EuGH-Urteil zu Privacy Shield

Max Schrems geht gegen 101 europäische Firmen vor

Max Schrems und seine NGO reichen Beschwerde gegen 101 europäische Unternehmen ein, die weiterhin fleißig Nutzer:innendaten per Google Analytics und Facebook Connect in die USA weitergeben – obwohl der Europäische Gerichtshof das im Juli verboten hatte. Die Datenaktivist:innen wollen den Druck erhöhen.

Dalmatiner hockt auf Brückengeländer
Die Zahl der Beschwerden erinnert an einen bekannten US-Film mit vielen süßen Dalmatinern – die sich aber nicht von einer bösen Macht unterkriegen lassen. Vereinfachte Pixabay Lizenz Rebecca Schönbrodt-Rühl

Der Datenschutzaktivist Max Schrems hat mit seiner NGO noyb Beschwerde gegen 101 europäische Unternehmen erhoben. Er wirft ihnen vor, ihre Websites immer noch unter Verwendung von Google Analytics und Facebook Connect zu betreiben. Das ist laut einer Entscheidung des Europäischen Gerichtshof (EuGH) jedoch nicht mehr rechtskonform.

Mit Google Analytics können Betreiber:innen Zugriffszahlen und Klickbewegungen auf ihren Websites einsehen. Facebook Connect ist eine Anwendung, durch die Nutzer:innen andere Websites mit ihrem Facebook-Account aufrufen und nutzen können. „Weder Google Analytics noch Facebook Connect sind für den Betrieb dieser Webseiten notwendig und hätten daher inzwischen ersetzt oder zumindest deaktiviert werden können“, kritisiert Max Schrems.

Durch die Verwendung von Google Analytics und Facebook Connect geraten die persönlichen Daten europäischer Nutzer:innen in die Hände der großen US-Konzerne. Diese können die Daten nicht nur für Werbezwecke nutzen. Liegen sie erst einmal in den USA, sind die Daten auch vor der Überwachung durch US-Geheimdienste nicht mehr geschützt. Die EU-Kommission hatte sich ursprünglich für diese Datentransfers ausgesprochen, der EuGH erklärte diese jedoch für nicht vereinbar mit dem europäischen Datenschutzniveau. Das Urteil ging ebenfalls auf eine Klage von Max Schrems zurück, der seit Jahren gegen die massenhafte Datenverarbeitung durch Facebook vor Gericht zieht.

Deutsche Medienunternehmen unter den Übeltäter:innen

„Eine schnelle Analyse des Quellcodes von europäischen Webseiten zeigt, dass diese einen Monat nach dem Urteil des Europäischen Gerichtshofs (EuGH) immer noch Google Analytics oder Facebook Connect verwenden – obwohl beide Unternehmen eindeutig unter die US-amerikanischen Überwachungsgesetze fallen“, heißt es in einer Mitteilung von Noyb.

Zu den Unternehmen, gegen die Max Schrems Beschwerde einreicht, gehören unter anderen Airbnb Irland, die Universität Luxemburg, der TV Spielfilm Verlag, Chefkoch und Lieferando. Ausgewählt haben die Datenschutzaktivist:innen die Unternehmen anhand europäischer Top-Level-Domains (wie „.de“ für Deutschland), zwei spezifischen Tracking-Codes und den groben Besucher:innenzahlen der Seiten.

Die Beschwerden gegen sie hat Noyb zum Teil direkt bei der leitenden Datenaufsichtsbehörde eingereicht, andere bei der österreichischen Datenschutzbehörde am Wohnsitz der Betroffenen. Letztere werden dort an die zuständige Aufsichtsbehörde weitergeleitet. „Die Beschwerden richten sich gegen 101 europäische Unternehmen in allen 30 EU- und EWR-Mitgliedsstaaten“, schreibt Nyob in seiner Mitteilung. „Die Beschwerden richten sich aber auch gegen Google und Facebook in den USA, weil sie diese Daten unter Verletzung der DSGVO weiterhin akzeptieren.“

US-Konzerne umgehen das EuGH-Urteil

Google kündigt an, vor dem Hintergrund der Ungültigkeit des Privacy Shields auf Standardvertragsklauseln (SCC) zur Datenübermittlung zu setzen. Auch Facebook verwendet die SCCs. Diese sind zwar laut EuGH weiterhin rechtmäßig, aber nur, wenn Exporteur:innen und Empfänger:innen der Daten ein ebenso hohes Datenschutzniveau wie in der EU garantieren können. Das Problem: Daten, die bei Google und Facebook in den USA landen, fallen unter die dortigen Überwachungsgesetze. „Beide Unternehmen geben zu, dass sie die Daten aus der EU zur Verarbeitung in die USA übermitteln, wo sie gesetzlich verpflichtet sind, diese Daten US-Behörden wie der NSA zur Verfügung zu stellen“, bemängelt Max Schrems.

