Aktuelles & Veranstaltungen

Covid-19-Test-Webseite des EU-Parlaments verletzt Datenschutzvorschriften

Der Europäische Datenschutzbeauftragte Wojciech Wiewiorowski (EDSB) hat aufgrund einer Beschwerde der Bürgerrechtsorganisation Noyb (Max Schrems) das Europäische Parlament gerügt. Gegenstand der Beschwerde war die Covid-19-Test-Webseite des Parlaments, auf der ein Testcenter des Anbieters EcoCare eingebunden ist.

Beim Aufruf der Webseite verschickte diese zeitweise Anfragen, an mehr als 150 Drittanbieter, darunter auch US-Unternehmen wie Google und der Zahlungsanbieter Stripe. Insbesondere der Einsatz der US-amerikanischen Dienste sei nicht mit dem „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH) vereinbar. Da in den USA kein angemessenes Datenschutzniveau gegeben ist, hätte die Übermittlung besonderer Übermittlungsinstrumente (z.B. EU-Standardvertragsklauseln) und ergänzender technisch-organisatorischer Maßnahmen (TOM) bedurft.

Das EU-Parlament delegierte die Einrichtung der Webseite auf den Dienstleister Ecolog. Weil das EU-Parlament als Verantwortlicher und Ecolog als Auftragsverarbeiter zu bewerten sei, liegt die datenschutzrechtliche Verantwortung auch deshalb beim EU-Parlament, weil dieses seinem Dienstleister bewusst die operative Verantwortung übertrug. Dass bei der Einrichtung der Webseite Fehler unterliefen, z.B. weil der Code einer anderen Webseite einfach kopiert wurde und so unnötige Cookies wie von Stripe übernommen wurden, ist deshalb dem EU-Parlament zuzurechnen.

Weiterhin wurde festgestellt, dass die Cookie-Banner unklar und irreführend (gewesen) seien, da sie nicht alle platzierten Cookies auflisteten und es zwischen verschiedenen Sprachversionen inhaltliche Abweichungen gab. Somit waren informierte und gültige Einwilligungen nicht möglich.

Schließlich wurde noch kritisiert, dass die Datenschutzinformationen nicht klar und verständlich formuliert waren, sowie Auskunftsersuchen betroffener Personen nicht korrekt beantwortet wurden.

Die Kritikpunkte sind auf Verantwortliche im Geltungsbereich der DSGVO übertragbar, auch wenn das EU-Parlament formell unter die Verordnung (EU) 2018/1725 vom 23. Oktober 2018 fällt, die sich speziell auf die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union bezieht. Während die inhaltlichen Anforderungen im Wesentlichen identisch sind, ergeben sich Abweichungen bei den Sanktionsmöglichkeiten: die DSGVO bietet Sanktionsmöglichkeiten und einen größeren Ermessensspielraum, da z.B. Geldstrafen vom EDSB nur unter engen Voraussetzungen verhängt werden können.

Verantwortliche sollten die Kernpunkte der Entscheidung aufgreifen, denn dabei handelt es sich um in der Praxis häufig anzutreffende Problemstellungen. Dass selbst das EU-Parlament Fehler begeht und dafür sanktioniert wird, kann zwar beruhigen, zeigt aber in erster Linie die Dringlichkeit des Handelns auf.

Stefan Effmert
Volljurist
Berater für Datenschutz

Back To Top