News

Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament

Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.

1. Rechtswidrige Datenübermittlungen in die USA

Der EDSB stellte fest, dass die Verwendung von Google Analytics und des Anbieters Stripe auf der Webseite des Parlaments zur Buchung von COVID-19-Tests gegen die Feststellungen des Gerichtshofs in der Entscheidung Schrems II (Urteil vom 16. Juli 2020, Az. C-311/18) verstößt. Die Webseite wurde vom Europäischen Parlament im September 2020 unter Verwendung eines Drittanbieters namens Ecolog eingeführt. Mit der sog. "Schrems II"-Entscheidung hat der EuGH klargemacht, dass die Übermittlung personenbezogener Daten aus der EU in die USA nur unter strengen Voraussetzungen zulässig ist. Eine Datenübermittlung in die USA ist für Betreiber von Webseiten nur dann rechtskonform, wenn ein angemessenes Schutzniveau sichergestellt werden kann. Ein solcher Schutz war bei der Übermittlung von Daten in die USA im vorliegenden Fall nach Ansicht des EDSB nicht gegeben. Insbesondere stellte der EDSB fest, dass das Parlament keine Unterlagen, Nachweise oder sonstigen Informationen über die vertraglichen, technischen oder organisatorischen Maßnahmen bereitgestellt hat, die ergriffen wurden, um ein im Wesentlichen gleichwertiges Sicherheitsniveau für personenbezogene Daten zu gewährleisten, die im Zusammenhang mit dem Einsatz von Cookies auf der Website in die USA übermittelt werden.

Hinweis: Der Vorwurf bezog sich hier also vor allem auch auf die Rechenschaftspflicht und die Dokumentationsebene. Dieser Aspekt sollte von Unternehmen bei der Dokumentation der eigenen Datenflüsse besonders beachtet werden.

2. Verwirrende Cookie-Banner

In der Beschwerde wurde auch bemängelt, dass die Cookie-Banner der Website unklar und irreführend waren. Demnach wurden nicht alle platzierten Cookies in dem Banner aufgeführt, ferner gab es Abweichungen zwischen den verschiedenen Sprachversionen. Beispielsweise zeigte die englische Version des Banners nur ein Kästchen mit der Bezeichnung "essential", während die französische und die deutsche Version zusätzlich ein Kästchen mit der Bezeichnung "externe Medien" enthielten. Der deutsche Cookie-Banner enthielt auch die Option „nur notwendige Cookies akzeptieren“, eine Option, die sowohl in der englischen als auch in der französischen Version fehlte. Darüber hinaus machten die Beschwerdeführer geltend, dass es auf der ersten Ebene des Cookie-Banners keine Option "Alle ablehnen" gebe, was einen Verstoß gegen Art. 14 der Verordnung darstelle, so dass die Voraussetzungen für die Erteilung einer konformen Zustimmung nicht erfüllt seien. Außerdem gab es auf der Website keine Informationen darüber, wie die Zustimmung zur Verwendung von Cookies widerrufen werden kann. Während der Überprüfung entfernte das Parlament die Cookies von seiner Website.

Hinweis: Der EDSB prüft die Anforderungen an den rechtskonformen Cookie-Einsatz auch anhand der Vorgaben des Art. 5 Abs. 3 ePrivacy-Richtlinie, der nun in Deutschland in § 25 TTDSG umgesetzt wurde. Daher lohnt sich auch für Unternehmen ein Blick in die Begründung der Aufsichtsbehörde.

3. Unklare Informationen und unzulängliche Beantwortung von Auskunftsersuchen

Außerdem wurde in der Beschwerde vorgebracht, dass die Datenschutzinformationen nicht klar und transparent seien und sich auf COVID-Tests am Brüsseler Flughafen sowie auf eine falsche Rechtsgrundlage bezögen. Zwar änderte das Parlament während der Untersuchung seine Hinweise, machte sie aber offenbar teilweise noch schlechter. Der EDSB vertrat ebenfalls die Auffassung, dass die vom Parlament zur Verfügung gestellten Informationen einen Verstoß gegen die Verpflichtung zur Transparenz darstellen. Schließlich stellte der EDSB auch fest, dass das Parlament nicht angemessen auf Auskunftsersuchen der Betroffenen geantwortet hat.

Hinweis: auch hier lässt sich die Begründung der Aufsichtsbehörde in den Bereich der DSGVO übertragen. Die Anforderungen an zu erteilende Informationen und die Bearbeitung von Auskunftsersuchen sind mit jenen der Verordnung für das Parlament vergleichbar.

