News

Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament

Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.

1. Rechtswidrige Datenübermittlungen in die USA

Der EDSB stellte fest, dass die Verwendung von Google Analytics und des Anbieters Stripe auf der Webseite des Parlaments zur Buchung von COVID-19-Tests gegen die Feststellungen des Gerichtshofs in der Entscheidung Schrems II (Urteil vom 16. Juli 2020, Az. C-311/18) verstößt. Die Webseite wurde vom Europäischen Parlament im September 2020 unter Verwendung eines Drittanbieters namens Ecolog eingeführt. Mit der sog. "Schrems II"-Entscheidung hat der EuGH klargemacht, dass die Übermittlung personenbezogener Daten aus der EU in die USA nur unter strengen Voraussetzungen zulässig ist. Eine Datenübermittlung in die USA ist für Betreiber von Webseiten nur dann rechtskonform, wenn ein angemessenes Schutzniveau sichergestellt werden kann. Ein solcher Schutz war bei der Übermittlung von Daten in die USA im vorliegenden Fall nach Ansicht des EDSB nicht gegeben. Insbesondere stellte der EDSB fest, dass das Parlament keine Unterlagen, Nachweise oder sonstigen Informationen über die vertraglichen, technischen oder organisatorischen Maßnahmen bereitgestellt hat, die ergriffen wurden, um ein im Wesentlichen gleichwertiges Sicherheitsniveau für personenbezogene Daten zu gewährleisten, die im Zusammenhang mit dem Einsatz von Cookies auf der Website in die USA übermittelt werden.

Hinweis: Der Vorwurf bezog sich hier also vor allem auch auf die Rechenschaftspflicht und die Dokumentationsebene. Dieser Aspekt sollte von Unternehmen bei der Dokumentation der eigenen Datenflüsse besonders beachtet werden.

2. Verwirrende Cookie-Banner

In der Beschwerde wurde auch bemängelt, dass die Cookie-Banner der Website unklar und irreführend waren. Demnach wurden nicht alle platzierten Cookies in dem Banner aufgeführt, ferner gab es Abweichungen zwischen den verschiedenen Sprachversionen. Beispielsweise zeigte die englische Version des Banners nur ein Kästchen mit der Bezeichnung "essential", während die französische und die deutsche Version zusätzlich ein Kästchen mit der Bezeichnung "externe Medien" enthielten. Der deutsche Cookie-Banner enthielt auch die Option „nur notwendige Cookies akzeptieren“, eine Option, die sowohl in der englischen als auch in der französischen Version fehlte. Darüber hinaus machten die Beschwerdeführer geltend, dass es auf der ersten Ebene des Cookie-Banners keine Option "Alle ablehnen" gebe, was einen Verstoß gegen Art. 14 der Verordnung darstelle, so dass die Voraussetzungen für die Erteilung einer konformen Zustimmung nicht erfüllt seien. Außerdem gab es auf der Website keine Informationen darüber, wie die Zustimmung zur Verwendung von Cookies widerrufen werden kann. Während der Überprüfung entfernte das Parlament die Cookies von seiner Website.

Hinweis: Der EDSB prüft die Anforderungen an den rechtskonformen Cookie-Einsatz auch anhand der Vorgaben des Art. 5 Abs. 3 ePrivacy-Richtlinie, der nun in Deutschland in § 25 TTDSG umgesetzt wurde. Daher lohnt sich auch für Unternehmen ein Blick in die Begründung der Aufsichtsbehörde.

3. Unklare Informationen und unzulängliche Beantwortung von Auskunftsersuchen

Außerdem wurde in der Beschwerde vorgebracht, dass die Datenschutzinformationen nicht klar und transparent seien und sich auf COVID-Tests am Brüsseler Flughafen sowie auf eine falsche Rechtsgrundlage bezögen. Zwar änderte das Parlament während der Untersuchung seine Hinweise, machte sie aber offenbar teilweise noch schlechter. Der EDSB vertrat ebenfalls die Auffassung, dass die vom Parlament zur Verfügung gestellten Informationen einen Verstoß gegen die Verpflichtung zur Transparenz darstellen. Schließlich stellte der EDSB auch fest, dass das Parlament nicht angemessen auf Auskunftsersuchen der Betroffenen geantwortet hat.

