Max Schrems heeft met zijn stichting noyb klachten ingediend bij Europese privacywaakhonden over 101 grote Europese websites, zoals Marktplaats en Thuisbezorgd. Volgens hem hevelen zij via Google of Facebook nog altijd data over naar de VS en ontbreekt daar de juridische basis voor.
Het gaat om 101 klachten die gericht zijn tegen 101 bedrijven in dertig EU- of EER-landen. De stichting noyb schrijft dat een snelle analyse van de html-code van grote Europese websites laat zien dat veel bedrijven een maand na de belangrijke uitspraak over Privacy Shield nog altijd gebruikmaken van Google Analytics of Facebook Connect. Volgens de stichting worden via deze diensten persoonsgegevens verwerkt en wordt die data doorgegeven aan de Verenigde Staten.
Conform de AVG is daarvoor een wettelijke basis vereist en die is volgens Schrems sinds de recente uitspraak van het Hof van Justitie komen te vervallen. "Er wordt op basis van codefragmenten data over elke bezoeker doorgegeven aan Google of Facebook. Beide bedrijven geven toe dat ze data over Europeanen doorgeven aan de VS voor verwerking, omdat ze wettelijk verplicht zijn de data beschikbaar te stellen aan Amerikaanse instanties, zoals de NSA. Google Analytics noch Facebook Connect zijn essentieel om de webpagina's te laten draaien en het zijn diensten die inmiddels al hadden kunnen zijn vervangen of op zijn minst uitgeschakeld", aldus Schrems.
Noyb heeft voor Nederland klachten ingediend bij de Autoriteit Persoonsgegevens over de websites van Marktplaats, PostNL, Thuisbezorgd en Lieferando. Voor België geldt dat voor de websites van Neckermann, Bpost, Logic-Immo en Flair; deze klachten zijn ingediend bij de Belgische privacytoezichthouder, te weten de Gegevensbeschermingsautoriteit. Volgens noyb zijn de toezichthouders in de lidstaten wettelijk verplicht actie te ondernemen bij inbreuken, helemaal na het ontvangen van een klacht. Ook heeft het Hof van Justitie de taak van de toezichthouders onderstreept in zijn eerdere uitspraak.
In bijvoorbeeld de klacht over Marktplaats schrijft noyb dat tijdens het bezoek aan de website in ieder geval het ip-adres en de cookiegegevens van de bezoeker zijn verwerkt. De stichting zegt dat in ieder geval die gegevens direct dan wel indirect zijn overgedragen aan Facebook Inc. in de Verenigde Staten. Noyb verzoekt de Autoriteit Persoonsgegevens de klacht te onderzoeken, onder meer te kijken naar de overdrachtsmechanismen en onmiddellijk een verbod of opschorting van de gegevensstromen naar de VS op te leggen. Ook wil Schrems dat er een 'evenredige en afschrikkende boete' wordt opgelegd aan de voor verwerking verantwoordelijke partij, in dit geval Facebook. Dat laatste rechtvaardigt de stichting door te wijzen op het feit dat er alweer een maand is verstreken na de uitspraak en dat Facebook Ierland nog geen stappen heeft ondernomen om de gegevensverwerkingsactiviteiten in overeenstemming te brengen met de AVG.
De indiening van de 101 klachten volgt op de uitspraak van het Hof van Justitie, waarin dit hoogste rechterlijke EU-orgaan Privacy Shield van tafel heeft geveegd. Volgens de rechters is dit data-uitwisselingsverdrag tussen de EU en de VS in strijd met de GDPR. In principe mogen bedrijven nog wel het middel van de standaardclausules gebruiken, maar dat mag alleen als het betreffende land een passende bescherming biedt op grond van het EU-recht voor persoonsgegevens. In de VS is daar volgens het Hof geen sprake van door de Amerikaanse surveillanceprogramma's. Dit maakt dat de route van deze standaardclausules ook op losse schroeven staat. Eerder liet de EDPB, de Europese organisatie voor gegevensbescherming, al weten dat bedrijven per direct hun transfers tegen het licht moeten houden. Inmiddels lopen er al gesprekken tussen de VS en de EU om te komen tot een 'verbeterde' variant van Privacy Shield.