Datenschutzverstoß der EU-Kommission

22. Januar 2025

Die digitale Welt verlangt Unternehmen und Institutionen ein hohes Maß an Verantwortung im Umgang mit personenbezogenen Daten ab. Ein Urteil des Gerichts der Europäischen Union (EuG) vom 08.01.2024 (T-354/22) verdeutlicht dies. Das EuG hat die europäische Kommission (EU-Kommission) dazu verpflichtet, einem deutschen Staatsbürger Schadensersatz zu leisten, weil seine Daten über eine von der Kommission betriebene Website an Facebook übermittelt worden waren. Dieser Datenschutzverstoß der EU-Kommission wirft Fragen über die Haftung öffentlicher Stellen und den Datenschutz im internationalen Kontext auf.

Fall im Überblick

Ein deutscher Staatsbürger meldete sich über eine Website der EU-Kommission zur “Konferenz zur Zukunft Europas” für die Veranstaltung “GoGreen” an. Hierbei nutzte er die Funktion “Mit Facebook anmelden”, die im Authentifizierungssystem “EU Login” angeboten wurde. Er behauptet, dass bei diesem Prozess personenbezogene Daten an das Meta und Amazon Web Services übermittelt wurden. Letztere betrieben die zugrunde liegende Cloud-Infrastruktur der Website und hätten etwa seine IP-Adresse sowie Browser- und Geräteinformationen erhalten.

Schadensersatzklage vor dem EuG

In der Klage machte der Betroffene geltend, dass die internationale Datenübermittlung ohne angemessene Schutzmaßnahmen erfolgt sei und er dadurch Sicherheitsrisiken ausgesetzt sei, insbesondere Zugriffen durch US-amerikanische Nachrichtendienste. Neben immateriellem Schadensersatz in Höhe von 400 Euro forderte er weitere 800 Euro aufgrund der unzureichenden Beantwortung seines Auskunftsersuchens. Er beantragte unteranderem Auskunft darüber, welche personenbezogenen Daten die EU-Kommission verarbeitet und an Dritte übermittelt hatte. Außerdem verlangt er, die mangelnde Auskunftserteilung als rechtswidrig und die Datenübertragung „für nichtig“ zu erklären.

Urteil des EuG

Das EuG gab der Klage teilweise statt. Die Kommission habe durch die Bereitstellung des Links “Mit Facebook anmelden” eine Datenübermittlung an Meta ermöglicht und damit datenschutzrechtliche Verpflichtungen verletzt. Während viele Klagepunkte abgewiesen wurden, erkannte das Gericht einen immateriellen Schaden in Höhe von 400 Euro an.

Das EuG betont in seinem Urteil, dass zum Zeitpunkt der Datenübertragung kein Angemessenheitsbeschluss der EU für die USA vorlag. Auch habe die Kommission keine ausreichenden Garantien eingeholt, um sicherzustellen, dass Meta die übermittelten Daten in Übereinstimmung mit den Datenschutzstandards der EU verarbeitet. Dies widerspreche den Vorgaben der Verordnung (EU) 2018/1725, insbesondere Art. 46. Der immaterielle Schaden des Klägers resultiere aus der Unsicherheit darüber, was mit seinen personenbezogenen Daten, vor allem seiner IP-Adresse, geschehen ist.

Fazit

Das Urteil des EuG über den Datenschutzverstoß der EU-Kommission macht deutlich, dass Datenschutz nicht nur eine rechtliche Pflicht, sondern auch eine Frage des Vertrauens ist. Unternehmen und Institutionen müssen sicherstellen, dass sie personenbezogene Daten mit größter Sorgfalt behandeln und datenschutzrechtliche Vorgaben strikt einhalten. Insbesondere die Einbindung von Drittanbietern birgt erhebliche Risiken, die klare Verträge und technische Schutzmaßnahmen minimieren können. Unternehmen sollten dies als Chance begreifen, ihre Datenschutzstrategien zu überdenken und zu optimieren, um langfristig das Vertrauen ihrer Kunden und Nutzer zu sichern.

Kategorien: Datenschutz in den USA · Datenschutz in der Verwaltung · Europäische Kommission · Europäische Union · Europäisches Recht · immaterieller Schaden · Rechtsprechung