Hinweis: auch hier lässt sich die Begründung der Aufsichtsbehörde in den Bereich der DSGVO übertragen. Die Anforderungen an zu erteilende Informationen und die Bearbeitung von Auskunftsersuchen sind mit jenen der Verordnung für das Parlament vergleichbar.

4. Zusammenfassung

Der EDSB kam zu dem Ergebnis, dass das Parlament im Einzelnen folgende Vorschriften der Verordnung (EU) 2018/1725 verletzt hat:

  1. 26 Abs. 1 und Art. 29 Abs. 1, da das Parlament seiner Pflichten als Verantwortlicher nicht nachgekommen ist, indem er einen Auftragsverarbeiter eingesetzt hat, der keine hinreichenden Garantien für die Umsetzung geeigneter technischer und organisatorischen Maßnahmen getroffen hat. Diese Pflichten finden sich ebenso in Art. 24 Abs. 1 und Art. 28 Abs. 1. DSGVO.
  2. 29 Abs. 3, indem das Parlament es versäumt hat, die dem Auftragsverarbeiter erteilten Anweisungen für die Einrichtung und den Betrieb der Website zu dokumentieren. Diese Verpflichtung findet sich in der DSGVO in Art. 28 Abs. 3.
  3. 4 Abs. 1 lit. a und Art. 14, Art. 4 Abs. 2 und Art. 15 wegen Nichtbeachtung des Grundsatzes der Transparenz, der Rechenschaftspflicht und des Rechts der betroffenen Personen auf Information aufgrund von unzutreffenden Datenschutzinformationen und verwirrenden Cookie-Bannern auf der Website. Die korrespondierenden Pflichten in der DSGVO finden sich in Art. 5 Abs. 1 und 2 sowie in den Art. 12 und 13.
  4. 46 und Art. 48 Abs. 2 lit. b, da für die in die USA übermittelten personenbezogenen Daten kein angemessenes Schutzniveau gewährleistet wurde. Die vergleichbaren Bestimmungen in der DSGVO sind Art. 44 und Art. 46 Abs. 2 lit. c.
  5. 37 i.V.m. Art. 5 Abs. 3 der Richtlinie 2002/58/EG, da das Parlament es versäumt hat, die Informationen (die Cookies) zu schützen, die an die Endgeräte der Nutzer übermittelt, dort gespeichert, mit ihnen in Verbindung gebracht, von ihnen verarbeitet und von ihnen erhoben werden. Eine gleichwertige Verpflichtung zum Schutz der Privatsphäre bei Endeinrichtungen findet man in § 25 TTDSG.
  6. 17 und Art. 14 Abs. 4, da das Parlament es versäumt hat, den Auskunftsantrag der betroffenen Personen fristgerecht zu beantworten. Diese Verpflichtung ist vergleichbar mit Art. 15 und Art. 12 Abs. 4 der DSGVO.

 

Der EDSB hat aufgrund dieser Verstöße gegen die Verordnung (EU) 2018/1725 eine Unterlassungsanordnung ausgesprochen. Es wurde jedoch keine Geldstrafe verhängt. Zudem gab der EDSB dem Parlament einen Monat Zeit, um seine Datenschutzinformationen zu überarbeiten und die verbleibenden Transparenzprobleme zu lösen.

Zurück

News

Geschäftsgeheimnisse und Auskunftsansprüche nach Art. 15 DSGVO: Spannungsfeld und Praxisfragen

Unternehmen sehen sich häufig mit Auskunftsanfragen betroffener Personen konfrontiert, deren Beantwortung auch Geschäftsgeheimnisse betreffen kann. Dies gilt etwa in Fällen, in denen Unternehmen Informationen zu algorithmischen Entscheidungsprozessen gem. Art. 15 Abs. 1 lit. h DSGVO offenlegen müssen. Aber auch klassische Geschäftsgeheimnisse wie interne Dokumentationen, etwa Kundenlisten oder Produktspezifikationen, können von der Auskunftspflicht nach Art. 15 Abs. 3 DSGVO betroffen sein.

