Auch fast sechs Jahre nach Einführung der Datenschutzgrundverordnung (DSGVO) fällt die Bilanz dazu eher ernüchternd aus. Selbst bei großen Unternehmen gibt es bis heute grobe Mängel bei der Durchsetzung, bei kleineren scheint man sich hingegen darauf geeinigt zu haben, lieber nicht ganz so genau hinzusehen.

Verstoß

Geradezu symbolisch für diesen Zustand könnte nun eine aktuelle Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) stehen, bestätigt dieser nun doch, dass das Europäische Parlament mit einer Webseite zum Buchen von Covid-19-Tests gegen geltendes EU-Datenschutzrecht verstoßen hat – im Konkreten gegen die "DSGVO für EU-Institutionen". Dem vorausgegangen war eine Anfang 2021 eingereichte Beschwerde der in Wien angesiedelten Datenschutz-NGO Noyb.

Im Kern der Beschwerde steht die Verwendung von Google Analytics sowie des Zahlungsdienstleisters Stripe. Damit verstoße die betreffende Seite gegen das "Schrems-II-Urteil" des Europäischen Gerichtshofs (EuGH) in Hinblick auf die Datenübermittlung zwischen der EU und den USA. Darin wurde festgehalten, dass die Übermittlung von personenbezogenen Daten an die USA nur dann zulässig ist, wenn ein angemessenes Schutzniveau gewährleistet ist. Genau das konnte das EU-Parlament laut dem EDSB aber nicht nachweisen.

Zufriedenheit

Bei Noyb zeigt man sich erwartungsgemäß erfreut über die Entscheidung – zeige diese doch auf, dass bereits das Setzen von Cookies durch US-Firmen auf europäischen Webseiten gegen das EU-Recht verstoßen kann, heißt es in einer Stellungnahme.

Die Datenschutz-NGO sieht darin aber auch ein positives Signal für weitere laufende Verfahren. So hat Noyb bereits im August 2020 101 Beschwerden gegen EU-Unternehmen eingereicht, die Google- und Facebook-Funktionen auf ihren Webseiten eingebunden haben. Zudem arbeite man derzeit an einer generellen Beschwerde zu Cookie-Bannern, die durch das Urteil unterstützt werde, zeigt man sich überzeugt.

Cookies

In der Beschwerde gegen die betreffende Seite des EU-Parlaments hatte sich Noyb übrigens ebenfalls über die dort verwendeten Cookie-Banner beschwert. So würden nicht alle verwendeten Cookies aufgelistet, zudem variiere die Liste auch je nach Sprachversion – für die Nutzer sei also nicht nachvollziehbar, was mit ihren Daten passiere. Mittlerweile wurden auf der betreffenden Seite sämtliche Cookies entfernt.

Hintergrund

Wer sich wundert, warum auf einer Buchungsseite für Covid-19-Tests überhaupt ein Bezahldienstleister wie Stripe integriert wird, der ist auf der richtigen Spur zu einem weiteren interessanten Detail. Die ganze Affäre dürfte dem EU-Parlament nämlich ein externer Dienstleister eingebrockt haben, der beim Aufbau der Seite einfach den Code von einem früheren Projekt übernommen hat – wo unter anderem Stripe integriert war. Wirklich genutzt wurde der Code hingegen nicht. Bei der Verwendung von Google Analytics handelte es sich hingegen um eine bewusste Entscheidung. Dieses sollte für die "Optimierung der Webseite", aber auch zum Verhindern von Manipulationen zum Einsatz kommen. (Andreas Proschofsky, 11.1.2022)