EDSB verhängt Sanktionen gegen das Europäische Parlament wegen illegaler Datenübermittlung zwischen der EU und den USA
Auf Beschwerde von sechs EU-Abgeordneten, darunter Patrick Breyer von der Piratenpartei, hat der Europäische Datenschutzbeauftragte (EDSB) bestätigt, dass das Europäische Parlament auf seiner COVID-Test-Website gegen das Datenschutzrecht verstoßen hat. Der EDSB hebt hervor, dass die Verwendung von Google Analytics und des Zahlungsanbieters Stripe (beides US-Unternehmen) gegen das “Schrems II”-Urteil des Europäischen Gerichtshofs (CJEU) über die Datenübermittlung zwischen der EU und den USA verstoßen hat. Das Urteil ist eine der ersten Entscheidungen zur Umsetzung von “Schrems II” in der Praxis und könnte für zahlreiche weitere Fälle wegweisend sein, die zurzeit von den Regulierungsbehörden betrachtet werden.
Im Auftrag von sechs EU-Abgeordneten reichte die Datenschutzorganisation noyb im Januar 2021 eine Datenschutz-Beschwerde gegen das Europäische Parlament ein. Nicht nur die allgegenwärtigen unklaren Cookie-Informationen einer internen Corona-Test-Webseite verstießen gegen die EU-Regeln, sondern vor allem auch die Datenübermittlung in die USA.
Der EDSB untersuchte die Angelegenheit und erteilte dem Parlament eine Rüge wegen Verstoßes gegen die “GDPR für EU-Institutionen” (Verordnung (EU) 2018/1725, die nur für EU-Institutionen gilt).
Illegale Datenübermittlungen in die USA
Im sogenannten “Schrems II”-Fall hat der EuGH klargestellt, dass die Übermittlung personenbezogener Daten aus der EU in die USA in vielen Fällen ausgeschlossen ist. Websites müssen davon absehen, personenbezogene Daten in die USA zu übermitteln, weil ein angemessenes Schutzniveau für die personenbezogenen Daten nicht gewährleistet werden kann. Der EDSB bestätigte, dass tatsächlich ein Datentransfer in die USA ohne angemessenes Schutzniveau für die Daten stattgefunden hat und betonte: “Das Parlament hat keine Unterlagen, Nachweise oder sonstige Informationen über die vertraglichen, technischen oder organisatorischen Maßnahmen vorgelegt, die ein im Wesentlichen gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleisten, die im Zusammenhang mit der Verwendung von Cookies auf der Website in die USA übermittelt werden.”
Mitbeschwerdeführer und Europaabgeordneter Dr. Patrick Breyer (Piratenpartei) kommentiert:
“Das Schrems II-Urteil war ein großer Sieg für den Schutz unserer Privatsphäre und die Vertraulichkeit unserer Kommunikation und Internetnutzung. Leider zeigt der vorliegende Fall, dass unsere Daten noch immer in großer Zahl illegal in die USA transferiert werden. Der EDSB macht mit seiner Entscheidung deutlich, dass dies ein Ende haben muss. Ohne unsere Einwilligung darf es keine unnötige Weiterleitung unserer Daten in die USA mehr geben, auch nicht aufgrund der sogenannten Standardvertragsklauseln, die an der NSA-Massenüberwachung nichts ändern.”
Keine Geldstrafe, aber ein Verweis und eine Anordnung zur Einhaltung der Vorschriften
Der EDSB erteilte dem Parlament einen Verweis für die verschiedenen Verstöße gegen die für die EU-Institutionen geltende Datenschutzverordnung. Im Gegensatz zu den nationalen Datenschutzbehörden im Rahmen der DSGVO kann der EDSB nur unter bestimmten Umständen, die in diesem Fall nicht erfüllt waren, eine Geldstrafe verhängen. Darüber hinaus gab der EDSB dem Parlament einen Monat Zeit, um seinen Datenschutzhinweis zu aktualisieren und die verbleibenden Probleme in Bezug auf die Transparenz zu lösen.