Die Datenweitergabe an US-Unternehmen unter den Standardvertragsklauseln kann also faktisch nicht gemäß der EuGH-Entscheidung funktionieren, weil die US-Datenschutzgesetze viel lascher sind als die europäischen. Max Schrems kritisiert, dass US-Unternehmen ihre europäischen Kund:innen immer noch versuchten zu überzeugen, dass die Verwendung von SCCs durch sie rechtmäßig ist.

Datenschutzbehörden müssen aktiv werden

Die Konzerne in den USA müssten juristisch zur Verantwortung gezogen werden, wenn sie europäische Unternehmen nicht über die geltenden Überwachungsgesetze in ihrem Land informierten, fordert Schrems. Jetzt müssten aber auch die europäischen Datenschutzbehörden Maßnahmen ergreifen, um die illegalen Datentransfers zu unterbinden.

noyb plant nach eigenen Angaben, den Druck auf Unternehmen in der EU und den USA weiter zu erhöhen. „Wir verstehen zwar, dass manche Dinge einige Zeit brauchen, aber es ist nicht hinnehmbar, dass einige Akteure das EU-Höchstgericht einfach ignorieren“, sagt Max Schrems. Im Übrigen sei es auch nur fairer Wettbewerb, wenn sich alle Betroffenen an die Entscheidung des EuGH hielten.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

16 Ergänzungen
  1. Aktivistenaktivismus. Wenn Nutzer wirklich etwas gegen Google Analytics hätten, könnten sie es in ihren Browsern problemlos deaktivieren – wie ja auch Cookies. Tatsächlich ist den allermeisten Leuten völlig egal, was Google oder Facebook mit ihren Daten machen. Die Gesetzeslage geht total am Schutzbedarf der Menschen vorbei. Wirklich wichtig wäre der Schutz vor staatlicher Schnüffelei, und genau hier greift die DSGVO ja nicht.

    1. Viele Menschen sind doch gar nicht gut genug informiert bisher hat noch jeder mit dem ich ausführlich Diskutieren konnte eingelenkt dass das scheiße von Google & co. ist aber viele sehen sich dagegen einfach Machtlos weshalb die DSGVO umgesetzt werden sollte und nicht nur ein Geschriebenes aber gewichtsloses Gesetz bleiben darf.

    2. Ich muss dir in mehreren Punkten widersprechen. Erstens geht es hier nicht um staatliche Überwachung, sondern um Überwachung von privaten Großkonzernen mit Sitz im Ausland. Auch und gerade vor deren Schnüffelei ist Schutz dringend notwendig. Diesen haben wir ja auch, durch die DS-GVO — jetzt muss dieser durchgesetzt werden.

      Zweitens: Du glaubst scheinbar, du kannst durch das Deaktivieren von Cookies (oder anderer Feature) ein Tracking verhindern. Heutzutage machen gerade(!) die „Großen“ etwas, das sich „Fingerprinting“ nennt. Dabei werden hunderte Merkmale, die man aus den Informationen, die die Browser bei Anfragen bereitstellen (nicht nur IP-Adressen, sondern auch „Wer blockt Werbung“, „Wer akzeptiert keine Cookies“ et cetera) von den Servern analysiert und ein Fingerabdruck errechnet, der deutlich genauer ist als jedwede Cookies, noch einfacher serverübergreifend funktioniert und daher deutlich gefährlicher ist. Man kann sich davor nur durch Werbeblocker-Addons und dergleichen schützen, aber auch nur bis zu einem gewissen Punkt. Die meisten Leute haben so etwas aber gar nicht im Einsatz.

      Drittens: Du verkennst einen wichtigen Aspekt der ganzen Schnüffelei: warum sollen sich Nutzer überhaupt selbst aktiv schützen müssen? Nach der Rechtsauffassung vieler Experten im Thema Datenschutz erfordert diese ganze Trackerei eine Einwilligung, also (einfach gesprochen) Opt-In. Du beschreibst aber das Gegenteil, den Opt-Out. Es sollte gar nicht notwendig sein, überhaupt Schutzmaßnahmen ergreifen zu müssen.

