Schlagwort: Max Schrems

DS-GVO in Drittstaaten nicht durchsetzbar? noyb klagt gegen Aufsichtsbehörde aus Luxemburg

27. Januar 2021

Die Datenschutz-Grundverordnung (DS-GVO) findet unter bestimmten Bedingungen auch auf Unternehmen Anwendung, die ihren Sitz außerhalb der EU bzw. des EWR, also in sog. Drittstaaten haben. Insbesondere wenn diese ihre Waren oder Dienstleistungen auch gegenüber Kunden anbieten, die sich innerhalb der EU bzw. des EWR aufhalten, unterliegen diese Unternehmen den europäischen Datenschutzbestimmungen (Art. 3 Abs. 2 DS-GVO). Insbesondere um solche Unternehmen effektiv kontrollieren zu können, müssen diese nach Art. 27 DS-GVO einen Vertreter in der Union benennen.

Keine wirksamen Durchsetzungsmöglichkeiten gegen Unternehmen aus Drittstaaten?

Adressat von zwei Beschwerden vor der luxemburgischen Datenschutzbehörde CNPD waren zwei solcher Unternehmen, die zwar personenbezogene Daten des Beschwerdeführers aus Luxemburg verarbeiteten, auf die Geltendmachung der Betroffenenrechte (Art. 15 sowie Art. 17 DS-GVO) jedoch nicht reagierten. Dennoch wies die CNPD – trotz Bestätigung der Anwendbarkeit der DS-GVO – die Beschwerde ab, mit der Begründung, wegen der fehlenden Vertretung in der Union seien keine wirksamen Durchsetzungsmaßnahmen zu erwarten.

noyb: Sehr wohl Durchsetzungsmöglichkeiten vorhanden

Gegen diese Entscheidung hat der Beschwerdeführer in Zusammenarbeit mit der NGO noyb – vor allem bekannt durch Mitgründer Max Schrems – Berufung eingelegt. Würde sich die luxemburgische Datenschutzbehörde weigern, Verstöße gegen die DS-GVO durch Unternehmen aus Drittstaaten zu verfolgen, würde dies die vorgesehene internationale Anwendung der Verordnung untergraben, so noyb in der Stellungnahme. Außerdem würde dies zu einem Wettbewerbsvorteil nicht-europäischer Unternehmen führen, welche sich nicht um die Einhaltung von europäischen Datenschutzvorschriften bemühen müssten. Auch wird verneint, dass keine effektiven Durchsetzungsmaßnahmen gegen Unternehmen aus Drittstaaten bestünden. So sei es durchaus möglich, Vermögenswerte in der Union – auch bei Dritten – einzufrieren oder gar Webseiten sperren zu lassen. Klagen von Betroffenen nur deswegen abzuweisen, weil die Durchsetzung von Maßnahmen aufwändig oder mit Hindernissen verbunden ist, sei nicht hinnehmbar.

noyb pocht auf effektive Durchsetzung der DS-GVO

Gleichzeitig kündigte noyb an, dass dieser Berufung noch weitere Klagen folgen könnten, die sich gegen untätige Aufsichtsbehörden richten. Es sei wichtig sicherzustellen, dass die DS-GVO durch die zuständigen Aufsichtsbehörden effektiv durchgesetzt wird, auch gegenüber Unternehmen aus Drittstaaten. Andernfalls bestünden die Grundrechte von betroffenen Personen, die durch die DS-GVO geschützt werden sollen, nur noch auf dem Papier.

Schrems und noyb gehen weiter gegen Datentransfers in die USA vor

21. August 2020

Max Schrems, Jurist und Datenschutz-Aktivist aus Österreich, der insbesondere durch sein langjähriges juristisches Vorgehen gegen Facebook bekannt geworden ist, geht auch nach der sog. “Schrems-II-Entscheidung” des EuGH (wir berichteten) weiter gegen Datentransfers in die USA vor. Mit seinem Projekt noyb hat Schrems nun 101 Beschwerden bei Aufsichtsbehörden in 30 verschiedenen Staaten der EU und EEA eingelegt.

Hintergrund der eingelgeten Beschwerden sei die fortgesetzte Nutzung insbesondere von Google Analytics und Facebook Connect durch die betroffenen Unternehmen, obwohl diese Dienste von den US-amerikanischen Überwachungsgesetzen erfasst seien und beide Unternehmen die Datentransfers scheinbar ohne rechtliche Grundlage durchführten. Zwar würden beide Unternehmen behaupten, dass die Transfers zulässig seien – Facebook verweise auf die verwendeten Standard-Vertragsklauseln (SCC), Google sogar immer noch auf den EU-US-Privacy-Shield – dieser Ansicht widerspricht noyb jedoch vehement. Insbesondere habe der EuGH in seiner Entscheidung ausdrücklich festgestellt, dass es nicht möglich sei Datentransfers in die USA auf die SCCs der EU zu stützen, wenn der Empfänger der Daten unter die US-amerikanischen Überwachungsgesetze fällt. Genau dies sei aber bei Google und Facebook der Fall. Dabei wird den amerikanischen Unternehmen sogar vorgeworfen, ihre Kunden über diese Tatsache hinwegzutäuschen, obwohl sie diesbezüglich zur Aufklärung verpflichtet seien und sich andernfalls schadensersatzpflichtig machten.

