EU-Datenschützer verwarnt Parlament wegen Datentransfer an Google und Stripe
Der EU-Datenschutzbeauftragte moniert, dass das Europäische Parlament auf seiner Corona-Test-Seite rechtswidrig etwa Google Analytics eingebunden hat.
(Bild: Botond Horvath/Shutterstock.com)
Das Europäische Parlament muss auf seiner Covid-19-Test-Webseite nachbessern und die Privatsphäre der Nutzer besser absichern. Dies verlangt der EU-Datenschutzbeauftragter Wojciech Wiewiórowski und hat dem Gesetzgebungsgremium dafür einen Monat Zeit gegeben. Er rügt auf Beschwerde mehrerer Abgeordneten und der Bürgerrechtsorganisation Noyb, dass das Parlament auf Seite für das Testzentrum gegen das Datenschutzrecht verstoßen hat.
Daten an Google
Während der Corona-Pandemie setzt das Parlament auf ein Testcenter des Anbieters EcoCare, für das sich die Mitglieder der Institution im Intranet registrieren können. Beim Zugriff auf die Webseite entdeckten Volksvertreter, dass diese anfangs mehr als 150 Anfragen von Drittanbietern verschickte. Darunter waren auch die US-Unternehmen Google und Stripe.
Wiewiórowski hebt in seiner jetzt veröffentlichten Entscheidung vom 5. Januar hervor, dass der Einsatz von Google Analytics und des Zahlungsanbieters Stripe nicht mit dem "Schrems II"-Urteil des Europäischen Gerichtshofs (EuGH) zum Transfer personenbezogener Daten zwischen der EU und den USA vereinbar ist. Die Luxemburger Richter stellten mit diesem Beschluss erneut fest, dass US-Sicherheitsgesetze eine Massenüberwachung ermöglichen und der Datenschutzstandard in den Vereinigten Staaten daher nicht dem in der EU entspricht.
Die Ansage Wiewiórowskis ist eine der ersten Entscheidungen zur Umsetzung von "Schrems II" in der Praxis. Es könnte für zahlreiche weitere einschlägige Fälle wegweisend sein, die zurzeit Gerichte und Regulierungsbehörde behandeln. Zuvor hatte etwa das Verwaltungsgericht Wiesbaden einer Hochschule auf Basis des EuGH-Grundsatzurteils untersagt, auf ihrer Homepage den "Cookiebot" einzubinden und Daten so in die USA zu übermitteln.
Keine Geldstrafe
Die erste Beschwerde beim EU-Datenschutzbeauftragten hatte die Grüne Alexandra Geese im Namen weiterer Abgeordnete wie Patrick Breyer (Piratenpartei) eingereicht. Noyb untermauerte dieses Vorgehen vor einem Jahr mit einer weiteren Eingabe. Die Beschwerdeführer beanstandeten auch, dass die Cookie-Banner der Webseite unklar und irreführend seien: Die Betreiber hätten darin nicht alle platzierten Browser-Dateien aufgelistet, zudem habe es Unterschiede zwischen unterschiedlichen Sprachversionen gegeben. Folglich sei es den Nutzern nicht möglich gewesen, eine gültige Zustimmung zu erteilen. Das Parlament entfernte daraufhin alle Cookies.
Der Kontrolleur bestätigte ferner die Auffassung der Beschwerdeführer, dass die Datenschutzinformationen des Testzentrums nicht klar und verständlich gewesen seien. Damit habe das Parlament gegen die Transparenzpflicht verstoßen. Zudem habe das Gremium Auskunftsersuchen nicht korrekt beantwortet.
Die Aufsichtsbehörde erteilte dem Parlament einen Verweis für die verschiedenen Verstöße gegen eine spezielle, für die EU-Institutionen geltende Datenschutzverordnung. Dazu kommen eine Verwarnung und eine Unterlassungsanordnung mit einer Frist von einem Monat. Im Gegensatz zu den nationalen Datenschutzbehörden kann Wiewiórowski nur unter bestimmten Umständen eine Geldstrafe verhängen, die in diesem Fall nicht erfüllt waren. Die hier nicht greifende Datenschutz-Grundverordnung (DSGVO) bietet mehr Spielraum für Sanktionen.
(mho)
