Schadensersatz wegen Datenübermittlung in die USA

Die EU-Kommission wird verurteilt, einem Besucher der Website der Konferenz zur Zukunft Europas, die von der Kommission betrieben wird, den durch die Übermittlung personenbezogener Daten an die USA entstandenen Schaden zu ersetzen. Mit dem auf der Website von "EU Login" angezeigten Hyperlink "Sign in with Facebook" hat die Kommission die Voraussetzungen dafür geschaffen, dass die IP-Adresse des Betroffenen an das amerikanische Unternehmen Meta Platforms, Inc. übermittelt wurde.

Der Sachverhalt:
Der Kläger ist ein in Deutschland lebender Bürger. Er wirft der EU-Kommission vor, sein Recht auf Schutz seiner personenbezogenen Daten verletzt zu haben, als er 2021 und 2022 die von der Kommission betriebene Website der Konferenz zur Zukunft Europas (https://futureu.europa.eu/) besucht habe. Der Kläger hatte sich über diese Website zu der Veranstaltung "GoGreen" angemeldet und hierzu den Authentifizierungsdienst "EU Login" der Kommission verwendet, bei dem er sich für die Anmeldeoption "Mit Facebook anmelden" entschieden hatte.

Der Kläger meint, bei seinen Besuchen der Website seien ihn betreffende personenbezogene Daten an Empfänger in den Vereinigten Staaten übermittelt worden, insbesondere seine IP-Adresse sowie Browser- und Geräteinformationen. Ihn betreffende personenbezogene Daten seien zum einen an das amerikanische Unternehmen Amazon Web Services übermittelt worden, das das Content Delivery Network "Amazon CloudFront" betreibe, über das die betreffende Website laufe, und zum anderen an das amerikanische Unternehmen Meta Platforms, Inc., nämlich bei seiner Anmeldung zu der Veranstaltung "GoGreen" über sein Facebook-Konto. Die Vereinigten Staaten hätten kein angemessenes Schutzniveau. Die ihn betreffenden personenbezogenen Daten seien deshalb der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der USA ausgesetzt. Die Kommission habe keine geeigneten Schutzmaßnahmen genannt, die die Datenübermittlungen zu rechtfertigen vermöchten.

Der Kläger beantragte als Ersatz des immateriellen Schadens, der ihm durch die streitigen Datenübermittlungen
entstanden sei, 400 €. Er beantragte ferner, die Übermittlungen der ihn betreffenden personenbezogenen Daten für nichtig zu erklären, festzustellen, dass die Kommission es rechtswidrig unterlassen habe, zu einem Antrag auf Auskunft Stellung zu nehmen, und die Kommission zu verurteilen, an ihn als Ersatz des immateriellen Schadens, der ihm durch die Verletzung seines Auskunftsrechts entstanden sei, 800 € zu zahlen.

Das EuG gab der Klage teilweise statt. Gegen Entscheidungen des EuG kann ein auf Rechtsfragen beschränktes Rechtsmittel eingelegt werden.

Die Gründe:
Der Antrag auf Nichtigerklärung war als unzulässig abzuweisen. Der Rechtsstreit ist, was den Antrag auf Feststellung der Untätigkeit angeht, in der Hauptsache erledigt. Auch der auf die Verletzung des Auskunftsrechts gestützte Schadensersatzantrag war zurückzuweisen, weil der behauptete immaterielle Schaden nicht vorliegt.

Der auf die streitigen Datenübermittlungen gestützte Schadensersatzantrag war ebenfalls zurückzuweisen, soweit es um die Datenübermittlungen über "Amazon CloudFront" geht. Bei einer der streitigen Verbindungen sind die Daten nicht an die USA, sondern nach dem Prinzip der Proximität an einen Server in München übermittelt worden. Nach dem Vertrag, den die Kommission mit dem Betreiber von "Amazon CloudFront", der luxemburgischen Gesellschaft Amazon Web Services EMEA SARL, geschlossen hat, musste Letztere gewährleisten, dass die Daten im Ruhezustand und bei der Übermittlung in Europa bleiben.

Bei einer anderen Verbindung ist die Weiterleitung an Server in den USA, die durch den Routing-Mechanismus von "Amazon CloudFront" erfolgte, auf das Verhalten des Klägers selbst zurückzuführen. Dieser gab sich nämlich mit Hilfe einer technischen Einstellung für jemanden aus, der sich in den USA befand. Soweit es um Anmeldung des Betroffenen zu der Veranstaltung "GoGreen" geht, ist festzustellen, dass die Kommission mit dem Hyperlink "Sign in with Facebook", der auf der Website von "EU Login" angezeigt wird, die Voraussetzungen für die Übermittlung der IP-Adresse des Betroffenen an Facebook geschaffen hat. Die IP-Adresse des Betroffenen gehört zu den personenbezogenen Daten. Sie wurde mit dem Hyperlink "Sign in with Facebook" an die Meta Platforms, Inc., eine Gesellschaft mit Sitz in den USA, übermittelt. Diese Datenübermittlung ist der Kommission zuzurechnen.

Zum Zeitpunkt dieser Datenübermittlung (30.3.2022) gab es aber keinen Beschluss, mit dem festgestellt worden wäre, dass die USA für die personenbezogenen Daten der Unionsbürger ein angemessenes Schutzniveau geboten hätten. Die Kommission hat auch nicht dargetan, ja nicht einmal behauptet, dass es eine geeignete Garantie gegeben hätte, etwa eine Standarddatenschutzklausel oder eine Vertragsklausel. Für die Anzeige des Hyperlinks "Sign in with Facebook" auf der Website von "EU Login" galten schlicht und einfach die Nutzungsbedingungen von Facebook. Mithin hat die Kommission die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ, eine Einrichtung oder eine Stelle der Union nicht beachtet.

Die Kommission hat einen hinreichend qualifizierten Verstoß gegen eine Rechtsnorm, die bezweckt, dem Einzelnen Rechte zu verleihen, begangen. Der Kläger hat auch einen immateriellen Schaden erlitten. Er befindet sich nämlich in einer Lage, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Außerdem besteht zwischen dem von der Kommission begangenen Verstoß und dem immateriellen Schaden, der dem Betroffenen entstanden ist, ein hinreichend unmittelbarer Kausalzusammenhang.

Da die Voraussetzungen der außervertraglichen Haftung der Union erfüllt sind, war die Kommission zu verurteilen, an den Kläger, wie von ihm beantragt, 400 € zu zahlen.

Mehr zum Thema:

Aufsatz
Data Act – eine kurze Einführung in die Probleme am Beispiel von Crash-Reports
Martin Schirmbacher / Marcus Czempinski, ITRB 2025, 21
ITRB0074133

Kurzbeitrag
290 Mio. Euro Bußgeld für rechtswidrige Datenübermittlung in die USA
Brian Scheuch, ITRB 2024, 251
ITRB0071412

Aufsatz
Der Werkzeugkasten rechtlicher Möglichkeiten gegenüber Online-Plattformen aus Nutzer*innenperspektive nach DSA und DDG
Benjamin Lück / Simone Ruf, CR 2024, 672
CR0071901

Beratermodul IT-Recht
Die perfekte Online-Ausstattung für das IT-Recht: Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!