Nach dem Aus fürs Privacy Shield: Keine Daten von EU-Institutionen in die USA

Der EU-Datenschutzbeauftragte hat die EU-Gremien ermahnt, den Transfer persönlicher Informationen in die USA im Lichte des "Schrems-II-Urteils" zu vermeiden.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 62 Beiträge

(Bild: M.Moira / Shutterstock.com)

Von
  • Stefan Krempl

Das Urteil des Europäischen Gerichtshof (EuGH) gegen den transatlantischen Privacy Shield zieht weiter Kreise. Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski hat alle Gremien, Institutionen und Behörden der EU inklusive des Parlaments, der Kommission und des Ministerrats "nachdrücklich" aufgefordert, die Weitergabe personenbezogener Informationen an die USA zumindest im Rahmen neuer Verarbeitungszwecke und Verträge mit Dienstanbietern zu unterlassen.

Lesen Sie auch

Dies geht aus einem Strategiepapier hervor, wonach Wiewiórowski künftig fortlaufend prüfen will, wie die EU-Einrichtungen das sogenannte "Schrems-II-Urteil" umsetzen. Der EuGH entschied darin in einem vom Aktivisten Max Schrems zunächst in Irland vorgebrachten Fall, dass der transatlantische Datenschutzschild ungültig ist, weil US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) eine Massenüberwachung erlauben. Auch die alternativen Standardvertragsklauseln können nicht mehr ohne Weiteres von Firmen oder Institutionen genutzt werden, auf die US-Sicherheitsbehörden Zugriff haben.

Übermittlungen personenbezogener Daten durch EU-Institutionen an Drittländer müssten mit der europäischen Grundrechte-Charta sowie mit Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) in Einklang stehen, betont Wiewiórowski. Seine Strategie baue daher auf der Zusammenarbeit und der Rechenschaftspflicht der datenverarbeitenden Stellen auf. Auf dieser Basis werde er beurteilen, ob der vom EuGH geforderte gleichwertige Schutzstandard bei Transfers in Drittländer gewährleistet sei.

Lesen Sie auch

Der Datenschutzbeauftragte kündigte an, weiter eng mit anderen nationalen Aufsichtsbehörden im Rahmen des Europäischen Datenschutzausschusses (EDSA) in noch offenen Fragen rund um das Urteil zusammenarbeiten zu wollen. Er führe momentan eine Bestandsaufnahme durch, um auszuloten, welche laufenden Verträge, Beschaffungsverfahren und andere Kooperationsformen Datentransfers beinhalten. Im Visier habe er dabei vor allem Übertragungen ohne passende Rechtsgrundlage und solche, die auf Ausnahmebestimmungen beruhten.

Zuvor war bekannt geworden, dass auf dem internen Online-Portal des EU-Parlaments für den Nachweis von Corona-Tests zahlreiche Tracking-Dienste aktiv sind, die teils Daten an US-Firmen senden. Die Website wird von EcoCare betrieben, einer Tochtergesellschaft der in den Vereinigten Arabischen Emiraten ansässigen Firma Ecolog. Über die Plattformen sollen Abgeordnete auch sensible persönliche Daten darüber eingeben, ob sie risikoreiche Kontakte hatten oder an Covid-19-Symptomen leiden.

Die Grünen-Abgeordnete Alexandra Geese zeigte sich gegenüber dem Online-Magazin "Euractiv" erstaunt, dass alle ihre eingetragenen Informationen in die USA gesandt würden. Insgesamt erfolgten über die Seite rund 150 Tracking-Anfragen etwa von Unternehmen wie Google und Stripe. Die Volksvertreterin hatte sich deshalb beim EU-Datenschutzbeauftragten beschwert.

(jk)