Update AVG bezwaren tegen gebruik persoonsgegevens

AVG blijft onverenigbaar met data in een Amerikaans datacenter

Afgelopen week waren er twee nieuwe AVG bezwaren tegen het gebruik van de cloud en de omgang met persoonsgegevens. Beide voorvallen hebben nog veel te weinig aandacht gekregen. ITchannelPRO legt ze kort uit.

Deutsche Telekom voor de rechter

AVG-GDPRDeutsche Telekom maakt voor de eigen websites gebruik van Google Analytics. Zoals bekend wordt de verzamelde data opgeslagen en verwerkt in de Google cloud, om precies te zijn datacenters op Amerikaans grondgebied.

Overdracht van IP adressen en identifiers voor browsers en machines staat – zachtjes uitgedrukt – op gespannen voet met de AVG. Deutsche Telekom weet dat ook, maar heeft geen zin gebruikers om toestemming te vragen, laat staan ze te wijzen op het probleem dat al jaren bestaat.

De rechtbank in Keulen heeft zich op verzoek van de consumentenorganisatie Verbraucherzentrale NRW begin januari gebogen over de zaak. In maart is er uitspraak gedaan, maar die is pas vorige week gepubliceerd. Het vonnis is maximaal geanonimiseerd en dat met een goede reden. De aangeklaagde partij is namelijk op de belangrijkste punten in het ongelijk gesteld (link). In lijn met wat door Schrems II al is bepaald zegt ook deze rechtbank dat het doorsturen van dergelijke data onverenigbaar is met de AVG omdat in Amerika geen sprake is van afdoende bescherming van persoonsgegevens van EU burgers.

Volgens de klagers is met deze eerste overwinning de weg geopend al die andere partijen voor de rechter te sleuren die de toestemming van een cookie-banner zien als een manier om alle data maar over de oceaan te sturen.

Motie Europees Parlement

Het bekend maken van het Duitse vonnis valt bijna gelijk met een besluit van het Europese Parlement. Het donderdag met 306-27 stemmen en 231 onthoudingen voor een resolutie waarin de Europese Commissie wordt opgeroepen de onderhandelingen met de Verenigde Staten over de opvolger van het ongeldig verklaarde Privacy-Shield te heropenen (link).

Die opvolger heet het “EU-VS Data Privacy Framework” en is de derde poging van de VS en Europa om een mechanisme voor commerciële gegevensoverdracht op te zetten. De vorige twee mechanismen, het Safe Harbor Framework en het Privacy Shield, sneuvelden voor het Europese Hof van Justitie.

Dat klinkt nog redelijk onschuldig, maar de tekst van de motie laat geen ruimte voor twijfel. Wat de EC en Washington tot nu toe hebben bereikt kan niet op de instemming van het EP rekenen.

Kortom

Gebruik maken van cloud en andere diensten waarbij persoonsgegevens van EU burgers in Amerika belanden is op dit moment nog steeds een grote valkuil. Cookie-banners hebben in Nederland al tot een kritische beoordeling geleid, nu gebeurt dat ook in de buurlanden. De poging van Deutsche Telekom tijd te rekken in de hoop dat “Brussel” snel groen licht geeft is gestrand voor de rechter.

Mobiele versie afsluiten