Der Fall
Ein deutscher Nutzer, der sich über den Benutzerauthentifizierungsdienst „EU Login“ der Europäischen Kommission auf der Website „Konferenz zur Zukunft Europas“ für die Veranstaltung „GoGreen“ anmeldete, wählte dabei die Option „Mit Facebook anmelden“. Infolgedessen wurden personenbezogene Daten des Nutzers – insbesondere seine IP-Adresse und weitere Daten wie Name und E-Mail-Adresse – an Meta Platforms (Facebook) übermittelt. Der Kläger sah hierin eine rechtswidrige Datenübermittlung, da zum Zeitpunkt der Übertragung kein Angemessenheitsbeschluss für die Datenübertragung in die USA vorlag und keine ausreichenden datenschutzrechtlichen Garantien gemäß Art. 46 der Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union (Verordnung 2018/1725) vorhanden waren. Er forderte daher Schadenersatz aufgrund des Verlustes der Kontrolle über seine Daten und der damit verbundenen Unsicherheit über deren Verarbeitung. Der Kläger argumentierte weiter, dass die unzureichenden Datenschutzmaßnahmen einen erheblichen Eingriff in seine Privatsphäre darstellten, und betonte die Notwendigkeit einer strengeren Einhaltung von Datenschutzrichtlinien durch Organisationen, die mit internationalen Partnern zusammenarbeiten.
Die Entscheidung
Das EuG gab dem Kläger recht und stellte fest, dass die Europäische Kommission für die Übermittlung personenbezogener Daten an Meta haftet. Das Gericht begründete dies damit, dass die Kommission durch die Integration des Hyperlinks „Mit Facebook anmelden“ in den „EU Login“-Dienst die Voraussetzung für die Übermittlung von personenbezogenen Daten an Facebook geschaffen habe. Obwohl der Kläger die Anmeldung über Facebook freiwillig gewählt habe, sah das Gericht die Kommission als mitverantwortlich an, da sie keine geeigneten Garantien getroffen habe, um die Datenübermittlung an die USA datenschutzkonform zu gestalten. Insbesondere fehlte ein Angemessenheitsbeschluss der EU für die USA, und es wurden keine Standarddatenschutzklauseln vereinbart.
Das EuG stellte klar, dass die IP-Adresse des Klägers ein personenbezogenes Datum darstellt, da sie ihn identifizierbar macht. Der Verlust der Kontrolle über diese Daten wurde als immaterieller Schaden anerkannt, und der Kläger wurde mit einem Schadenersatz in Höhe von 400 Euro entschädigt.
Praxis-Hinweis
Das Urteil zeigt, dass selbst Institutionen der Europäischen Union nicht vor datenschutzrechtlichen Fehlern gefeit sind. Unternehmen und Organisationen sollten ihren Umgang mit Social-Media-Logins überprüfen. Sie sollten bei der Integration von externen Diensten wie Social-Media-Logins auf die datenschutzrechtlichen Anforderungen achten. Verantwortliche Stellen müssen sicherstellen, dass bei der Übermittlung personenbezogener Daten in Drittländer wie die USA die erforderlichen rechtlichen Garantien vorhanden sind. Angesichts der voraussichtlichen Aufhebung des aktuellen Angemessenheitsbeschlusses durch die EU-Kommission wird es umso wichtiger, alternative Schutzmaßnahmen zu implementieren. Dies kann etwa durch die Verwendung von Standarddatenschutzklauseln oder durch den Abschluss von Vereinbarungen zur Datenverarbeitung geschehen. Fehlen diese, können nicht nur Bußgelder drohen, sondern auch Schadenersatzansprüche. Diese Maßnahmen sind entscheidend, um sowohl rechtliche Komplikationen zu vermeiden als auch das Vertrauen der Nutzer in den Schutz ihrer persönlichen Daten zu gewährleisten.