      Die ganzen Cookie-Banner auf den Webseiten gehen langsam in die richtige Richtung. Es gibt immer weniger „Sie stimmen automatisch zu, dass…“ (das ist kein Opt-In), sondern immer mehr „Bitte wählen Sie aus, was wir machen dürfen“ (meistens als Opt-In). Letzteres wäre auch in Ordnung, vor Allem wenn die Browserhersteller es schaffen, einen technischen Standard zu entwickeln, der Nachfragen generell überflüssig macht (also z.B. „Do-Not-Track“ endlich respektiert werden würde, statt trotzdem ein Banner zu zeigen). Gefährlich ist derzeit noch, dass die meisten Banner den „Alles deaktivieren“-Knopf deutlich kleiner und farbloser gestalten als den „Trotzdem alles akzeptieren“. Das wurde auf diesem Blog auch schon thematisiert, Stichwort „Malicious Design“. Nichtsdestotrotz zeigt die DS-GVO langsam Wirkung.

      Infos zum Thema Fingerprinting liefert unter Anderem die folgende Webseite einer Studie zu dem Thema: https://browser-fingerprint.cs.fau.de/?lang=de

      1. Wobei Konzern fast immer auch staatlich mit im Schlepptau hat. Nicht in dem Sinne, dass irgendein Staat grundsätzlich immer überall mit zuhört, sondern weil Konzerne wegen der Marktteilnahme eigentlich doch fast immer mitziehen, vor allem wenn es um Daten von Ausländern geht.

        Die Überwachung durch Milliardenkonzerne mit Zilliardeninvestorenkonsortien dahinter ist natürlich weiterhin auch ein strategisches Problem.

      2. Na ja… ;) Erstens sagt mein Firefox, dass er was gegen Fingerprinting unternimmt. (Ich hoffe, dass das auch gut ist, was er da macht.) Aber was jetzt Google-Analytics betrifft ist es jetzt egal ob man einem Opt-in zustimmt oder nicht, wenn das Produkt selbst illegal ist.

        Was ich sagen will: Ja, OK, theoretisch sollte jede Webseite, die ein Analysetool nutzt Opt-In anbieten. Das ist seit dem Urteil des EuGH im letzten Herbst verpflichtend. Aber damit ist immer noch nicht geklärt, ob G-A selbst illegal ist.

    3. Naja ganz einfach ist relativ. Plugins zum Blockieren von Nachladen beliebiger aktiver aber auch statischer Inhalte gehören ja auch dazu, die haben dann wiederum gewartet zu werden, manche kommen mit Ausnahmen für nette Seiten daher, die man dann mühsam von Hand einzeln wegclicken darf.

      Oder man lädt Listen anderer Leute herunter und appliziert die mal so in den Browser. Super für unerfahrene Benutzer…

      Dazu kommt das Problem, dass diese Datensammlungen strategische Probleme darstellen, auch wenn ein paar Spezialisten nicht mitmachen – so schaden sie eben doch allen.

    4. Wie denn? Was ist denn, wenn bei Zeitungen wie Welt Online das Datenschutzfenster aufgeht, und man manuell 100 ‚Drittanbieter‘ ausschalten muss?

      Wenn Du das noch schreiben würdest, fände ich Deinen Kommentar klasse.

  2. Interessant wären Persönliche Erfahrungen von Leuten welche sich bei Webseiten Betreibern bereits beschwert haben.(z.B. mit der Hilfe von Tools wie Träcktor usw.)
    Falls solche Leute hier sind: Wie seit ihr bei eurer Beschwerde vorgegangen? Was waren die Rückmeldungen der Betreiber? Hat sich etwas getan? Was hat die zuständige Datenschutzbehörde unternommen? Hat sich hiernach etwas geändert?
    Was konntet ihr allgemein lernen bzw. welche Erfahrungen habt ihr gemacht und wie würdet ihr beim nächsten mal vorgehen?
    @Netzpolitik habt ihr schon mal einen Artikel bzw. eine art Anleitung zu dem Thema gemacht oder andere Hilfestellungen? Vielleicht könntet ihr mal etwas in die Richtung machen oder z.B. Leute Interviewen welche bereits in der Vergangenheit etwas vergleichbares unternommen haben(nicht nur die Bekannten wie z.B. hier im Artikel sondern unbekannte Privatpersonen die z.B. nie Selber vor Gericht waren sondern es eben nur Datenschutzbehörden bzw. den Seitenbetreibern selbst gemeldet haben).

  3. Ich habe mal irgendwo ([1-5]) gelesen, dass MS sogar die Browserhistory, alle Suchbegriffe, Benutzereingaben, alle installierten Programme, alle angeschlossenen Geräte, etc. nach Hause funkt, also quasi ein komplettes Profil jedes Benutzers. Und ich meine gehört zu haben, dass ein gewisses Land Unternehmen eines anderen Landes wegen angeblicher Spionage mit wirtschaftlichen Strafmaßnahmen überzieht. Das könnte man auch einmal fundamental angehen.

    Wer an leitender Stelle steht, kann sich sicher sein, dass sein Profil von interessierter Seite sehr genau begutachtet wird, von wegen vom rechten Glauben abfallen und Reisetätigkeiten und so.

