News

Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament

Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.

1. Rechtswidrige Datenübermittlungen in die USA

Der EDSB stellte fest, dass die Verwendung von Google Analytics und des Anbieters Stripe auf der Webseite des Parlaments zur Buchung von COVID-19-Tests gegen die Feststellungen des Gerichtshofs in der Entscheidung Schrems II (Urteil vom 16. Juli 2020, Az. C-311/18) verstößt. Die Webseite wurde vom Europäischen Parlament im September 2020 unter Verwendung eines Drittanbieters namens Ecolog eingeführt. Mit der sog. "Schrems II"-Entscheidung hat der EuGH klargemacht, dass die Übermittlung personenbezogener Daten aus der EU in die USA nur unter strengen Voraussetzungen zulässig ist. Eine Datenübermittlung in die USA ist für Betreiber von Webseiten nur dann rechtskonform, wenn ein angemessenes Schutzniveau sichergestellt werden kann. Ein solcher Schutz war bei der Übermittlung von Daten in die USA im vorliegenden Fall nach Ansicht des EDSB nicht gegeben. Insbesondere stellte der EDSB fest, dass das Parlament keine Unterlagen, Nachweise oder sonstigen Informationen über die vertraglichen, technischen oder organisatorischen Maßnahmen bereitgestellt hat, die ergriffen wurden, um ein im Wesentlichen gleichwertiges Sicherheitsniveau für personenbezogene Daten zu gewährleisten, die im Zusammenhang mit dem Einsatz von Cookies auf der Website in die USA übermittelt werden.

Hinweis: Der Vorwurf bezog sich hier also vor allem auch auf die Rechenschaftspflicht und die Dokumentationsebene. Dieser Aspekt sollte von Unternehmen bei der Dokumentation der eigenen Datenflüsse besonders beachtet werden.

2. Verwirrende Cookie-Banner

In der Beschwerde wurde auch bemängelt, dass die Cookie-Banner der Website unklar und irreführend waren. Demnach wurden nicht alle platzierten Cookies in dem Banner aufgeführt, ferner gab es Abweichungen zwischen den verschiedenen Sprachversionen. Beispielsweise zeigte die englische Version des Banners nur ein Kästchen mit der Bezeichnung "essential", während die französische und die deutsche Version zusätzlich ein Kästchen mit der Bezeichnung "externe Medien" enthielten. Der deutsche Cookie-Banner enthielt auch die Option „nur notwendige Cookies akzeptieren“, eine Option, die sowohl in der englischen als auch in der französischen Version fehlte. Darüber hinaus machten die Beschwerdeführer geltend, dass es auf der ersten Ebene des Cookie-Banners keine Option "Alle ablehnen" gebe, was einen Verstoß gegen Art. 14 der Verordnung darstelle, so dass die Voraussetzungen für die Erteilung einer konformen Zustimmung nicht erfüllt seien. Außerdem gab es auf der Website keine Informationen darüber, wie die Zustimmung zur Verwendung von Cookies widerrufen werden kann. Während der Überprüfung entfernte das Parlament die Cookies von seiner Website.

Hinweis: Der EDSB prüft die Anforderungen an den rechtskonformen Cookie-Einsatz auch anhand der Vorgaben des Art. 5 Abs. 3 ePrivacy-Richtlinie, der nun in Deutschland in § 25 TTDSG umgesetzt wurde. Daher lohnt sich auch für Unternehmen ein Blick in die Begründung der Aufsichtsbehörde.

3. Unklare Informationen und unzulängliche Beantwortung von Auskunftsersuchen

Außerdem wurde in der Beschwerde vorgebracht, dass die Datenschutzinformationen nicht klar und transparent seien und sich auf COVID-Tests am Brüsseler Flughafen sowie auf eine falsche Rechtsgrundlage bezögen. Zwar änderte das Parlament während der Untersuchung seine Hinweise, machte sie aber offenbar teilweise noch schlechter. Der EDSB vertrat ebenfalls die Auffassung, dass die vom Parlament zur Verfügung gestellten Informationen einen Verstoß gegen die Verpflichtung zur Transparenz darstellen. Schließlich stellte der EDSB auch fest, dass das Parlament nicht angemessen auf Auskunftsersuchen der Betroffenen geantwortet hat.

Hinweis: auch hier lässt sich die Begründung der Aufsichtsbehörde in den Bereich der DSGVO übertragen. Die Anforderungen an zu erteilende Informationen und die Bearbeitung von Auskunftsersuchen sind mit jenen der Verordnung für das Parlament vergleichbar.

