Datenschutzverstoß auf EU-Parlamentswebseite. Warum jetzt viele Unternehmen alarmiert sind

Die Meldung hat etwas Elektrisierendes: Der Europäische Datenschutzbeauftragte sprach im Januar eine Unterlassungsanordnung aus, weil ausgerechnet auf einer Webseite des EU-Parlaments Cookies und Services von US-Dienstleistern in Anspruch genommen worden sind.

Das aber verstößt gegen das als „Schrems II“ bekannte Urteil des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2020, mit dem das europäisch-amerikanische Datenschutzabkommen Privacy Shield gekippt wurde. Unternehmen in der EU sind aufs Höchste alarmiert, halten doch viele von ihnen aus Wettbewerbsgründen an der seit „Schrems II“ illegalen Datenübermittlung in die USA fest.

Illegale Corona-Webseite

Erst vor wenigen Tagen hatte er von sich Reden gemacht, als Wojciech Wiewiorowski die EU-Polizeibehörde Europol anwies, binnen Jahresfrist umfangreiche Datenbestände von Verdächtigen zu löschen – nun verlangte der oberster Datenschützer der EU ein Ende der unzulässigen Datenübermittlung von der Webpräsenz des EU-Parlaments. Er reagierte damit auf Anfragen von Parlamentsmitgliedern. Eigentliche Triebkraft aber war wieder einmal Max Schrems, Datenschutzaktivist der Organisation Noyb, der seinerzeit das nach ihm benannte Urteil ausgelöst hatte. Schon im Januar 2021 hatte Noyb im Namen von sechs Parlamentariern Beschwerde gegen das Europäische Parlament eingelegt. Konkret geht es um eine Corona-Testseite mit – wie Noyb auf seiner Webseite mitteilt – „irreführendem Cookie-Banner, vagen und unklaren Datenschutzhinweisen und der illegalen Übermittlung von Daten in die USA“. Illegal deshalb, weil Cookies von Google Analytics genutzt wurden, die Besucherzahlen ermitteln und analysieren, sowie auch solche des US-Zahlungsdienstleisters Stripe.

Ungeschützter Datentransfer

„Schrems II“ knüpft die transatlantische personenbezogene Datenübermittlung an strenge Auflagen. So muss ein angemessenes Schutzniveau gewährleistet sein. Das konnte Wojciech Wiewiorowski nicht feststellen. Ihm lägen vom EU-Parlament „keine Unterlagen, Nachweise oder sonstigen Informationen über die vertraglichen, technischen oder organisatorischen Maßnahmen vor, mit denen ein im Wesentlichen gleichwertiges Schutzniveau für die im Zusammenhang mit der Verwendung von Cookies auf der Website in die USA übermittelten personenbezogenen Daten gewährleistet wird.“

Schon während der Untersuchung der betreffenden Internetseite waren alle Cookies vom EU-Parlament entfernt worden. Wie das Handelsblatt weiß, lässt die EU-Kommission bereits eine Regelung ausarbeiten, mit der bald wieder eine Datenübertragung in die USA möglich sein soll. Auch hier wird wohl der EuGH mitreden, der bereits zwei Abkommen mangels gesichertem Datenschutz zur Makulatur gemacht hat.

Kommen Unterlassungsanordnungen für Unternehmen?

In der öffentlichen Diskussion des Falls wird darauf hingewiesen, dass der bekannt gewordene Datenschutzverstoß des EU-Parlaments explizit gegen ein für EU-Institutionen geltendes Gesetz verstoßen hat, jedoch in seinen Konsequenzen auch auf die der DSGVO verpflichteten Unternehmen übertragen werden kann. Die maßgebliche Verordnung (EU) 2018/1725 für EU-Einrichtungen gilt als „DSGVO für EU-Institutionen“. Von einem Präzedenzfall ist die Rede.

Damit dürfte sich die Spirale weiter drehen und eine noch unbekannte Zahl an europäischen Unternehmen hineinziehen. Denn was für das EU-Parlament gilt, ist auch für sie verbindlich: kein Google Analytics. Dieses Tool aber ist für zahlreiche Firmen, die online ihr Geld verdienen, ein essenzielles Mittel, um sich am digitalen Markt zu behaupten. Noyb als Verfechter der reinen Lehre hatte aus diesem Grund im August 2020 Beschwerden gegen 101 EU-Unternehmen eingelegt. Die Aktivisten rechnen mit einer Entscheidung zur Nutzung von Cookies von US-Providern in den nächsten Monaten. Dann dürfte es Unterlassungsanordnungen regnen, die den Wettbewerb im Internet neu befeuern werden. Derweil ist die österreichische Datenschutzbehörde schon einmal vorgeprescht und hat in Bearbeitung einer Noyb-Beschwerde mit einem – allerdings nicht rechtskräftigen Bescheid – festgestellt, „dass Website-Betreiber das Tool Google Analytics (...) nicht in Einklang mit der DSGVO einsetzen können“.