Update zu noybs 101 Beschwerden zu EU-US-Datentransfers – nur ein Land sticht positiv hervor

22 Sep 2020

Vor etwas über einem Monat hat noyb 101 Beschwerden gegen mehrere in der EU/im EWR ansässige Unternehmen eingebracht, da diese nach wie vor Google Analytics und Facebook Connect auf Ihren Websites verwenden – und dadurch personenbezogene Daten an Google und Facebook in die USA übermitteln. Nach dem EuGH-Urteil vom 16.07.2020 sind derartige Datentransfers illegal, da Google und Facebook den US-Überwachungsgesetzen unterstehen und Daten Europäischer Nutzer an US-Geheimdienste offenlegen müssen.

Kaum Reaktionen von Seiten der betroffenen Unternehmen – trotz Strafdrohung von € 20 Mio

Während politisch klar ist, dass es in absehbarer Zeit kein neues „Privacy Shield“ oder „Safe Harbor“ geben wird, scheinen viele Unternehmen weiter den Kopf in den Sand zu stecken.

Auch viele Rechtsanwälte und „Experten“ negieren die klaren Aussagen des EuGH und behaupten, dass alles gut sei, solange man nur Standardvertragsklauseln („SCCs“) mit dem Datenempfänger abschließe – eine vollkommene Verkennung der Situation, die Unternehmen teuer zu stehen kommen kann.

Der EuGH hat unmissverständlich erklärt, dass man SCCs nicht verwenden kann, wenn der Empfänger in den USA unter US‑Überwachungsgesetze (wie FISA 702) fällt. Ein Verstoß gegen die DSGVO-Regeln zum Datentransfer kann mit einer Geldbuße bis zu € 20 Mio bzw. 4% des Jahresumsatzes geahndet werden. Hinzu kommen mögliche Schadenersatzansprüche betroffener Nutzer.

Die 101 Beschwerden von noyb waren daher nicht zuletzt auch als Weckruf gedacht: Das Urteil des Europäischen Höchstgerichts ist zu respektieren, kritische Datentransfers sind von Datenexporteur in der EU und Datenimporteur in den USA zu prüfen und gegebenenfalls einzustellen. Falls dies nicht freiwillig erfolgt, hat der EuGH die Europäischen Datenschutzbehörden ausdrücklich in die Pflicht genommen, derartige Transfers zu untersagen.

Bei den in den 101 Beschwerden belangten Website-Betreiber scheint das bislang kaum angekommen zu sein. Mit Stand 22.09.2020 haben sich lediglich zwei Unternehmen und eine Universität bei noyb gemeldet – allesamt in Liechtenstein ansässig. Sie konnten nachweisen, dass die Code-Elemente für Google Analytics bzw. Facebook Connect von ihren Websites entfernt haben. noyb hat daraufhin die betreffenden Beschwerden vor der Liechtensteinischen Datenschutzstelle zurückgezogen.

Positiv überrascht haben uns bislang nur Website-Betreiber aus Liechtenstein. Diese haben schnell und richtig reagiert und die DSGVO-widrigen Datentransfers eingestellt. Wir haben die Beschwerden daraufhin zurückgezogen. Von Website-Betreibern aus anderen Mitgliedstaaten haben wir leider nichts gehört. Je länger diese Unternehmen zuwarten, desto wahrscheinlicher wird eine Strafe durch die Datenschutzbehörden.“ – Marco Blocher, Datenschutzjurist bei noyb.

Auch Google und Facebook hüllen sich in Schweigen

Neben den Website-Betreibern, richten sich die 101 Beschwerden auch gegen die Datenimporteure Google und Facebook in den USA. Auch diese können für die DSGVO-widrigen Datentransfers belangt werden. Facebook hat sich zu den 101 Beschwerden bislang gar nicht substantiell geäußert; von Google kamen nur leere Worte. Man wolle sich dafür einsetzen „dass im Rahmen der anwendbaren SCCs, die von Google zur Verfügung gestellt werden, die erforderlichen Datenschutzbestimmungen unabhängig vom Speicherort der Daten eingehalten werden.“  Der Silicon-Valley-Gigant bleibt jedoch eine Antwort schuldig, wie er verhindern will, dass er unter US-Überwachungsgesetze fällt.

Bislang wiederholen große US-Datenkonzerne gebetsmühlenartig, dass sie die Situation evaluieren und sicherstellen, dass die Nutzerdaten auf Basis von SCCs geschützt werden. Das sind leere Floskeln, die nichts daran ändern, dass die US-Überwachungsgesetze Behörden wie der NSA das Recht geben auf Unmengen von Daten zuzugreifen, die in die USA übertragen werden. Zu diesem Konflikt zwischen den Verträgen mit EU-Kunden und US-Gesetzen gibt es bisher nur Schweigen.“ – Marco Blocher

Europäischer Datenschutzausschuss hat Taskforce zu noybs Beschwerden eingerichtet

Eine positive Entwicklung gibt es auf Ebene der EU. Der Europäische Datenschutzausschuss („EDSA“, eine EU-Institution, die sich aus Vertretern der europäischen Datenschutzbehörden zusammensetzt) hat anlässlich der 101 Beschwerden eine spezielle Taskforce eingerichtet. Diese Taskforce soll den Sachverhalt, der den Beschwerden zugrunde liegt, untersuchen und eine enge Zusammenarbeit zwischen den Mitgliedern des Ausschusses gewährleisten. Auch wird der EDSA Empfehlungen ausarbeiten, „um die Verantwortlichen und Auftragsverarbeiter bei ihrer Aufgabe zu unterstützen, geeignete zusätzliche Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus bei der Übermittlung von Daten in Drittländer zu ermitteln und umzusetzen“.

Wir freuen uns sehr, dass der EDSA hier eine aktive Rolle eingenommen hat und auf eine einheitliche Behandlung unserer Beschwerden hinwirken möchte. Wir hoffen, dass diese Koordinierung dazu führt, dass die Beschwerden in allen EU/EWR-Staaten gleichermaßen effektiv und zeitnahe erledigt werden. Bislang zeigen unsere Erfahrungen, dass manche Datenschutzbehörden sehr produktiv sind, während andere bemüht scheinen, jedes Verfahren im Keim zu ersticken. Ein gesamteuropäischer Ansatz ist daher in jedem Fall begrüßenswert. Die 101 Beschwerden sind inhaltlich nicht komplex und nahezu identisch. Wenn es der Behörde in Mitgliedstaat A gelingt, eine Beschwerde zeitnahe zu erledigen, hat die Behörde in Mitgliedstaat B keine Ausrede, warum sie das nicht auch schafft.“ – Marco Blocher

noyb verfolgt die Lage zu jeder Beschwerde weiterhin um sicherzustellen, dass Entscheidungen des Europäischen Höchstgerichts auch die Rechte jedes Bürgers im täglichen Leben schützen.