Auch fast sechs Jahre nach Einführung der Datenschutzgrundverordnung (DSGVO) fällt die Bilanz dazu eher ernüchternd aus. Selbst bei grossen Unternehmen gibt es bis heute grobe Mängel bei der Durchsetzung, bei kleineren scheint man sich hingegen darauf geeinigt zu haben, lieber nicht ganz so genau hinzusehen.
Geradezu symbolisch für diesen Zustand könnte nun eine aktuelle Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) stehen, bestätigt dieser nun doch, dass das Europäische Parlament mit einer Webseite zum Buchen von Covid-19-Tests gegen geltendes EU-Datenschutzrecht verstossen hat – im Konkreten gegen die "DSGVO für EU-Institutionen". Dem vorausgegangen war eine Anfang 2021 eingereichte Beschwerde der Datenschutz-NGO Noyb.
Im Kern der Beschwerde steht die Verwendung von Google Analytics sowie des Zahlungsdienstleisters Stripe. Damit verstosse die betreffende Seite gegen das "Schrems-II-Urteil" des Europäischen Gerichtshofs (EuGH) in Hinblick auf die Datenübermittlung zwischen der EU und den USA. Darin wurde festgehalten, dass die Übermittlung von personenbezogenen Daten an die USA nur dann zulässig ist, wenn ein angemessenes Schutzniveau gewährleistet ist. Genau das konnte das EU-Parlament laut dem EDSB aber nicht nachweisen.