Um zu überprüfen, ob ein Datentransfer an Google und Facebook trotz der Schrems-II-Entscheidung weiterhin stattfindet, hatte noyb nach eigener Aussage “auf den wichtigsten Webseiten in jedem EU-Mitgliedsstaat eine schnelle Suche nach Code von Facebook und Google durchgeführt”, und wurde dabei wiederholt fündig. Gegen 101 Unternehmen, die weiterhin solche Transfers durchführen, hat noyb daher Beschwerde bei den zuständigen Aufsichtsbehörden erhoben und fordert die Behörden dazu auf, die europäischen Regeln auch durchzusetzen. Gleichzeit wurde auch gegen Google und Facebook selbst wegen Verstößen gegen die DS-GVO in den USA Beschwerde erhoben.

noyb ist eine NGO mit Sitz in Wien, die 2017 unter anderem von Max Schrems gegründet wurde und sich für die Durchsetzung des Datenschutzes innerhalb der EU und EEA einsetzt. Dabei wird mit rechtlichen Mitteln insbesondere gegen große datenverarbeitende Unternehmen – wie z.B. Facebook oder Google – vorgegangen. Durch noyb eingelegte Beschwerden waren bereits Grundlage einiger verhängter Bußgelder, wie das äußerst empfindliche Bußgeld in Höhe von 50 Millionen Euro gegen Google.

Französische Datenschutzbehörde verhängt Bußgeld gegen Google

22. Januar 2019

Aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) muss der Internetriese Google in Frankreich eine Strafe in Höhe von 50 Millionen Euro zahlen. Das Bußgeld verhängte die französische Datenschutzbehörde CNIL. Ausgelöst wurde das Verfahren gegen Google durch Beschwerden der Organisation NOYB von Max Schrems und der französischen Netzaktivisten La Quadrature du Net.

Zu dem Bußgeld sei es gekommen, da Google die Anforderungen der DSGVO hinsichtlich der Informationspflichten nur unzureichend erfülle. So seien die Informationen über die Datenverarbeitung im Rahmen verschiedener Google-Applikationen für die Nutzer nur schwerlich über mehrere Links und Buttons zugänglich und insgesamt intransparent. Aufgrund der, dem Nutzer, nur unzureichend zur Verfügungen gestellten Informationen über die Art und Weise der Verarbeitung personenbezogener Daten, seien auch die Einwilligungen zur Anzeige personalisierter Werbung nach Ansicht der französischen Datenschutzbehörde nicht rechtmäßig.

Update: Google hat inzwischen Berufung eingelegt.

Safe Harbor kein “sicherer Hafen” für Daten von EU-Bürgern?

23. September 2015

Nach dem heutigen Schlussantrag des Rechtsgutachters vor dem Europäischen Gerichtshof in Luxemburg (EuGH) bietet die sog. Safe-Harbor-Entscheidung der Europäischen Kommission keine sichere Rechtsgundlage für die Übermittlung von personenbezogenen Daten von EU-Bürgern in die USA.

Der Antrag erging in dem Verfahren des Österreichers Max Schrems gegen die irische Datenschutzbehörde über den Datenschutz bei Facebook.

Die die Safe-Harbor-Prinzipien festlegende Kommissionsentscheidung aus dem Jahr 2000 sei seiner Meinung nach ungültig. Zu gering sei der Rechtsschutz für Bürger aus der EU, wenn ihre Daten in großer Zahl von US-amerikanischen Firmen wie beispielsweise Facebook gesammelt würden. Insbesondere durch den potenziellen Datenaustausch von amerikanischen Firmen mit der NSA liege ein Eingriff in das Recht auf informationelle Selbstbestimung vor, der vor allem deshalb unverhältnismäßig sei, weil die Überwachung in den USA massiv und nicht zielgerichtet sei.

Die zuständige Datenschutzbehörde sei folglich nicht an die oben genannte Kommissionsentscheidung gebunden und könne die Übermittlung der Daten von der europäischen Facebook-Zentrale in Irland an Facebook Inc. in die USA verbieten.

Zwar ist der EuGH in seiner Entscheidung nicht an dieses Rechtsgutachten gebunden, in den meisten Fällen wird ihm aber weitestgehend gefolgt.