Das Europäische Parlament hatte auf einer Website für Corona-Tests Google Analytics und Stripe verbaut und verstieß damit gegen EU-Datenschutzrecht. Der Datenschutzbeauftragte hat nun einer Beschwerde der Datenschutzorganisation noyb stattgegeben und dem Parlament eine Frist zur Behebung gesetzt.

Die Datenschutzorganisation Noyb (Bedeutung: „none of your business“) hat am 11. Januar 2022 veröffentlicht, dass der Europäische Datenschutzbeauftragte (EDSB) einer Beschwerde von ihnen stattgegeben hat. Demnach hat das Europäische Parlament auf einer Website für Corona-Tests illegal Google Analytics und den Zahlungsanbieter Stripe verbaut. Die Seite übermittelte Daten an die USA, obwohl laut dem Datenschutzbeauftragten nicht das erforderliche Schutzniveau nachgewiesen wurde. Er erteilte dem Parlament aufgrund des Verstoßes gegen EU-Datenschutzrecht eine Verwarnung und erteilte eine Unterlassungsanordnung mit einer Frist von einem Monat.

Beschwerde vor einem Jahr eingereicht

Noyb hatte die Beschwerde bereits im Januar 2021 eingereicht. Die Beschwerdegründe waren ein irreführender Cookie-Banner, vage und unklare Datenschutzhinweise und die illegale Übermittlung von Daten in die USA. Der Datenschutzbeauftragte untersuchte die Angelegenheit und stellte einen Verstoß gegen die „DSGVO für EU-Institutionen“ fest (Verordnung (EU) 2018/1725).

Der österreichische Verein um den bekannten Juristen und Datenschützer Max Schrems setzt damit seine Arbeit gegen rechtswidrige Geschäftspraktiken fort. Max Schrems erlangte im Oktober 2015 europaweite Bekanntheit, indem er in zwei großen Verfahren vor dem Europäischen Gerichtshof gegen den Internet-Riesen Facebook siegte. Dadurch erzielte er, dass die transatlantischen Datenschutzvereinbarungen „Safe Harbor“ und „Privacy Shield“ gekippt wurden.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

Illegale Datenübermittlung in die USA

Der Europäische Gerichtshof (EuGH) stellte im Juli 2020 in der sogenannten „Schrems-II“-Entscheidung fest, dass die Übermittlung personenbezogener Daten aus der EU in die USA an strenge Bedingungen geknüpft sei. Websites dürften nur dann personenbezogene Daten in die USA übermitteln, wenn ein angemessenes Schutzniveau gewährleistet werden kann. Entsprechende Nachweise konnte das Europäische Parlament in Bezug auf die Website nicht erbringen.

In der Beschwerde wurde auch beanstandet, dass die Cookie-Banner der Website unklar und irreführend waren: Nicht alle platzierten Cookies wurden auf den Bannern aufgelistet und es gab Unterschiede zwischen den unterschiedlichen Sprachversionen. Die Informationen über die Cookies wechselten je nach Spracheinstellung. Somit war die Verwendung für die Nutzer nicht nachvollziehbar. Während der Untersuchung entfernte das Parlament alle Cookies von der Website.

lrü