Zuständigkeitswirrwarr: Übersicht zur Zuständigkeit für die Überwachung des Barrierefreiheitsstärkungsgesetzes (BFSG) bis zur Gründung der bundesweit zuständigen Marktüberwachungsbehörde

Seit dem 28. Juni 2025 gelten die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG). Ursprünglich war geplant, dass eine bundesweit zuständige Behörde die Überwachung des BFSG übernehmen soll. Die sogenannte Marktüberwachungsstelle der Länder für die Barrierefreiheit von Produkten und Dienstleistungen (MLBF) mit Sitz in Sachsen-Anhalt befindet sich aber noch „in Errichtung“. Auf dem Internetangebot des Landes Sachsen-Anhalt finden sich zur MLBF derzeit lediglich ein Postfach, eine E-Mail-Adresse und eine Telefonnummer (hier abrufbar). Vor diesem Hintergrund stellt sich die Frage, welche Behörden bis zur Errichtung der MLBF für die Überwachung des BFSG zuständig sind.

DSGVO-Bußgeldverfahren: Mehr Klarheit durch Musterrichtlinien der DSK

Am 16. Juni 2025 hat die Datenschutzkonferenz (DSK) ihre Musterrichtlinien für das Verfahren zur Verhängung von Geldbußen vorgestellt.

Die Landesdatenschutzbehörden planen nun, diese Richtlinien als Verwaltungsvorschriften zu erlassen. Damit werden sich die Aufsichtsbehörden selbst verpflichten, die Vorgaben in zukünftigen Bußgeldverfahren einzuhalten.

Erste Schritte zur Umsetzung der Barrierefreiheit auf Websites

In etwa einem Monat gelten die Anforderungen des Barrierefreiheitsstärkungsgesetz (BFSG) für viele Websites. Ab dem 29. Juni 2025 müssen die meisten Websites (und übrigens auch Apps) nicht nur barrierefrei sein, sondern auch eine Erklärung zur Barrierefreiheit enthalten.

In diesem Beitrag möchten wir Ihnen aufzeigen, welche Schritte Sie jetzt ergreifen können, um die Anforderungen des BFSG kurzfristig umzusetzen.

Datenschutzrechtliche Verantwortlichkeit von Behörden bei zentraler Bereitstellung von IT-Fachverfahren

Um Behörden die Bestimmung der datenschutzrechtlichen Verantwortlichkeit beim Einsatz von IT-Fachverfahren zu erleichtern, hat Philip Schweers in der aktuellen Ausgabe 05/2025 des Datenschutzberaters einen Beitrag veröffentlicht.

Den Beitrag können Sie hier kostenlos auf unserer Website als PDF abrufen.

Im Artikel beschreibt Herr Schweers ausführlich, wann aus Sicht des Europäischen Datenschutzausschusses und des Europäischen Gerichtshofs eine gemeinsame Verantwortlichkeit bei Beteiligung mehrerer öffentlicher Stellen in Betracht kommt. Auch für Datenschützer im Unternehmen kann der Beitrag interessant sein, da sich die Ausführungen im Grunde auch auf die Bereitstellung zentraler IT-Anwendungen im Konzern übertragen lassen.

Weiterer Fachaufsatz zum Training von KI-Modellen aus datenschutzrechtlicher Sicht

In der aktuellen Ausgabe 02/2025 (EuDIR 2025, 90) der Zeitschrift für Europäisches Daten- und Informationsrecht (EuDIR) wurde ein Beitrag von Dr. Carlo Piltz und Alexander Weiss mit dem Titel „Datenschutzrechtliche Rechtsgrundlagen für das Training von KI-Modellen“ veröffentlicht.

In dem Aufsatz wird aufgezeigt, welche datenschutzrechtlichen Erlaubnistatbestände aus der DSGVO in bestimmten Fallkonstellationen herangezogenen werden können, wenn KI-Modelle mit personenbezogenen Daten trainiert werden. Zudem werden auch Fragestellungen zur Zweckänderung (Art. 6 Abs. 4 DSGVO) und zur Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) erörtert.

 

Das Inhaltsverzeichnis der Zeitschrift können Sie hier als PDF aufrufen.