    [1] https://www.kuketz-blog.de/windows-10-dem-kontrollverlust-entgegenwirken/
    [2] https://docs.microsoft.com/de-de/windows/privacy/windows-diagnostic-data
    [3] https://docs.microsoft.com/en-us/windows/privacy/windows-diagnostic-data-1703
    [4] https://docs.microsoft.com/en-us/windows/privacy/configure-windows-diagnostic-data-in-your-organization
    [5] https://docs.microsoft.com/en-us/windows/privacy/diagnostic-data-viewer-overview
    [6] https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pr%C3%BCfschema_hinweise_dsk.pdf
    [7] https://www.privacy-handbuch.de/handbuch_90a2.htm

  4. Endlich mal eine Aktion, die überfällig ist. Ja, vielleicht ist die auch ein wenig reisserisch. Nur, die Behörden müssen jetzt endlich mal aktiv werden. Denn das EuGH-Urteil ist ja zu SchremsII eindeutig. Von daher könnten die Behörden auch ohne „Beschwerden“ aktiv werden, denn Google und Facebook brechen seit Jahren das Recht. Die sind kriminell.
    Das wir uns dagegen schützen müssen (per Add-on im Browser usw.), kehrt das Prinzip der DS-GVO „Privacy-by-Default“ um und belegt eindeutig, dass Google und Co Missbrauch betreiben.
    Also, super Aktion!

  5. Danke für den Artikel. Bedeutet das jetzt, dass Google-Analytics EU-weit nicht den gesetzlichen Bestimmungen entspricht und somit (in Deutschland) abmahnbar ist? Soweit ich den Artikel verstehe, ist das so und es ist daher nur eine Frage der Zeit bis eine GA-Abmahnwelle durch Deutschland zieht.

    Ich habe als Designer/Entwickler leider immer wieder Kunden, die auf Google-Analytics bestehen, auch wenn man z. B. mit Matomo ja eine gleichwertige Alternative zur Verfügung hat.

  6. Was ich nicht verstehe: Wer Google Analytics einsetzt, wird doch in der Regel die IP des Nutzers maskieren bzw. anonymisieren. War das bei diesen 101 Firmen nicht der Fall? Bei IP-Anonymisierung kann man doch nicht mehr von personenbezogenen Daten sprechen.

    1. Es läuft ja auch über Cookies, die eine Zuordnung erlauben. Schlimmer noch mit registrierten oder sogar eingeloggten Nutzern von Googlediensten. Präparierte Links in Werbemails und natürlich Suchmaschinenlinks u.ä.

      Lässt jemand keine Cookies zu, und benutzt keine Suchmaschine bzw. kopiert sich die Links und reinigt sie :) usw., dann wird nicht ganz so viel Zuordnung übrigbleiben. Ich weiß natürlich nicht, ob Google noch das eigene Supertracking mit einfließen lässt, dann wäre es witzlos.

      1. Naja witzlos nicht unbedingt, wenn sich alles von und mit google blockieren ließe, und immer noch eine Funktion der Webseiten übrigblribt, die man benutzen will.

        Darüber hinaus gibt es natürlich noch grau bis schwarze bereiche, wie…
        – Andere Webseiten oder Tracker verkaufen Daten an google, ohne dass es jemand schon weiß.
        – Server side google plugins (wohl derzeit nicht / next gen ).
        – Mobilgeräte anderer Leute als Wanzen (Assistenten schon „aus versehen“ passiert, Funkscans nach anderen Geräten).

        „Viel“ ist möglich aber es wird schon grobmaschiger und wohl auch illegaler. Im Moment ist es ja schon ein weitflächiges dicht gewebtes sehr klebriges und „überall“ eingearbeitetes Erfassungsnetz.

  7. Und während irgendwelche Unternehmen verklagt werden, setzt der gesamte deutsche Mittelstand auf Windows 10 in der Home oder Pro-Version mit samt Erhebung der Telemetriedaten, die dann in die Staaten gehen. Weil er sich schlicht keine Unternehmenslizenzen leisten kann oder eben keine Kenntnisse über Linux und Co hat. Nicht dass Unternehmenslizenzen irgendein Garant dafür wären, dass die Daten nicht dennoch gesammelt und an die US-Regierung ubergeben würden.

    Das Ding ist: Privacy Shield word einen Nachfolger bekommen, weil die EU schlicht keine Alternativen aufrufen kann und die amerikanischen Produkte im Alltag der allermeisten Bürger heute schon zur Normalität gehören. Und bevor da nicht auch zum Schutze der Bürger gesetzlich der Riegel vorgeschoben wird, war Shrems Bemühung leider nur ein Spaß von kurzer Dauer.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.