Urteil : EU-Kommission muss 400,– € Schadenersatz wegen Datenschutzverstoß zahlen : aus der RDV 2/2025, Seite 113 bis 114
(EuG, Urteil vom 8. Januar 2025 – T-345/23–)
Durch die Nutzung des Hyperlinks „Sign in with Facebook“ wird eine rechtswidrige Datenübermittlung an die USA ermöglicht.
(Nicht amtlicher Leitsatz)
Aus der rechtlichen Würdigung:
Zum zweiten Schadenersatzantrag: Ersatz des durch die streitigen Datenübermittlungen entstandenen immateriellen Schadens
[…]
Streitige Datenübermittlung bei der Anmeldung auf „EU Login“ am 30. März 2022
Auf der Website von „EU Login“ werden mehrere Anmeldeoptionen angeboten. Erstens kann sich der Nutzer unmittelbar über „EU Login“ anmelden, entweder indem er die entsprechenden Daten eines bereits bestehenden EU-Log‑ in-Kontos eingibt oder indem er ein neues EU-Login-Konto erstellt. Zweitens kann der Nutzer eine Karte zum elektronischen Identitätsnachweis (eID-Karte) verwenden, die für die Bürger bestimmter Mitgliedstaaten verfügbar ist. Drittens kann der Nutzer bei einer begrenzten Zahl von Diensten ein bereits existierendes Facebook-, Twitter- oder Google-Konto verwenden, indem er den entsprechenden Hyperlink auf der Website von „EU Login“ anklickt.
[…]
Vor diesem Hintergrund ist nun zu prüfen, ob die Voraussetzungen der außervertraglichen Haftung der Kommission erfüllt sind.
Der Kläger macht im Wesentlichen geltend, dass bei seiner Anmeldung auf „EU Login“ am 30. März 2022 ihn betreffende personenbezogene Daten, insbesondere seine IP-Adresse, an Server des sozialen Netzwerks Facebook, dessen Eigentümer seinen Sitz in den Vereinigten Staaten habe, übermittelt worden seien. Die Übermittlung dieser Daten sei unter Verstoß gegen Art. 46 der Verordnung 2018/1725 erfolgt, und ihm sei dadurch ein immaterieller Schaden entstanden, der darin bestehe, dass er die Kontrolle über seine Daten verloren habe und um seine Rechte und Freiheiten gebracht worden sei.
Wie bereits ausgeführt (siehe oben, Rn. 95), setzt eine Übermittlung personenbezogener Daten an ein Drittland i.S.v. Art. 46 der Verordnung 2018/1725 voraus, dass ein Organ, eine Einrichtung oder eine Stelle der Union einem Empfänger, der in einem Drittland, also einem Land, das weder Mitglied der Union noch des EWR ist, ansässig ist, durch Übermittlung oder auf sonstige Weise personenbezogene Daten bereitstellt.
Im vorliegenden Fall ist erstens erwiesen, dass der Kläger von den auf „EU Login“ zur Verfügung stehenden Anmeldeoptionen die der Anmeldung über sein Facebook-Konto gewählt hat. Zweitens enthält der Hyperlink „Sign in with Facebook“ einen Link zu einer URL-Adresse der Website von Facebook. Drittens wurde, als der Kläger diesen Hyperlink durch Anklicken geöffnet hat, durch seinen Browser die URL-Adresse der Website von Facebook aufgerufen und seine IP-Adresse an Facebook übermittelt (siehe oben, Rn. 173 bis 175).
Somit hat die Kommission mit dem Hyperlink „Sign in with Facebook“, der auf der Website von „EU Login“ angezeigt wird, die Voraussetzungen für die Übermittlung der IP-Adresse des Klägers an Facebook geschaffen. Die IP-Adresse des Klägers gehört aber zu den diesen betreffenden personenbezogenen Daten (siehe oben, Rn. 122) und wurde mit dem Hyperlink „Sign in with Facebook“ an Meta Platforms, eine Gesellschaft mit Sitz in den Vereinigten Staaten, über‑ mittelt. Diese Übermittlung stellt mithin eine Übermittlung personenbezogener Daten an ein Drittland i.S.v. Art. 46 der Verordnung 2018/1725 dar
Außerdem ist im vorliegenden Fall erwiesen, dass es zum Zeitpunkt der Übermittlung der Daten (30. März 2022) für die Vereinigten Staaten keinen Angemessenheitsbeschluss gem. Art. 47 der Verordnung 2018/1725 gab (siehe oben, Rn. 100).
Da für die Vereinigten Staaten kein Angemessenheitsbeschluss der Kommission vorliegt, ist die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation nach Art. 48 Abs. 1 der Verordnung 2018/1725 nur zulässig, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (siehe oben, Rn. 101).
Im vorliegenden Fall hat die Kommission nicht dargetan, ja nicht einmal behauptet, dass es eine geeignete Garantie gäbe, etwa eine Standarddatenschutzklausel oder eine Vertragsklausel gem. Art. 48 Abs. 2 und 3 der Verordnung 2018/1725 (siehe oben, Rn. 102 bis 104). Für die Anzeige des Hyperlinks „Sign in with Facebook“ auf der Website von „EU Login“ gelten erwiesenermaßen schlicht und einfach die Nutzungsbedingungen von Facebook (siehe oben, Rn. 183).
Die Kommission hat also die Voraussetzungen dafür geschaffen, dass eine Übermittlung von den Kläger betreffen‑ den personenbezogenen Daten an ein Drittland stattfinden konnte, ohne die Voraussetzungen gem. Art. 46 der Verordnung 2018/1725 zu beachten.
Somit ist, ohne dass auf das übrige Vorbringen des Klägers eingegangen zu werden braucht, festzustellen, dass die Kommission in Bezug auf die streitige Datenübermittlung bei der Anmeldung auf „EU Login“ am 30. März 2022 im Sinne der oben in Rn. 50 dargestellten Rechtsprechung einen hin‑ reichend qualifizierten Verstoß gegen Art. 46 der Verordnung 2018/1725 begangen hat.