EU-Kommission wegen Verstoßes gegen EU-Datenschutzvorschriften verklagt
Die Kommission muss sich vor Gericht verantworten, weil sie angeblich gegen ihre eigene Datenschutz-Grundverordnung bei der Übermittlung personenbezogener Daten von Bürgern von einer ihrer Webseiten in die Vereinigten Staaten verstößt.
Die EU-Kommission muss sich vor Gericht verantworten, weil sie angeblich gegen ihre eigene Datenschutz-Grundverordnung (GDPR) bei der Übermittlung personenbezogener Daten von Bürger:innen von einer ihrer Webseiten in die Vereinigten Staaten verstößt.
Internationale Datenübermittlungen über den Atlantik wurden vom EU-Gerichtshof vor zwei Jahren in dem bahnbrechenden Urteil Schrems II für rechtswidrig erklärt und damit die Auslegung der Datenschutz-Grundverordnung festgelegt.
Die amerikanische Rechtsprechung wurde als unzureichender Datenschutz angesehen, da die US-Geheimdienste in unverhältnismäßiger Weise und ohne Rechtsmittel auf die personenbezogenen Daten von EU-Bürgern zugreifen konnten.
Die Klage wurde von einem deutschen Bürger eingereicht, der nicht nur behauptet, dass die EU-Exekutive illegal Daten weitergibt, sondern auch, dass sie nicht genügend Informationen über ihre Datenverarbeitungspraktiken offenlegt.
„Die Klage gegen die Europäische Kommission ist ein Signal für den Datenschutz in Europa“, sagt Thomas Bindl, Gründer der Europäischen Gesellschaft für Datenschutz (EuGD), der Organisation, die den Kläger in dem Fall unterstützt.
„Auch wenn ein Urteil des Gerichts der EU keine direkten Vorgaben für die Rechtsprechung in Deutschland, Spanien oder anderen Ländern liefern würde, so sehen wir darin doch eine große Bedeutung. Es wäre das deutliche Zeichen, dass sich alle an die Vorgaben des Datenschutzes halten müssen“, fügte er hinzu.
Der Rechtsstreit betrifft die Website der Konferenz zur Zukunft Europas, einer Konferenz, die die EU-Bürger in die Entscheidung über die Zukunft der EU und ihrer Mitgliedsstaaten einbinden soll.
Die Website wird von Amazon Web Services gehostet, sodass bei der Registrierung für die Veranstaltung personenbezogene Daten wie die IP-Adresse in die Vereinigten Staaten übermittelt werden.
Außerdem können sich die Nutzer auf der Website der Kommission auch über ihre Facebook-Konten anmelden. Gegen das in den USA ansässige soziale Medium wurde auch der Vorwurf erhoben, personenbezogene Daten unrechtmäßig in die USA zu übermitteln, und eine diesbezügliche Beschwerde wird derzeit vom irischen Datenschutzbeauftragten geprüft.
Da die EU-Kommission die Website betreibt, forderte der Kläger in zwei Anfragen Informationen darüber, wie personenbezogene Daten verarbeitet werden. Der Klage zufolge wurde eine der Anfragen unvollständig und die andere überhaupt nicht beantwortet, was eine Verletzung der Auskunftsrechte nach der Datenschutz-Grundverordnung darstellt.
Bindl erklärte gegenüber EURACTIV, wenn ein Restaurant oder eine Bäckerei einen Weg finden müsse, um das Verbot der Datenübermittlung in die Vereinigten Staaten einzuhalten, dann müsse dies auch die EU-Kommission tun, da es keine Doppelmoral geben dürfe.
Die EuGD leitete die Klage parallel zur Einreichung einer Beschwerde beim Europäischen Datenschutzbeauftragten ein, der Behörde, die für die Anwendung der Datenschutz-Grundverordnung durch EU-Institutionen zuständig ist. Der Datenschutzbeauftragte hat jedoch die Ermittlungen auf Eis gelegt, bis der Prozess abgeschlossen ist.
Der Europäische Datenschutzbeauftragte und die Europäische Kommission haben nicht sofort auf eine Bitte um Stellungnahme reagiert.
Es wird erwartet, dass das Urteil des EU-Gerichts zwischen 12 und 18 Monaten dauern wird.
[Bearbeitet von Alice Taylor]
