Datenschutzbeschwerde gegen das EU-Parlament: COVID-Test-Website mit Datenübermittlung in die USA

Alle Mitarbeiter des Europäischen Parlaments (EP) können sich auf einer dafür kreierten Webseite für einen COVID-19 PCR-Test registrieren. Mehrere EP-Mitarbeiter entdeckten beim Aufruf der Webseite, dass diese mehr als 150 Anfragen von Drittanbietern verschickte, darunter auch die US-Unternehmen Google und Stripe.

Darüber hinaus legte der Online-Bezahldienst Stripe einen Cookie im Browser an, zudem scheint die Webseite auch Cookies von Google Analytics zu verwenden. Im Cookie-Abfrage-Banner werden nicht einmal alle gesetzten Cookies aufgelistet, zudem drängt die Abfrage die NutzerInnen dazu, alle Cookies zu akzeptieren.

Gesundheitsdaten wurden zwar nicht versendet, immerhin existiert die Seite nur zu Anmeldezwecken, dennoch fließen so persönliche Daten der EP-Mitarbeiter ins Ausland. Die Übermittlung von personenbezogenen Daten in die USA darf laut Europäischem Gerichtshof aber nur unter ganz bestimmten Bedingungen, wie ein angemessenes Schutzniveau, erfolgen, welche in diesem Fall offenbar nicht eingehalten wurden. Google und Stripe fallen nämlich unter die US-Überwachungsgesetze, welche es erlauben EU-Bürger auszuspionieren. Für Mitarbeiter in der Politik ist dieser Vorgang besonders heikel.

Daher hat die Datenschutz-NGO noyb nun Beschwerde beim Europäischen Datenschutzbeauftragten (EDSB) eingereicht. Gerade „Öffentliche Behörden und insbesondere die EU-Institutionen müssen mit gutem Beispiel vorangehen [...] wenn es um die Weitergabe von Daten außerhalb der EU geht“, so ein Auszug aus der Beschwerde.