Privacy Shield: 101 Beschwerden gegen europäische Internetseiten
Der österreichische Jurist und Datenschutzaktivist Max Schrems hat Beschwerden gegen 101 Unternehmen aus 30 europäischen Staaten eingereicht. Die betroffenen Internetseiten leiten Nutzerdaten an Google und Facebook in den USA weiter, obwohl der Europäische Gerichtshof (EuGH) das Datenabkommen “Privacy Shield” im Juli gekippt hatte und die Übermittlung somit illegal ist. Die Beschwerden richten sich auch direkt gegen Google und Facebook.
Der EuGH hatte in seinem Urteil vom 16. Juli die Rechtsgrundlage “Privacy Shield” für die Übermittlung personenbezogener Daten von EU-Bürgern in die USA für ungültig erklärt. Grund für diese Entscheidung waren die Überwachungsgesetze in den USA. Nach dem “Foreign Intelligence Surveillance Act” sind Unternehmen wie Facebook dazu verpflichtet, US-Behörden wie der NSA und dem FBI Daten zugänglich zu machen – ohne dass Betroffene dagegen vorgehen könnten.
Zusammen mit seiner Organisation Noyb hat Schrems den Quelltext von Webseiten auf Tracking-Elemente von Google und Facebook hin untersucht. Die Beschwerden hat Schrems daraufhin teilweise bei den für die jeweiligen Unternehmen zuständigen Datenschutzbehörden eingereicht. Andere gingen an die österreichischen Datenschutzbehörde, da Schrems als Betroffener seinen Wohnsitz in Österreich hat.
Beschwerden gegen acht deutsche Internetseiten
Die Beschwerden in Deutschland richten sich gegen netzwelt.de, sky.de, tvspielfilm.de, express.de, derwesten.de, wiwo.de und chefkoch.de. Außerdem wurde eine Beschwerde gegen lieferando.de in den Niederlanden eingereicht, da sich der Firmensitz in Amsterdam befindet.
Die Seiten setzen das Google-Werkzeug “Analytics” oder “Facebook Connect” ein. Mit den über diese Dienste in die USA übertragenen Daten erstellen Google und Facebook Nutzerprofile. Diese ermöglichen es, den Nutzerinnen und Nutzern auf sie zugeschnittene Werbung anzuzeigen. Mit “Facebook Connect” kann man sich bei anderen Internetseiten mit den eigenen Facebook-Zugangsdaten anmelden – somit sind die gesammelten Daten sogar mit dem individuellen Konto bei Facebook verknüpft.
Darüber hinaus richten sich die Beschwerden gegen Google und Facebook, da diese Daten “unter Verletzung der Datenschutzgrundverordnung (DSGVO) weiterhin akzeptieren”. Die Unternehmen behaupteten, die Daten unter den sogenannten Standardvertragsklauseln erhalten zu dürfen. “Der EuGH hat ausdrücklich erklärt, dass man die Standardvertragsklauseln nicht verwenden kann, wenn der Empfänger in den USA unter diese Überwachungsgesetze fällt. Es scheint, dass US-Unternehmen immer noch versuchen, ihre EU-Kunden vom Gegenteil zu überzeugen”, sagte Schrems.
Der EuGH hatte geurteilt, dass die Datenschutzbehörden eingreifen und die Übermittlung personenbezogener Daten aussetzen oder verbieten müssen, wenn es kein der DSGVO gleichwertiges Schutzniveau gibt. Daher fordert Schrems, dass die Datenschutzbehörden nun Maßnahmen ergreifen.
Weitere Schritte geplant
Die eingereichten Beschwerden sollen nur der erste Schritt sein: Man wolle den Druck auf Unternehmen aus der EU und den USA schrittweise erhöhen. “Wir verstehen zwar, dass manche Dinge einige Zeit brauchen, aber es ist nicht hinnehmbar, dass einige Akteure das EU-Höchstgericht einfach ignorieren”, so Schrems. Man plane weitere Schritte um sicherzustellen, dass sich zumindest große Anbieter an die Gesetze halten.
Nach Einschätzung des Europäischen Datenschutzausschusses gibt es keine Übergangsfrist für Unternehmen, nachdem die Rechtsgrundlage für die Datenübermittlung in die USA weggefallen ist. Das sieht auch Schrems so: Die Unternehmen hätten die Tracking-Elemente inzwischen ersetzen oder zumindest deaktivieren können.
Die EU-Kommission und die US-Regierung beraten seit dem 10. August über einen verbesserten Datenschutz beim Datentransfer in die USA. Wie das neue Abkommen aussehen könnte, ist noch unklar. Der EuGH hatte 2015 bereits den Vorgänger des “Privacy Shield”, das “Safe-Harbor-Abkommen”, für ungültig erklärt. (js)