Das Gericht der Europäischen Union (EuG) hat in der Rechtssache T-354/22 (Bindl / Kommission) die EU-Kommission zur Zahlung von Schadensersatz verurteilt. Die EU-Kommission hatte personenbezogene Daten eines Besuchers einer von ihr betriebenen Website in die USA an Facebook übermittelt.
Personenbezogene Daten in die USA übermittelt
Der aus Deutschland stammende Kläger hatte in den Jahren 2021 und 2022 die von der Europäischen Kommission betriebene Website der Konferenz zur Zukunft Europas besucht. Über diese Website hatte er sich für die Veranstaltung „GoGreen“ angemeldet. Dabei nutzte er die Authentifizierungsoption „Mit Facebook anmelden“ über den Dienst „EU Login“.
Dadurch wurden personenbezogene Daten, darunter die IP-Adresse sowie Browser- und Geräteinformationen, an das US-amerikanische Unternehmen Meta Platforms Inc. übermittelt. Das Unternehmen ist der Mutterkonzern von Facebook.
Der Kläger machte geltend, dass in den USA kein angemessenes Datenschutzniveau gewährleistet sei und die Gefahr des Zugriffs durch US-amerikanische Sicherheits- und Nachrichtendienste bestehe. Er verlangte u.a. den Ersatz des ihm durch die Datenübermittlungen entstandenen immateriellen Schadens in Höhe von 400 Euro.
Lese-Tipp: EDSA prüft EU-US Data Privacy Framework: Das muss noch besser werden
400 Euro Schadensersatz für immateriellen Schaden
Das Gericht wies mehrere Anträge des Klägers zurück. Darunter den Antrag auf Nichtigerklärung der Datenübermittlungen und den Antrag auf Feststellung der Untätigkeit der Kommission in Bezug auf ein Auskunftsersuchen. Auch die Schadensersatzklage im Zusammenhang mit den Übermittlungen über den Dienst „Amazon CloudFront“ wurde abgewiesen. Die Daten waren entweder in der EU verblieben oder aufgrund technischer Einstellungen des Klägers selbst in die USA gelangt.
Dagegen wurde dem Schadensersatzanspruch wegen der Übermittlung der IP-Adresse an Facebook über die Funktion „Sign in with Facebook“ stattgegeben. Das Gericht stellte fest, dass die Kommission durch die Bereitstellung dieses Hyperlinks die Voraussetzungen für die Übermittlung personenbezogener Daten in ein Drittland geschaffen hat, ohne angemessene Garantien wie Standardvertragsklauseln vorzusehen. Zu diesem Zeitpunkt (30. März 2022) lag kein Angemessenheitsbeschluss für die Vereinigten Staaten vor.
Die Kommission wurde wegen eines „hinreichend qualifizierten Verstoßes“ gegen eine Rechtsnorm verurteilt, die dem Einzelnen Rechte verleihen soll. Das Gericht erkannte auch einen immateriellen Schaden des Klägers an, da er sich in einer unklaren Situation bezüglich der Verarbeitung seiner Daten befand. Auch bestand ein unmittelbarer Kausalzusammenhang zwischen dem Verstoß und dem erlittenen Schaden. Die Kommission wurde daher verurteilt, dem Kläger Schadensersatz in Höhe von 400 Euro zu zahlen.
Dieses Urteil verdeutlicht die strengen Anforderungen, die die Datenschutz-Grundverordnung und die Verordnung (EU) 2018/1725 an die Übermittlung von Daten in Drittländer stellen. Die Organe und Einrichtungen der Union müssen sicherstellen, dass angemessene Garantien bestehen, um die Rechte der betroffenen Personen zu gewährleisten. Der Fall unterstreicht auch die rechtlichen Möglichkeiten der Betroffenen, Ansprüche aus außervertraglicher Haftung der Union geltend zu machen.
Quelle: EuG-Urteil T-354/22 (Bindl / Kommission) vom 8.01.2024