Die Grundlage des Falls war die inzwischen abgeschaltete Website der „Konferenz zur Zukunft Europas“. Der Kläger, ein deutscher EU-Bürger, nutzte auf der Seite die Option „Mit Facebook anmelden“, um sich für eine Veranstaltung zu registrieren. Dabei wurden personenbezogene Daten wie seine IP-Adresse und Browserinformationen an die Facebook-Muttergesellschaft Meta Platforms, Inc. in den USA übertragen. Außerdem sollen auch Daten an das amerikanische Unternehmen Amazon Web Services übermittelt worden seien, welches das Content Delivery Network „Amazon CloudFront“ betreibe, über das die betreffende Website gelaufen ist.
Der Kläger argumentierte, dass diese Datenübermittlung in ein Drittland ohne angemessene Schutzmaßnahmen erfolgte. Nach dem Ende des sogenannten „Privacy Shield“-Abkommens hatten weder die USA ein ausreichendes Datenschutzniveau noch lagen geeignete Garantien wie Standardschutzklauseln vor. Damit, so der Kläger, sei ein Zugriff durch US-Geheimdienste nicht auszuschließen. Die Kommission habe mit diesem Verhalten gegen die DSGVO verstoßen.
Die Entscheidung des EuG
Das EuG gab dem Kläger teilweise Recht und sprach ihm 400 Euro Schadensersatz zu (Az. T-354/22). Die Kommission habe durch die Bereitstellung der „Mit Facebook anmelden“-Funktion die Übermittlung der personenbezogenen Daten an Meta ermöglicht, ohne die Vorgaben der DSGVO einzuhalten. Insbesondere fehlte es an einem Angemessenheitsbeschluss oder anderweitigen geeigneten Garantien. Der Kläger habe dadurch einen immateriellen Schaden erlitten, weil er nicht sicher sein könne, wie seine Daten in den USA verarbeitet werden. Dies führe zu einem Gefühl des Kontrollverlusts über die eigenen Daten – ein Punkt, den der Europäische Gerichtshof bereits in früheren Entscheidungen hervorgehoben hatte (wir hatten berichtet).
Allerdings hatte die Klage nicht in allen Punkten Erfolg. In Bezug auf die Datenübermittlung an Amazon stellte das Gericht fest, dass die Daten nicht in die USA, sondern auf einen Server in München übertragen wurden. Die EU-Kommission habe vertraglich geregelt, dass die Daten innerhalb Europas verbleiben, sodass kein Verstoß vorlag. Die Daten des Klägers wurden im konkreten Fall nur deshalb an Server in den USA weitergeleitet, weil er durch technische Einstellungen vorgegeben hatte, sich in den USA zu befinden.
Außerdem wies das EuG einen Schadensersatzanspruch wegen der Verletzung des datenschutzrechtlichen Auskunftsrecht in Höhe von 800 Euro zurück, da es insoweit keinen immateriellen Schaden feststellen konnte.
Fazit
Auch Institutionen der Europäischen Union, die eigentlich die Einhaltung der DSGVO überwachen sollten, können für Verstöße haftbar gemacht werden. Das Urteil des EuG sendet also ein klares Signal: Datenschutz ist nicht verhandelbar! Dies stärkt die Position der Bürger und erhöht den Druck auf alle Akteure, die Datenschutzvorgaben konsequent umzusetzen.
Schreibe einen Kommentar
You must be logged in to post a comment.