Der Datenschutzaktivist Max Schrems hat mit seiner NGO «NOYB» (kurz für «None of Your Business») Beschwerde gegen 101 Unternehmen aus dem EWR erhoben. Die betroffenen Unternehmen verwendeten auf ihren Webseiten nach wie vor Google Analytics oder Facebook Connect. Eine Übermittlung von Personendaten an Empfänger ausserhalb des EWR durch diese Dienste hält Max Schrems nach dem auf seine Klage zurückgehenden Urteil Schrems II des EuGH für unzulässig.
Mit Urteil vom 16. Juli 2020 hatte der EuGH den EU-US-Privacy Shield mit sofortiger Wirkung für unwirksam erklärt. Seine Entscheidung begründete der EuGH im Wesentlichen mit den Zugriffsmöglichkeiten von US-Geheimdiensten auf die unter dem Privacy Shield übermittelten Daten von EU-Bürgern. Die Standardvertragsklauseln, die nach der europäischen Datenschutzgrundverordnung ebenfalls eine Rechtsgrundlage für transatlantischen Datentransfer bieten, hält der EuGH weiterhin für gültig. Es besteht bei ihrem Einsatz jedoch – je nach Risikobewertung – die Pflicht, diese durch zusätzliche Vertragsklauseln zu ergänzen, um für ein angemessenes Datenschutzniveau zu sorgen. Insofern sind die Standardvertragsklauseln nicht mehr unbedingt ein Standard.
NYOB berichtet, Google verlasse sich immer noch auf den Privacy Shield. Facebook nutze zwar Standardvertragsklauseln, aber ohne diese im Sinne des EuGH-Urteils ausreichend gegen Zugriffe nach den US-Sicherheitsgesetzen zu verstärken. Zuletzt kündigte Google jedoch an, zukünftig ebenfalls auf Standardvertragsklauseln setzen zu wollen.
Zu den Unternehmen, gegen die nun eine Beschwerde vorliegt, zählen grosse Unternehmen wie Airbnb, Decathlon oder Coop. Bei den Beschwerden wird es aber wohl nicht bleiben. Nach eigener Aussage will NYOB den Druck auf «grosse Player» schrittweise erhöhen.