Eine Webseite des EU Parlaments verstößt gegen den Datenschutz

Diese Entdeckung hat eine eigene Brisanz: Der höchste Datenschützer Europas brachte eine Unterlassungsklage gegen eine Webseite des EU-Parlaments auf den Weg.

Begründung: Hier wurden Cookies und Dienste von US-Unternehmen unverblümt in Anspruch genommen. Das aber verstößt gegen das als "Schrems II" bekannte Urteil des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2020, mit dem das europäisch-amerikanische Datenschutzabkommen Privacy Shield gekippt wurde. Unternehmen in der EU sind aufs Höchste alarmiert, halten doch viele von ihnen aus Wettbewerbsgründen an der seit „Schrems II“ illegalen Datenübermittlung in die USA fest, da sie dazu keine wirklich machbare Alternative kennen.

Covid-Internetseite mit illegalem Touch

Es ist noch nicht lange her, da hat sich der oberste Datenschützer der Europäischen Union mit der Behörde Europol befasst. Dabei ging es um die Forderung, personenbezogene Daten aus Ermittlungsakten innerhalb eines Jahrs zu löschen. Jetzt verlangte der oberste Datenschützer der EU ein Ende der unzulässigen Datenübermittlung von der Webpräsenz des EU-Parlaments. Er reagierte damit auf Anfragen von Parlamentsmitgliedern.

Eigentliche Triebkraft aber war wieder einmal Max Schrems, Datenschutzaktivist der Organisation Noyb, der seinerzeit das nach ihm benannte Urteil ausgelöst hatte. Schon im Januar 2021 hatte Noyb im Namen von sechs Parlamentariern Beschwerde gegen das Europäische Parlament eingelegt. Konkret geht es um eine Corona-Testseite mit – wie Noyb auf seiner Webseite mitteilt – „irreführendem Cookie-Banner, vagen und unklaren Datenschutzhinweisen und der illegalen Übermittlung von Daten in die USA“. Gegen die DSGVO verstößt diese Praxis, weil unter anderem der Service Google Analytics verwendet wurde und auch darüber hinaus Daten an US-Unternehmen weitergespielt wurden.

Freizügiger Datenaustausch

Mit dem „Schrems II“-Verfahren ist es ungleich schwerer geworden, überhaupt noch Daten über den Atlantik zu transferieren. Wer dies tut, muss nachweisen, dass ein dem europäischen Datenschutz angemessenes Niveau an Schutzmaßnahmen eingehalten wird. Das konnte Wojciech Wiewiórowski nicht feststellen. Ihm lägen vom EU-Parlament „keine Unterlagen, Nachweise oder sonstigen Informationen über die vertraglichen, technischen oder organisatorischen Maßnahmen vor, mit denen ein im Wesentlichen gleichwertiges Schutzniveau für die im Zusammenhang mit der Verwendung von Cookies auf der Website in die USA übermittelten personenbezogenen Daten gewährleistet wird."

Schon während der Untersuchung der betreffenden Internetseite waren alle Cookies vom EU-Parlament entfernt worden. Wie das Handelsblatt weiß, lässt die EU-Kommission bereits eine Regelung ausarbeiten, mit der bald wieder eine Datenübertragung in die USA möglich sein soll. Es ist zu erwarten, dass der Europäische Gerichtshof sich in diese Angelegenheit einschaltet. Der hatte ja schon zwei Versuche abgelehnt, den Datenschutz in bilateralen Abkommen zu gewährleisten.

Wird es nun heiß für Firmen?

Seitens der EU Behörden wird mit Nachdruck darauf hingewiesen, dass die Webseiten-Betreiber des EU-Parlaments vehement gegen europäische Datenschutz-Regeln verstoßen haben. Und das in einer Art und Weise, die auch bei vielen Unternehmen praktiziert wird. Die maßgebliche Verordnung (EU) 2018/1725 für EU-Einrichtungen gilt als „DSGVO für EU-Institutionen“. Von einem Präzedenzfall ist die Rede. Damit dürfte sich die Spirale weiterdrehen und eine noch unbekannte Zahl an europäischen Unternehmen hineinziehen. Denn was für das EU-Parlament gilt, ist auch für sie verbindlich: kein Google Analytics. Dieses Tool aber ist für zahlreiche Firmen, die online ihr Geld verdienen, ein essenzielles Mittel, um sich am digitalen Markt zu behaupten.

Noyb als Verfechter der reinen Lehre hatte aus diesem Grund im August 2020 Beschwerden gegen 101 EU-Unternehmen eingelegt. Die Aktivisten rechnen mit einer Entscheidung zur Nutzung von Cookies von US-Providern in den nächsten Monaten. Dann dürfte es Unterlassungsanordnungen regnen, die den Wettbewerb im Internet neu befeuern werden. In Österreich haben die Datenschützer bereits reagiert: Aufgrund einer Noyb-Beschwerde wurde in Richtung von Unternehmen bereits angedeutet, dass eine weitere Verwendung von Google Analytics künftig nicht mehr möglich sein wird.