A worker cleans desks inside the hemicycle ahead of a plenary session of the European Parliament in Brussels
© REUTERS / FRANCOIS LENOIR

Netzpolitik

Datenschutzverstoß bei COVID-Test-Website der EU bestätigt

Sechs EU-Abgeordnete, darunter auch der deutsche Patrick Breyer von der Piratenpartei, haben sich an die Datenschutzorganisation noyb gewandt. Sie haben eine Beschwerde gegen das EU-Parlament eingereicht, weil dieses auf seiner COVID-Test-Website Google Analytics und den US-Zahlungsanbieter Stripe einsetzt.

Dazu gibt es nun eine Entscheidung seitens des Europäische Datenschutzbeauftragten (EDSB). Dieser bestätigt, dass der Einsatz dieser US-Dienste ein Verstoß gegen das EU-Datenschutzrecht ist. Die rechtliche Entscheidungsgrundlage hierfür ist das „Schrems II“-Urteil des Europäischen Gerichtshofs, das den Datentransfer von der EU in die USA betrifft.

Warum der Einsatz von Google Analytics rechtswidrig ist

Beim EuGH-Urteil zu „Schrems II"-Fall hat der Gerichtshof festgestellt, dass die Übermittlung personenbezogener Daten aus der EU in die USA an strenge Bedingungen geknüpft ist. Websites müssen davon absehen, personenbezogene Daten in die USA zu übermitteln, weil ein angemessenes Schutzniveau für die personenbezogenen Daten nicht gewährleistet werden kann.

Im konkreten Fall des EU-Parlaments bestätigte der EDSB nun, dass ein Transfer ohne dieses „angemessene Schutzniveau“ stattgefunden habe. "Das Parlament hat keine Unterlagen, Nachweise oder sonstige Informationen über die vertraglichen, technischen oder organisatorischen Maßnahmen vorgelegt, die ein im Wesentlichen gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleisten, die im Zusammenhang mit
der Verwendung von Cookies auf der Website in die USA übermittelt werden“, heißt es seitens des EDSB dazu.

FILE PHOTO: Max Schrems poses after a Reuters interview in Vienna

Max Schrems bringt mit noyb.eu zahlreiche Beschwerden ein

Wegweisend für weitere Urteile und Behörden

"Leider zeigt der vorliegende Fall, dass unsere Daten noch immer in großer Zahl illegal in die USA transferiert werden. Der EDSB macht mit seiner Entscheidung deutlich, dass dies ein Ende haben muss“, so Patrick Breyer. Eine Geldstrafe bekommt das EU-Parlament allerdings keine, sondern nur eine Anordnung zur „Einhaltung der Vorschriften“. Im Gegensatz zu den nationalen Datenschutzbehörden im Rahmen der DSGVO kann der EDSB nur unter bestimmten Umständen, die in diesem Fall nicht erfüllt waren, eine Geldstrafe verhängen.

Die Entscheidung betrifft zwar in dieser Form nur das EU-Parlament, aber sie ist wegweisend für zahlreiche andere Fälle. "Entschieden wird immer im Einzelfall. Bisher ignoriert ein großer Teil der Unternehmen die EuGH-Rechtsprechung. Wir hoffen hier auf mehr Aktivitäten der Behörden“, sagt Max Schrems von der Datenschutzorganisation noyb.eu auf futurezone-Anfrage.

"Man kann Google-Produkte nicht rechtskonform einbinden"

Auch in Österreich setzen zahlreiche Behörden und Bundesländer Google-Dienste auf ihren Corona-Websites ein. Die futurezone hat etwa darüber berichtet, wie Google reCaptcha und Google Analytics auf diversen Impf-Voranmelde-Seiten der Bundesländer zum Einsatz kamen. Jetzt aktuell wird Google reCaptcha etwa noch immer auf der Website von „Österreich testet“ eingesetzt, bzw. ist zumindest in der Datenschutzerklärung als eingesetzter Dienst aufgelistet.

Ist das jetzt legal, oder ebenfalls ein Verstoß gegen das Datenschutzrecht? "Wir gehen aktuell davon aus, dass man Google-Produkte nicht rechtskonform in Webseiten einbinden kann. Dazu gibt es gut 100 noyb-Musterfälle vor Datenschutzbehörden und eine 'Task Force' der Behörden. Wir warten hier auf Entscheidungen“, sagt Schrems zur futurezone. Gerade bei Captcha-Lösungen, die in Österreich seitens der Behörden eingesetzt werden, gäbe es zahlreiche Alternativen zu Googles reCaptcha.

Im August 2020 hat noyb 101 Beschwerden gegen EU-Unternehmen eingereicht, die Google- und Facebook-Funktionen auf ihren Webseiten eingebunden haben. Nachdem eine "Task Force" durch die zuständigen Datenschutzbehörden gebildet wurde, erwartet noyb bald eine Entscheidung für private Websites, die der EDSB-Entscheidung folgen könnten. Auch viele Privatnutzer*innen warten auf Entscheidungen zu ihren Beschwerden.

Hat dir der Artikel gefallen? Jetzt teilen!

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Speakerin. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen
Barbara Wimmer

Kommentare