4. Zusammenfassung

Der EDSB kam zu dem Ergebnis, dass das Parlament im Einzelnen folgende Vorschriften der Verordnung (EU) 2018/1725 verletzt hat:

  1. 26 Abs. 1 und Art. 29 Abs. 1, da das Parlament seiner Pflichten als Verantwortlicher nicht nachgekommen ist, indem er einen Auftragsverarbeiter eingesetzt hat, der keine hinreichenden Garantien für die Umsetzung geeigneter technischer und organisatorischen Maßnahmen getroffen hat. Diese Pflichten finden sich ebenso in Art. 24 Abs. 1 und Art. 28 Abs. 1. DSGVO.
  2. 29 Abs. 3, indem das Parlament es versäumt hat, die dem Auftragsverarbeiter erteilten Anweisungen für die Einrichtung und den Betrieb der Website zu dokumentieren. Diese Verpflichtung findet sich in der DSGVO in Art. 28 Abs. 3.
  3. 4 Abs. 1 lit. a und Art. 14, Art. 4 Abs. 2 und Art. 15 wegen Nichtbeachtung des Grundsatzes der Transparenz, der Rechenschaftspflicht und des Rechts der betroffenen Personen auf Information aufgrund von unzutreffenden Datenschutzinformationen und verwirrenden Cookie-Bannern auf der Website. Die korrespondierenden Pflichten in der DSGVO finden sich in Art. 5 Abs. 1 und 2 sowie in den Art. 12 und 13.
  4. 46 und Art. 48 Abs. 2 lit. b, da für die in die USA übermittelten personenbezogenen Daten kein angemessenes Schutzniveau gewährleistet wurde. Die vergleichbaren Bestimmungen in der DSGVO sind Art. 44 und Art. 46 Abs. 2 lit. c.
  5. 37 i.V.m. Art. 5 Abs. 3 der Richtlinie 2002/58/EG, da das Parlament es versäumt hat, die Informationen (die Cookies) zu schützen, die an die Endgeräte der Nutzer übermittelt, dort gespeichert, mit ihnen in Verbindung gebracht, von ihnen verarbeitet und von ihnen erhoben werden. Eine gleichwertige Verpflichtung zum Schutz der Privatsphäre bei Endeinrichtungen findet man in § 25 TTDSG.
  6. 17 und Art. 14 Abs. 4, da das Parlament es versäumt hat, den Auskunftsantrag der betroffenen Personen fristgerecht zu beantworten. Diese Verpflichtung ist vergleichbar mit Art. 15 und Art. 12 Abs. 4 der DSGVO.

 

Der EDSB hat aufgrund dieser Verstöße gegen die Verordnung (EU) 2018/1725 eine Unterlassungsanordnung ausgesprochen. Es wurde jedoch keine Geldstrafe verhängt. Zudem gab der EDSB dem Parlament einen Monat Zeit, um seine Datenschutzinformationen zu überarbeiten und die verbleibenden Transparenzprobleme zu lösen.

Wirtschaftsjuristin, Associate
Paola Giacone, LL.M.
Wirtschaftsjuristin, Associate
Paola Giacone, LL.M.

Zurück

News

OLG Schleswig-Holstein: keine Pflicht zur Ende-zu-Ende Verschlüsselung bei Geschäftsgeheimnissen

In seinem Urteil vom 28. April 2022 (Az. 6 U 39/21) entschied das Schleswig-Holsteinische Oberlandesgericht, welche Geheimhaltungsmaßnahmen angemessen i. S. v. § 2 Abs. 1 Nr. 1 lit. b GeschGehG sind. Außerdem hat sich das Gericht mit der Frage auseinandergesetzt, ob ein Individualinteresse ein berechtigtes Interesse zur Nutzung des Geschäftsgeheimnisses i. S. v. § 5 GeschGehG begründen kann.

Gesetz für faire Verbraucherverträge – Wichtige Änderungen und Handlungsbedarf für Unternehmen

Das „Gesetz für faire Verbraucherverträge“ ist seit dem 1. Oktober 2021 zu großen Teilen in Kraft. Durch die Änderung der entsprechenden Vorschriften des Bürgerlichen Gesetzbuches (BGB) und des Gesetzes gegen den unlauteren Wettbewerb (UWG) wird die Kündigung von Langzeitverträgen für Verbraucher erleichtert, das AGB-Recht verschärft und die Dokumentationspflichten für die Einwilligung bei Telefonwerbung erweitert. Da die Neuregelungen stufenweise in Kraft traten, gelten aktuell bereits neue Vorgaben für die Verwendung von AGB sowie die erweiterten Dokumentationspflichten für die Einwilligung in die Telefonwerbung. Ab dem 1. Juli 2022 gelten darüber hinaus die neuen Regeln für die Kündigung von Verbraucherverträgen, die über eine Website geschlossen wurden.

Datenschutzkonferenz zum Online-Handel – Behörden argumentieren für Pflicht zum Anbieten eines Gastzugangs und tendieren stark zur Einwilligung

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat einen Beschluss zum datenschutzkonformer Online-Handel mittels Gastzugang veröffentlicht. Der Beschluss enthält 4 Kernthesen zu Anforderungen, die laut der DSK für Online-Händler bestehen. Viele der darin enthaltenen Aussagen kann man zumindest als kontrovers bezeichnen. So verlangt die DSK von Online-Händlern, dass diese immer auch einen Gastzugang für Bestellungen anbieten. Zudem gehen die Behörden davon aus, dass für das Einrichten eines fortlaufen geführten Kundenkontos immer eine Einwilligung erforderlich sei und eine solche Einwilligung nicht freiwillig erteilt werden kann, wenn nicht auch ein Gastzugang ohne Registrierung angeboten werden würde. Die Nutzung von im Vertragsverhältnis erhobene Daten für Werbezwecke soll laut der DSK ebenfalls nur mit einer Einwilligung rechtfertigbar sein. Dasselbe gilt laut der Behördenansicht auch für die Speicherung von Zahlungsdaten. Im Folgenden werden die Kernaussagen der DSK zusammengefasst und hinterfragt.

News