noyb (non of your business, Unternehmung von Max Schrems) legt 101 Beschwerden gegen Unternehmen ein, die in der EU oder im EWR ansässig sind. Diese nutzen auf Ihren Webseiten nach wie vor Facebook Connect sowie Google Analytics und übermitteln damit personenbezogene Daten an Facebook und Google in den USA. Nach dem Urteil des EuGH vom 16.07.2020 sind solche Datentransfers illegal, weil Facebook und Google den US-Überwachungsgesetzen unterfallen und die Daten europäischer Nutzer an die US-Geheimdienste transferieren müssen. Die EU-Datenschutzgrundverordnung (EU-DSGVO) bleibt außer Betracht.
Betroffene Unternehmen reagieren trotz Strafdrohung nicht
Obwohl klar ist, dass es kein neues „Privacy Shield“ geben wird, stecken viele Unternehmen den Kopf weiter in den Sand. Auch sogenannte Experten für den Datenschutz ignorieren das Urteil des EuGH und berufen sich auf Standardvertragsklauseln („SCCs“), die mit dem Datenempfänger abgeschlossen werden. Dies verkennt jedoch vollkommen die Situation.
Denn der EuGH hat eindeutig erklärt, dass SCCs nicht verwendet werden können, wenn der Empfänger unter die US‑Überwachungsgesetze fällt. Ein Verstoß gegen DSGVO-Regeln kann eine Geldbuße von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes bedeuten. Zusätzlich sind Schadenersatzansprüche der Nutzer möglich.
Die Beschwerden von noyb sind daher auch ein Weckruf: Das Urteil des höchsten europäischen Gerichts ist zu respektieren. Fragwürdige Datentransfers sind zu prüfen und möglicherweise einzustellen. Sollte das nicht freiwillig geschehen, sind die Datenschutzbehörden in Europa verpflichtet, die Transfers zu unterbinden.
Bei den betroffenen Webseitenbetreibern scheint das jedoch fast gar nicht angekommen zu sein. Zum 22.09.2020 haben sich bei noyb nur zwei Firmen und eine Universität gemeldet – alle aus Liechtenstein. Sie haben nachweislich die Code-Elemente Facebook Connect und Google Analytics entfernt und die gegen die EU-Datenschutzgrundverordnung (EU-DSGVO) verstoßenden Datentransfers eingestellt. Noyb zog daraufhin die entsprechenden Beschwerden an die Liechtensteinische Datenschutzstelle zurück. Marco Blocher, Datenschutzjurist bei noyb, zeigt sich positiv überrascht über die Webseitenbetreiber aus Liechtenstein. Von Betreibern aus anderen EU-Staaten habe man nichts gehört. Eine Strafe für die Unternehmen wird dadurch sehr wahrscheinlich.
Facebook und Google schweigen
Die Beschwerden richten sich auch gegen Google und Facebook. Sie hatten sich dazu bislang nicht substanziell geäußert. Google versprach, sich für die Datenschutzbestimmungen einsetzen zu wollen, blieb jedoch die Antwort schuldig, wie zu verhindern sei, unter die US-Überwachungsgesetze zu fallen.
Europäischer Datenschutzausschuss richtet Taskforce ein
Der europäische Datenschutzausschuss („EDSA“) hat anlässlich der Beschwerden eine eigene Taskforce eingerichtet. Diese Taskforce soll den Sachverhalt untersuchen und die Zusammenarbeit zwischen Mitgliedern des Ausschusses sicherstellen. Zudem will sie Empfehlungen herausgeben, um die Verantwortlichen bei der Umsetzung des Datenschutzes bei Datentransfer in Drittländer zu unterstützen. Noyb wird jede Beschwerde weiterhin verfolgen, damit die Umsetzung der Entscheidung des EuGH für den Datenschutz sichergestellt ist.
suhling tooling: #dsgvo28 #dsgvo46 #schrems2