Das Europäische Parlament gerät unter Druck durch eine Gruppe von Gesetzgebern, die mit dem Datenschutzaktivisten Max Schrems zusammenarbeitet. Grund dafür sind Vorwürfe der Datenschutzaktivisten, dass die Website der Institution zur Verwaltung von Coronavirus-Tests illegal Daten an US-Firmen weitergibt.
Letztes Jahr enthüllte EURACTIV, dass Europaabgeordnete über Datenschutz-Schlupflöcher in der COVID-Website des Europäischen Parlaments gestolpert waren, die von EcoCare, einer Tochtergesellschaft der Firma Ecolog aus den Vereinigten Arabischen Emiraten, betrieben wird.
Die Website hatte um Zustimmung gebeten, die persönlichen Daten der Nutzer der Plattform – Mitarbeiter des Europäischen Parlaments – an Drittunternehmen wie Google und die US-Finanzdienstleistungsplattform Stripe zu übertragen. Das System fordert die Parlamentsmitglieder bei der Registrierung auf, persönliche Informationen anzugeben, einschließlich sensibler Daten darüber, ob sie risikoreiche Kontakte hatten oder ob sie Coronavirus-Symptome haben.
Solche Datentransfers würden gegen die EU-Datenschutzbestimmungen verstoßen, so die europäische Datenschutzgruppe noyb unter der Leitung von Max Schrems, einem österreichischen Anwalt und Online-Datenschutzaktivisten.
In der Tat hat ein Urteil des Europäischen Gerichtshofs vom Juli 2020 das EU-US-Abkommen „Privacy Shield“ für ungültig erklärt. Dieses Abkommen war ein Mechanismus, der den Schutz von EU-Daten beim Versand über den Atlantik im Einklang mit der Allgemeinen Datenschutzverordnung (GDPR) der EU sicherstellen sollte.
Seit der Entscheidung müssen amerikanische Firmen, die Daten aus der EU in die USA transferieren wollen, auf Standardvertragsklauseln (Standard Contractual Clauses, SCCs) zurückgreifen, also auf individuelle Datentransfervereinbarungen, die von der Europäischen Kommission entworfen wurden. In diesen speziellen Verträgen sichern sich zwei Parteien gegenseitig zu, dass übertragene Daten auch im Ausland hinreichend geschützt sind.
Am Freitag (22. Januar) reichte noyb zusammen mit einer Gruppe von sechs Parlamentariern eine Beschwerde beim Europäischen Datenschutzbeauftragten ein und forderte ihn auf, den Transfer von Daten in die USA über das Coronavirus-Testmanagementsystem des Europäischen Parlaments zu verbieten.
Während die Namen der Abgeordneten nicht öffentlich genannt wurden, geht EURACTIV davon aus, dass die Europaabgeordneten der Piraten-Partei Patrick Breyer und Mikuláš Peksa Teil dieser Gruppe sind.
„Websites müssen es unterlassen, personenbezogene Daten in die USA zu übermitteln, wenn ein angemessenes Schutzniveau für die personenbezogenen Daten nicht gewährleistet werden kann. Stripe und Google fallen eindeutig unter einschlägige US-Überwachungsgesetze, die das gezielte Ausspionieren von EU-Bürgern erlauben“, heißt es in der Beschwerde.
„Dies ist besonders relevant für politisch exponierte Personen wie Mitglieder und Mitarbeiter des Europäischen Parlaments“, heißt es weiter.
Max Schrems, der Datenschutzaktivist, der die Gruppe leitet, sagte, dass die EU-Institutionen „mit gutem Beispiel vorangehen“ sollten, indem sie ihre eigenen Standards einhalten. „Durch die Nutzung von US-Providern ermöglichte das Europäische Parlament der NSA den Zugriff auf Daten seiner Mitarbeiter und Mitglieder“, so Schrems weiter.
Die Beschwerde der Datenschutzaktivisten weist ferner auf Probleme im Zusammenhang mit irreführenden Cookie-Bannern und unklaren Informationen auf der Website hin.
„Die Banner listen nicht alle Cookies auf, die auf dem Browser platziert werden, und verleiten die Nutzer dazu, alle Cookies zu akzeptieren“, heißt es in dem Dokument. „Folglich ist die Verarbeitung von Daten auf der Website und die Platzierung von Cookies, die auf der Zustimmung der Nutzer basieren, ohne gültige Rechtsgrundlage.“
Die am Freitag eingereichte Beschwerde folgt auf einen früheren Einspruch, der von der grünen Europaabgeordneten Alexandra Geese eingereicht wurde. Der Europäische Datenschutzbeauftragte wird nun die zusätzlichen Unterlagen, die von noyb eingereicht wurden, analysieren und zu gegebener Zeit eine Stellungnahme abgeben.
[Bearbeitet von Frédéric Simon]