[English]Fette Klatsche für die EU-Kommission vom Europäischen Gerichtshof. In einem Verfahren vor dem EuGH wurde die Kommission dazu verurteilt, einem deutschen Aktivisten Schadensersatz zu leisten, weil die EU-Kommission Daten an Meta gegeben und damit in die USA transferiert haben.
Ich bin über das am 8. Januar 2025 ergangene EU-Urteil T-354/22 u.a. über nachfolgenden BlueSky-Post gestoßen.
Die Richter entschieden, dass die EU-Kommission einem deutschen Bürger (Kläger) Schadenersatz zahlen muss, weil sie die Datenschutzvorschriften (DSGVO) nicht eingehalten hat. Hintergrund war, dass der Kläger aus Deutschland, der sich für Informatik und Datenschutz interessiert, im 2021 und dann im März 2022 Webseiten der EU-Kommission besuchte und sich über sein Facebook-Konto bzw. die Option „Mit Facebook anmelden“ auf einer Konferenzseite der EU-Kommission anmeldete. Dabei stellte der Kläger fest, dass Daten mutmaßlich an Meta USA sowie an Amazon Web Services (AWS) übermittelt wurden.
Darauf bat der Kläger den Datenschutzbeauftragten der Kommission um eine DSGVO-Auskunft hinsichtlich der bei den Webseitenbesuchen übermittelten Daten. Zweitens bat der Bürger darum, ihm mitzuteilen, welche ihn betreffenden personenbezogenen Daten verarbeitet bzw. gespeichert und welche gegebenenfalls an Dritte weitergegeben worden seien. Drittens bat er darum, ihm die Rechtsgrundlage für diese Weitergabe und etwaige Garantien für die Übermittlung von Daten an Drittländer ohne angemessenes Schutzniveau mitzuteilen.
Zum 3. Dezember 2021 bekam der spätere Kläger Auskunft vom Datenschutzbeauftragten der Kommission. Über einen Link könne er sich die erfassten Daten anzeigen lassen. Zudem wurde dem späteren Kläger mitgeteilt, dass die ihn betreffenden personenbezogenen Daten nicht an Empfänger außerhalb der Europäischen Union übermittelt worden seien und nur auf der Website der Konferenz zur Zukunft Europas gespeichert und verarbeitet würde.
Nachdem mehrere Anfragen der betroffenen Person nicht umfassend beantwortet wurden, erhob diese am 9. Juni 2022 Klage gegen die EU-Kommission wie im Urteilstext nachzulesen ist. In der Klage beantragte er,
- die am 30. März und am 8. Juni 2022 erfolgten Übermittlungen der ihn betreffenden personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau für nichtig zu erklären.
- Weiterhin beantragte er festzustellen, dass die Kommission es rechtswidrig unterlassen habe, zu seinem Antrag auf Auskunft vom 1. April 2022 Stellung zu nehmen.
- Und er beantragte, die EU-Kommission zu verurteilen, an ihn 1.200 Euro nebst Zinsen zu zahlen.
Der Schadenersatz sollte sich auf 800 Euro als Ersatz des durch die Verletzung seines Auskunftsrechts entstandenen Schadens und 400 Euro als Ersatz des durch die Übermittlung der ihn betreffenden personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau entstandenen immateriellen Schadens beziehen. Weiterhin wollte der Kläger der Kommission die Kosten des Verfahrens auferlegen lassen.
Der Antrag der EU-Kommission lief darauf hinaus, die Klage als nichts zu erklären und den Schadensersatz abzuweisen sowie dem Kläger die Kosten aufzuerlegen.
Im Urteil wurde der Antrag der EU-Kommission auf „Nichtigkeit“ abgewiesen und die EU-Kommission auf Zahlung eines Schadensersatzes von 400 Euro verurteilt. Der EuGH sah es als erwiesen an, dass bei der Anmeldung unter „EU Login“ der Konferenzseite am 30. März 2022 den Kläger betreffende personenbezogene Daten, insbesondere seine IP-Adresse, an Server des sozialen Netzwerks Facebook in den Vereinigten Staaten übertragen wurden.
Die EU-Kommission hat mit dem Hyperlink „Sign in with Facebook“, der auf der Website von „EU Login“ angezeigt wird, die Voraussetzungen für die Übermittlung der IP-Adresse des Klägers an Facebook geschaffen. Zum Zeitpunkt der Anmeldung gab es aber noch keinen Angemessenheitsbeschluss der EU-Kommission für einen Datentransfer in die USA.
Dieser Angemessenheitsbeschluss war durch den EuGH gekippt wurden und ist erst später (2023) durch einen neuen Beschluss (siehe Datenaustausch mit den USA per EU-U.S. Data Privacy Framework, eine Bestandsaufnahme) – der nun ebenfalls vor dem EuGH angegriffen wird – ersetzt worden. Der EuGH listet folgende Entscheidungen im Urteil auf:
- Die Klage wird, was den Antrag auf Nichtigerklärung [der Datenübermittlung in die USA] angeht, als unzulässig abgewiesen.
- Was den Antrag auf Feststellung angeht, dass die Europäische Kommission es rechtswidrig unterlassen hat, zu dem Antrag auf Auskunft des Klägers vom 1. April 2022 Stellung zu nehmen, hat sich der Rechtsstreit in der Hauptsache erledigt.
- Die Kommission wird verurteilt, an deb Kläger 400 Euro als Ersatz des entstandenen immateriellen Schadens zu zahlen. Weitergehende Schadensersatzanträge werden zurückgewiesen.
Die Kommission trägt ihre eigenen Kosten und die Hälfte der Kosten des Klägers. Der Kläger trägt die Hälfte seiner eigenen Kosten.
Die FAZ hat das Ganze in diesem Artikel zusammen gefasst. Die 800 Euro Schadensersatz für die Übertragung der Klägerdaten an AWS wurden zurückgewiesen, weil der AWS-Server in München stand. Das Urteil zeigt wie komplex die Situation ist und bringt keine Klarheit für weitere Fälle. Es zeigt aber auch, dass die EU-Kommission ihre eigenen DSGVO-Regeln nicht beachtet.
Ähnliche Artikel:
Datenaustausch mit den USA per EU-U.S. Data Privacy Framework, eine Bestandsaufnahme
EU-Kommission fällt Angemessenheitsbeschluss für EU-U.S. Data Privacy Framework
USA erfüllen Verpflichtungen des EU-U.S. Data Privacy Framework
Sehr gut: Jetzt können sie die eigene Suppe schmecken. Wird vielleicht noch häufiger in der nächsten Zeit passieren.
Im vorliegenden Fall dürfte es den Mitgliedern aber egal sein, ist ja nur unser Steuergeld.
Ein Anwalt hatte sich kürzlich in Österreich ein Pfandrecht bei der Hofburg Wien eintragen lassen.
Ist nett.
In dem Fall zeigt es nur wie sinnlos die DSGVO in der Praxis ist.
Mich wundert ja immer dass das überhaupt akzeptiert wird diese Art von Beweis bei Datenübertragung. Immerhin macht in dem Fall die Übertragung direkt der Browser der Person und kein Server der EU Kommission. Also hat technisch der Aktivist selbst gegen die DSGVO verstoßen. Und am Server der Kommission wurden keine Daten weitergegeben.