Datenübermittlung in die USA und unzureichende Cookie-Informationen: noyb bringt im Namen von sechs EU-Abgeordneten Beschwerde gegen das Europäische Parlament ein
noyb reicht heute stellvertretend für sechs EU-Abgeordnete, darunter Patrick Breyer von der Piratenpartei, eine Datenschutz-Beschwerde gegen das Europäische Parlament ein. Nicht nur die allgegenwärtigen unklaren Cookie-Informationen einer internen Corona-Test-Webseite verstießen gegen die EU-Regeln, sondern vor allem auch die Datenübermittlung in die USA.
„Nach dem Ende des untauglichen ‚Privacy Shield‘ darf es ohne unsere Einwilligung keine Weiterleitung unserer Daten in die USA mehr geben. Den Stopp der Datenabflüsse müssen die Datenschutzbehörden durchsetzen. Dass eine europäische Institution die Weitergabe sensibler Daten ihrer Mitarbeiter und Abgeordneten zulässt, ist ungeheuerlich. Dies ist ein guter Präzedenzfall zur Klärung der EU-Datenschutzregeln, ohne erst nationale Stellen einschalten zu müssen“ – Europaabgeordneter der Piratenpartei und Mitbeschwerdeführer Dr. Patrick Breyer
COVID-Test-Website leitet Daten an Dritte weiter
Das Europäische Parlament (EP) bietet all seinen Mitarbeiter*innen und Mitgliedern COVID-19 PCR-Tests an. Das EP verwendet dafür ein Testcenter des Anbieters EcoCare, für das sich die Mitglieder des EP im Intranet registrieren können. Beim Zugriff auf die Website entdeckten die Abgeordneten, dass die Website mehr als 150 Anfragen von Drittanbietern verschickte, darunter auch Anfragen an die US-Unternehmen Google und Stripe. Darüber hinaus wurde nicht nur ein Stripe-Cookie im Browser abgelegt, sondern die Datenschutzerklärung der Website legt auch nahe, dass Google Analytics-Cookies auf der Website verwendet wurden. Es wurden jedoch keine Gesundheitsdaten an Dritte gesendet, da die Seite nur die Anmeldung zu Testterminen abwickelt.
Illegale Datenübermittlung in die USA trotz Schrems II
Sowohl Google als auch Stripe haben ihren Sitz in den USA. Im sogenannten “Schrems II” Urteil hat der EuGH klargestellt, dass die Übermittlung personenbezogener Daten in die USA an sehr strenge Bedingungen geknüpft ist. Websites dürfen nur dann personenbezogene Daten in die USA übertragen, wenn ein angemessenes Schutzniveau gewährleistet werden kann. Stripe und Google fallen jedoch eindeutig unter die einschlägigen US-Überwachungsgesetze, die es erlauben, EU-Bürger:innen ins Visier zu nehmen. Besonders relevant ist das für politisch exponierte Personen wie etwa Mitglieder und Mitarbeiter*innen des Europäischen Parlaments. Daher fordert noyb mit dieser Beschwerde den Europäischen Datenschutzbeauftragten (EDSB) auf, solche rechtswidrigen Übermittlungen zu unterbinden.
“Öffentliche Behörden und insbesondere die EU-Institutionen müssen mit gutem Beispiel vorangehen und das Gesetz einhalten. Das gilt auch, wenn es um die Weitergabe von Daten außerhalb der EU geht. Durch die Nutzung von US-Providern hat das Europäische Parlament mitunter US-Behörden Zugriff auf Daten seiner Mitarbeiter und Mitglieder ermöglicht.” – Max Schrems, Vorsitzender von noyb.eu
Irreführende Cookie-Banner und unklare Informationen
Darüber hinaus waren die Cookie-Banner der Website unklar und irreführend: Die Bannerlisten nicht alle gesetzten Cookies auf und drängen die Nutzer*innen dazu, alle Cookies zu akzeptieren. Folglich fehlt eine gültige Einwilligung für die Datenverarbeitung und das Setzen von Cookies. Auch die Informationen auf der Website waren verwirrend: Die Nutzer*innen wurden mit zwei verschiedenen Datenschutzhinweisen mit widersprüchliche Informationen konfrontiert.
noyb unterstützt sechs Abgeordneten bei einer Beschwerde vor dem Europäischen Datenschutzbeauftragten (EDSB). Die erste Beschwerde wurde Ende Oktober 2020 von Alexandra GEESE im Namen der anderen Abgeordneten eingereicht. Der EDSB ist eine spezifische Datenschutzbehörde, die nur für EU-Institutionen und -Agenturen zuständig ist.
Direkter Zugang zum EuGH, relevant für grundsätzliche Fragen zu Cookies
Der EDSB wird nun die Beschwerde von noyb analysieren und sollte bald eine Entscheidung in dieser Angelegenheit treffen. Die Beschwerde vor dem EDSB erlaubt möglicherweise auch einen direkten Zugang zum europäischen Höchstgericht. Eine negative Entscheidung könnte direkt vor dem Europäischen Gerichtshof (EuGH) angefochten werden. Damit können auch mit einer einfachen Beschwerde zu einer EU-Webseite grundsätzliche Fragen des europäischen Datenschutzrechts geklärt werden.
Kommentare