Die EU-Kommission ist bekannt als die Hüterin der Verträge. Ihre Aufgabe ist es unter anderem neben dem EuGH über die ordnungsgemäße Anwendung des EU-Rechts in allen Mitgliedstaaten wachen. Auch war es gerade aufgrund ihres Vorschlages, dass die DSGVO erlassen wurde. Dennoch ist auch sie nicht unfehlbar.

Ein aktuelles Urteil des Gerichts der Europäischen Union zeigt erneut, wie sensibel der Umgang mit personenbezogenen Daten ist – selbst aufseiten der Europäischen Kommission. In einem bemerkenswerten Fall wurde die Kommission dazu verurteilt, einem deutschen Kläger 400 Euro Schadensersatz zu zahlen. Grund dafür war die rechtswidrige Übermittlung seiner Daten in die USA über die Funktion „Mit Facebook anmelden“ auf einer offiziellen Website der Kommission.

Der Sachverhalt: Datenschutzverletzung durch Drittlandtransfer

Die Grundlage des Falls war die inzwischen abgeschaltete Website der „Konferenz zur Zukunft Europas“. Der Kläger, ein deutscher EU-Bürger, nutzte auf der Seite die Option „Mit Facebook anmelden“, um sich für eine Veranstaltung zu registrieren. Dabei wurden personenbezogene Daten wie seine IP-Adresse und Browserinformationen an die Facebook-Muttergesellschaft Meta Platforms, Inc. in den USA übertragen. Außerdem sollen auch Daten an das amerikanische Unternehmen Amazon Web Services übermittelt worden seien, welches das Content Delivery Network „Amazon CloudFront“ betreibe, über das die betreffende Website gelaufen ist.

Der Kläger argumentierte, dass diese Datenübermittlung in ein Drittland ohne angemessene Schutzmaßnahmen erfolgte. Nach dem Ende des sogenannten „Privacy Shield“-Abkommens hatten weder die USA ein ausreichendes Datenschutzniveau noch lagen geeignete Garantien wie Standardschutzklauseln vor. Damit, so der Kläger, sei ein Zugriff durch US-Geheimdienste nicht auszuschließen. Die Kommission habe mit diesem Verhalten gegen die DSGVO verstoßen.

Die Entscheidung des EuG

Das EuG gab dem Kläger teilweise Recht und sprach ihm 400 Euro Schadensersatz zu (Az. T-354/22). Die Kommission habe durch die Bereitstellung der „Mit Facebook anmelden“-Funktion die Übermittlung der personenbezogenen Daten an Meta ermöglicht, ohne die Vorgaben der DSGVO einzuhalten. Insbesondere fehlte es an einem Angemessenheitsbeschluss oder anderweitigen geeigneten Garantien. Der Kläger habe dadurch einen immateriellen Schaden erlitten, weil er nicht sicher sein könne, wie seine Daten in den USA verarbeitet werden. Dies führe zu einem Gefühl des Kontrollverlusts über die eigenen Daten – ein Punkt, den der Europäische Gerichtshof bereits in früheren Entscheidungen hervorgehoben hatte (wir hatten berichtet).

Allerdings hatte die Klage nicht in allen Punkten Erfolg. In Bezug auf die Datenübermittlung an Amazon stellte das Gericht fest, dass die Daten nicht in die USA, sondern auf einen Server in München übertragen wurden. Die EU-Kommission habe vertraglich geregelt, dass die Daten innerhalb Europas verbleiben, sodass kein Verstoß vorlag.  Die Daten des Klägers wurden im konkreten Fall nur deshalb an Server in den USA weitergeleitet, weil er durch technische Einstellungen vorgegeben hatte, sich in den USA zu befinden.

Außerdem wies das EuG einen Schadensersatzanspruch wegen der Verletzung des datenschutzrechtlichen Auskunftsrecht in Höhe von 800 Euro zurück, da es insoweit keinen immateriellen Schaden feststellen konnte.

Fazit
Auch Institutionen der Europäischen Union, die eigentlich die Einhaltung der DSGVO überwachen sollten, können für Verstöße haftbar gemacht werden. Das Urteil des EuG sendet also ein klares Signal: Datenschutz ist nicht verhandelbar! Dies stärkt die Position der Bürger und erhöht den Druck auf alle Akteure, die Datenschutzvorgaben konsequent umzusetzen.

 

Foto von Glen Carrie auf Unsplash