Parlament wegen EU-US-Datenübermittlung an Google und Stripe

11 Jan 2022

Der EDSB sanktioniert das Europäische Parlament wegen illegale EU-US Datenübertragungen - neben anderen Verstößen

Der Europäische Datenschutzbeauftragte (EDSB) hat in eine Entscheidung bestätigt, dass das Europäische Parlament auf seiner Corona-Test-Seite gegen EU-Datenschutzrecht verstößt. Der EDSB hebt hervor, dass die Verwendung von Google Analytics und dem Zahlungsanbieter Stripe (beides US-Unternehmen) gegen das"Schrems II"-Urteil des Europäischen Gerichtshofs (EuGH) zur Datenübermittlung zwischen der EU und den USA verstößt. Dies ist eine der ersten Entscheidungen zur Umsetzung von"Schrems II" in der Praxis und kann wegweisend für hunderte anhängige Verfahren sein.

Beschwerde vor einem Jahr eingereicht. Im Januar 2021 hat noyb eine Beschwerde gegen das Europäische Parlament zu einer internen Corona-Testseite im Namen von sechs Mitgliedern des Europäischen Parlaments eingereicht. Die Beschwerdegründe waren ein irreführender Cookie-Banner, vage und unklare Datenschutzhinweise und die illegale Übermittlung von Daten in die USA. Der EDSB untersuchte die Angelegenheit und stellte einen Verstoß gegen die "DSGVO für EU-Institutionen" fest (Verordnung (EU) 2018/1725 die nur für EU-Einrichtungen gilt und der DSGVO nachempfunden ist).

Illegale Datenübermittlungen in die USA. Unter der so genannten "Schrems II"-Entscheidung hat der EuGH klargestellt, dass die Übermittlung personenbezogener Daten aus der EU in die USA an strenge Bedingungen geknüpft ist. Websites dürfen nur dann personenbezogene Daten in die USA übermitteln, wenn ein angemessenes Schutzniveau gewährleistet werden kann. Der EDSB bestätigte, dass bei der Übermittlung der Daten in die USA kein solcher Schutz vorliegt. So "legte das Parlament keine Unterlagen, Nachweise oder sonstigen Informationen über die vertraglichen, technischen oder organisatorischen Maßnahmen vor, mit denen ein im Wesentlichen gleichwertiges Schutzniveau für die im Zusammenhang mit der Verwendung von Cookies auf der Website in die USA übermittelten personenbezogenen Daten gewährleistet wird."

Im August 2020 hat noyb 101 Beschwerden gegen EU-Unternehmen eingereicht, die Google- und Facebook-Funktionen auf ihren Webseiten eingebunden haben. Nachdem eine "Task Force" durch die zuständigen Datenschutzbehörden gebildet wurde, erwartet noyb bald eine Entscheidung für private Websites, die der EDSB-Entscheidung folgen könnten. Auch viele Privatnutzer*innen warten auf Entscheidungen zu ihren Beschwerden.

"Die Entscheidung macht klar, dass schon das Setzen von Cookies durch US-Provider auf einer europäischen Webseite gegen EU-Recht verstoßen kann. Es gab keinen angemessenen Schutz gegen die Überwachung durch die USA, obwohl europäische Politiker bekanntermaßen Ziel von Überwachungsmaßnahmen sind. Wir erwarten in den nächsten Monaten weitere Entscheidungen zur Nutzung von US-Providern." Max Schrems, Vorsitzender von noyb.eu

Verwirrende Cookie-Banner. In der Beschwerde wurde auch beanstandet, dass die Cookie-Banner der Website unklar und irreführend waren: Nicht alle platzierten Cookies wurden auf den Bannern aufgelistet und es gab Unterschiede zwischen den unterschiedlichen Sprachversionen. Folglich konnten die Nutzer*innen keine gültige Zustimmung erteilen. Während der Untersuchung entfernte das Parlament alle Cookies von der Website. noyb arbeitet derzeit an Beschwerden zu Cookie-Bannern, welche durch diese Entscheidung unterstützt werden.

Unklar und irrelevante Informationen. Darüber hinaus wurde festgestellt, dass die Datenschutzinformationen nicht klar und transparent waren, da sie auf COVID-Test am Brüsseler Flughafens und auf eine falsche Rechtsgrundlagen verwiesen. Während des Verfahrens änderte das Parlament seine Informationen, verschlimmbesserte diese jedoch mitunter. noyb wies auf die verschiedenen Ungereimtheiten in der neuen Richtlinie des Parlaments hin. Der EDSB stimmte zu, dass die vom Parlament bereitgestellten Informationen gegen die Verpflichtung zur Transparenz verstoßen. Schließlich stellte der EDSB auch fest, dass das Parlament Auskunftsersuchen nicht korrekt beantwortete.

Keine Geldstrafe sondern eine Unterlassungsanordnung. Der EDSB erteilte dem Parlament aufgrund dieser Verstöße eine Verwarnung. Im Gegensatz zu den nationalen Datenschutzbehörden kann der EDSB nur unter bestimmten Umständen eine Strafe verhängen, die in diesem Fall nicht gegeben waren. Stattdessen erteilte der EDSB eine Unterlassungsanordnung mit einer Frist von einem Monat.