Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.

1. Rechtswidrige Datenübermittlungen in die USA

Der EDSB stellte fest, dass die Verwendung von Google Analytics und des Anbieters Stripe auf der Webseite des Parlaments zur Buchung von COVID-19-Tests gegen die Feststellungen des Gerichtshofs in der Entscheidung Schrems II (Urteil vom 16. Juli 2020, Az. C-311/18) verstößt. Die Webseite wurde vom Europäischen Parlament im September 2020 unter Verwendung eines Drittanbieters namens Ecolog eingeführt. Mit der sog. "Schrems II"-Entscheidung hat der EuGH klargemacht, dass die Übermittlung personenbezogener Daten aus der EU in die USA nur unter strengen Voraussetzungen zulässig ist. Eine Datenübermittlung in die USA ist für Betreiber von Webseiten nur dann rechtskonform, wenn ein angemessenes Schutzniveau sichergestellt werden kann. Ein solcher Schutz war bei der Übermittlung von Daten in die USA im vorliegenden Fall nach Ansicht des EDSB nicht gegeben. Insbesondere stellte der EDSB fest, dass das Parlament keine Unterlagen, Nachweise oder sonstigen Informationen über die vertraglichen, technischen oder organisatorischen Maßnahmen bereitgestellt hat, die ergriffen wurden, um ein im Wesentlichen gleichwertiges Sicherheitsniveau für personenbezogene Daten zu gewährleisten, die im Zusammenhang mit dem Einsatz von Cookies auf der Website in die USA übermittelt werden.

Hinweis: Der Vorwurf bezog sich hier also vor allem auch auf die Rechenschaftspflicht und die Dokumentationsebene. Dieser Aspekt sollte von Unternehmen bei der Dokumentation der eigenen Datenflüsse besonders beachtet werden.

2. Verwirrende Cookie-Banner

In der Beschwerde wurde auch bemängelt, dass die Cookie-Banner der Website unklar und irreführend waren. Demnach wurden nicht alle platzierten Cookies in dem Banner aufgeführt, ferner gab es Abweichungen zwischen den verschiedenen Sprachversionen. Beispielsweise zeigte die englische Version des Banners nur ein Kästchen mit der Bezeichnung "essential", während die französische und die deutsche Version zusätzlich ein Kästchen mit der Bezeichnung "externe Medien" enthielten. Der deutsche Cookie-Banner enthielt auch die Option „nur notwendige Cookies akzeptieren“, eine Option, die sowohl in der englischen als auch in der französischen Version fehlte. Darüber hinaus machten die Beschwerdeführer geltend, dass es auf der ersten Ebene des Cookie-Banners keine Option "Alle ablehnen" gebe, was einen Verstoß gegen Art. 14 der Verordnung darstelle, so dass die Voraussetzungen für die Erteilung einer konformen Zustimmung nicht erfüllt seien. Außerdem gab es auf der Website keine Informationen darüber, wie die Zustimmung zur Verwendung von Cookies widerrufen werden kann. Während der Überprüfung entfernte das Parlament die Cookies von seiner Website.

Hinweis: Der EDSB prüft die Anforderungen an den rechtskonformen Cookie-Einsatz auch anhand der Vorgaben des Art. 5 Abs. 3 ePrivacy-Richtlinie, der nun in Deutschland in § 25 TTDSG umgesetzt wurde. Daher lohnt sich auch für Unternehmen ein Blick in die Begründung der Aufsichtsbehörde.

3. Unklare Informationen und unzulängliche Beantwortung von Auskunftsersuchen

Außerdem wurde in der Beschwerde vorgebracht, dass die Datenschutzinformationen nicht klar und transparent seien und sich auf COVID-Tests am Brüsseler Flughafen sowie auf eine falsche Rechtsgrundlage bezögen. Zwar änderte das Parlament während der Untersuchung seine Hinweise, machte sie aber offenbar teilweise noch schlechter. Der EDSB vertrat ebenfalls die Auffassung, dass die vom Parlament zur Verfügung gestellten Informationen einen Verstoß gegen die Verpflichtung zur Transparenz darstellen. Schließlich stellte der EDSB auch fest, dass das Parlament nicht angemessen auf Auskunftsersuchen der Betroffenen geantwortet hat.

Hinweis: auch hier lässt sich die Begründung der Aufsichtsbehörde in den Bereich der DSGVO übertragen. Die Anforderungen an zu erteilende Informationen und die Bearbeitung von Auskunftsersuchen sind mit jenen der Verordnung für das Parlament vergleichbar.

4. Zusammenfassung

Der EDSB kam zu dem Ergebnis, dass das Parlament im Einzelnen folgende Vorschriften der Verordnung (EU) 2018/1725 verletzt hat:

1. 26 Abs. 1 und Art. 29 Abs. 1, da das Parlament seiner Pflichten als Verantwortlicher nicht nachgekommen ist, indem er einen Auftragsverarbeiter eingesetzt hat, der keine hinreichenden Garantien für die Umsetzung geeigneter technischer und organisatorischen Maßnahmen getroffen hat. Diese Pflichten finden sich ebenso in Art. 24 Abs. 1 und Art. 28 Abs. 1. DSGVO.
2. 29 Abs. 3, indem das Parlament es versäumt hat, die dem Auftragsverarbeiter erteilten Anweisungen für die Einrichtung und den Betrieb der Website zu dokumentieren. Diese Verpflichtung findet sich in der DSGVO in Art. 28 Abs. 3.
3. 4 Abs. 1 lit. a und Art. 14, Art. 4 Abs. 2 und Art. 15 wegen Nichtbeachtung des Grundsatzes der Transparenz, der Rechenschaftspflicht und des Rechts der betroffenen Personen auf Information aufgrund von unzutreffenden Datenschutzinformationen und verwirrenden Cookie-Bannern auf der Website. Die korrespondierenden Pflichten in der DSGVO finden sich in Art. 5 Abs. 1 und 2 sowie in den Art. 12 und 13.
4. 46 und Art. 48 Abs. 2 lit. b, da für die in die USA übermittelten personenbezogenen Daten kein angemessenes Schutzniveau gewährleistet wurde. Die vergleichbaren Bestimmungen in der DSGVO sind Art. 44 und Art. 46 Abs. 2 lit. c.
5. 37 i.V.m. Art. 5 Abs. 3 der Richtlinie 2002/58/EG, da das Parlament es versäumt hat, die Informationen (die Cookies) zu schützen, die an die Endgeräte der Nutzer übermittelt, dort gespeichert, mit ihnen in Verbindung gebracht, von ihnen verarbeitet und von ihnen erhoben werden. Eine gleichwertige Verpflichtung zum Schutz der Privatsphäre bei Endeinrichtungen findet man in § 25 TTDSG.
6. 17 und Art. 14 Abs. 4, da das Parlament es versäumt hat, den Auskunftsantrag der betroffenen Personen fristgerecht zu beantworten. Diese Verpflichtung ist vergleichbar mit Art. 15 und Art. 12 Abs. 4 der DSGVO.

Der EDSB hat aufgrund dieser Verstöße gegen die Verordnung (EU) 2018/1725 eine Unterlassungsanordnung ausgesprochen. Es wurde jedoch keine Geldstrafe verhängt. Zudem gab der EDSB dem Parlament einen Monat Zeit, um seine Datenschutzinformationen zu überarbeiten und die verbleibenden Transparenzprobleme zu lösen.