4. Zusammenfassung

Der EDSB kam zu dem Ergebnis, dass das Parlament im Einzelnen folgende Vorschriften der Verordnung (EU) 2018/1725 verletzt hat:

  1. 26 Abs. 1 und Art. 29 Abs. 1, da das Parlament seiner Pflichten als Verantwortlicher nicht nachgekommen ist, indem er einen Auftragsverarbeiter eingesetzt hat, der keine hinreichenden Garantien für die Umsetzung geeigneter technischer und organisatorischen Maßnahmen getroffen hat. Diese Pflichten finden sich ebenso in Art. 24 Abs. 1 und Art. 28 Abs. 1. DSGVO.
  2. 29 Abs. 3, indem das Parlament es versäumt hat, die dem Auftragsverarbeiter erteilten Anweisungen für die Einrichtung und den Betrieb der Website zu dokumentieren. Diese Verpflichtung findet sich in der DSGVO in Art. 28 Abs. 3.
  3. 4 Abs. 1 lit. a und Art. 14, Art. 4 Abs. 2 und Art. 15 wegen Nichtbeachtung des Grundsatzes der Transparenz, der Rechenschaftspflicht und des Rechts der betroffenen Personen auf Information aufgrund von unzutreffenden Datenschutzinformationen und verwirrenden Cookie-Bannern auf der Website. Die korrespondierenden Pflichten in der DSGVO finden sich in Art. 5 Abs. 1 und 2 sowie in den Art. 12 und 13.
  4. 46 und Art. 48 Abs. 2 lit. b, da für die in die USA übermittelten personenbezogenen Daten kein angemessenes Schutzniveau gewährleistet wurde. Die vergleichbaren Bestimmungen in der DSGVO sind Art. 44 und Art. 46 Abs. 2 lit. c.
  5. 37 i.V.m. Art. 5 Abs. 3 der Richtlinie 2002/58/EG, da das Parlament es versäumt hat, die Informationen (die Cookies) zu schützen, die an die Endgeräte der Nutzer übermittelt, dort gespeichert, mit ihnen in Verbindung gebracht, von ihnen verarbeitet und von ihnen erhoben werden. Eine gleichwertige Verpflichtung zum Schutz der Privatsphäre bei Endeinrichtungen findet man in § 25 TTDSG.
  6. 17 und Art. 14 Abs. 4, da das Parlament es versäumt hat, den Auskunftsantrag der betroffenen Personen fristgerecht zu beantworten. Diese Verpflichtung ist vergleichbar mit Art. 15 und Art. 12 Abs. 4 der DSGVO.

 

Der EDSB hat aufgrund dieser Verstöße gegen die Verordnung (EU) 2018/1725 eine Unterlassungsanordnung ausgesprochen. Es wurde jedoch keine Geldstrafe verhängt. Zudem gab der EDSB dem Parlament einen Monat Zeit, um seine Datenschutzinformationen zu überarbeiten und die verbleibenden Transparenzprobleme zu lösen.

Zurück

News

Prof. Piltz im Interview mit ICC Germany zu den Incoterms® 2020

Incoterms® bieten einen global gültigen Standard für die Lieferbedingungen bei internationalen Geschäften. Seit nunmehr 5 Jahren greifen die Incoterms® 2020, Zeit um einen Rückblick auf die erste Halbzeit zu werfen.

Dr. David Saive und Prof. Burghard Piltz haben sich hierzu zu einem Interview der ICC Germany getroffen. Hören Sie doch gerne rein: Interview: Fünf Jahre Incoterms® 2020 mit Prof. Piltz.

Bundesverwaltungsgericht Österreich zum Cookie-Banner: Einfache Möglichkeit zum Ablehnen ist Pflicht

Das Österreichische Bundesverwaltungsgericht (BVwG) hat in einem Erkenntnis vom 31. Juli 2024 (Az. W108 2284491-1/15E) klargestellt, dass ein Cookie-Banner neben der Option Cookies und andere Technologien zu „akzeptieren“ auch eine optisch gleichwertige Option zum Ablehnen enthalten muss. Die Entscheidung ist aus mehreren Gründen bemerkenswert.

Neue Auszeichnungen für unsere Kanzlei!

Wir freuen uns sehr, dass Piltz Legal weitere Auszeichnungen u.a. im Bereich Datenschutzrecht erhalten hat.

Barrierefreiheitsstärkungsgesetz (Teil 3) – Was bedeutet Barrierefreiheit für meine Website oder App?

Nachdem wir uns in Teil 2 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) damit befasst haben für welche Apps und Websites das BFSG gilt, stellen wir Ihnen in Teil 3 vor, welche konkreten Anforderungen an die Barrierefreiheit gelten.

Meldepflichten nach dem geplanten BSIG (Umsetzung NIS-2)

Als Umsetzung des Art. 23 Abs. 4 S. 1 NIS-2-Richtlinie finden sich in § 32 des Entwurfs zum Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG-E) Ausführungen zu Meldepflichten für besonders wichtige Einrichtungen sowie wichtige Einrichtungen. Das BSIG-E ist Teil des Entwurfs zum Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.

Risikomanagementmaßnahmen besonders wichtiger und wichtiger Einrichtungen und Dokumentationsnachweis nach dem neuen BSIG

Das neue BSIG befindet sich auf der Zielgeraden des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie. Im aktuellen Entwurf legt der dortige § 30 Abs. 1 Satz 1 BSIG fest, dass besonders wichtige und wichtige Einrichtungen verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) zu ergreifen, um u.a. Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.