SCHAFFLAND/WILTFANG
Datenschutz
digital
Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast
Rechtswidriger Transfer personenbezogener in Drittland  
13.01.2025

EuG: EU Kommission muss einem Internetnutzer Schadenersatz wegen rechtswidriger Übermittlung von personenbezogenen Daten in die USA zahlen

ESV-Redaktion Recht
In dem Fall hat auch die EU-Kommission gegen Regelungen der DSGVO verstoßen (Foto: WrightStudio / stock.adobe.com)
Muss die EU-Kommission für rechtswidrige Datenübermittlungen in die USA einstehen, wenn die Kommission als Organ der Union ihre Pflichten verletzt hat? Diese Frage hat das EuG in einer kürzlich veröffentlichten Entscheidung bejaht.



In dem Streitfall besuchte der deutsche Kläger in den Jahren 2021 und 2022 die Website der „Konferenz zur Zukunft Europas“ (https://futureu.europa.eu/). Betreiber der Seite ist die EU-Kommission.

Der Kläger hatte sich über diese Website zur Veranstaltung „GoGreen" angemeldet. Hierzu benutze er den Authentifizierungsdienst „EU Login" der Kommission mit der Option: „Über Facebook anmelden".

Bei diesem Vorgang wurden dem Kläger zufolge personenbezogene Daten – darunter seine IP-Adresse sowie Browser- und Gerätedaten –  an die Amazon Web Services in den USA übermittelt. Das Unternehmen betreibt das Content Delivery Network „Amazon CloudFront“.
 
Zudem wären Daten des Klägers an das US Unternehmen Meta Platforms, Inc. übermittelt worden – und zwar bei seiner Anmeldung zu der Veranstaltung „GoGreen“. Die Kommission hatte nach dem Vortrag des Klägers als Betreiberin ihrer Seiten keine geeigneten Schutzmaßnahmen getroffen, die die Datenübermittlungen rechtfertigen könnten.
 
Bezüglich seiner personenbezogenen Daten besteht nach weiterer Auffassung des Klägers die Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der USA. Die Kommission habe weder geeigneten Schutzmaßnahmen getroffen noch Gründe benannt, die die Datenübermittlungen rechtfertigen können, so der Kläger weiter. Daher zog er mit einer Klage gegen die EU-Kommission vor das EuG. Im Einzelnen beantragte er: 
  • die Zahlung eines immateriellen Schadenersatzes von 400 Euro aufgrund der rechtswidrigen Datenübermittlungen,
  • die Nichtigkeitserklärung der Übermittlung seiner personenbezogenen Daten,
  • die Feststellung, dass die Kommission es rechtswidrig unterlassen habe, zu seinem Auskunftsantrag Stellung zu nehmen,
  • sowie die Zahlung eines weiteren immateriellen Schadenersatzes von 800 EUR, der ihm durch die Verletzung seines Auskunftsrechts entstanden sein soll.
Der kostenlose Newsletter Recht – Hier können Sie sich anmelden! 
Redaktionelle Meldungen zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps

EuG: Voraussetzungen für Schadenersatz, der durch rechtswidrige Datenübermittlung entstanden ist, liegen vor

Die Klage hatte vor der Sechsten erweiterten Kammer des EuG nur zum Teil Erfolg. Die Kammer hat dem Kläger einen immateriellen Schadenersatz in Höhe von 400 EUR zugesprochen, die Klage aber im Übrigen abgewiesen. Zu den klägerischen Anträgen:  
 
  • Erklärung der Nichtigkeit der Datenübertragungen: Den Antrag auf Nichtigerklärung in Bezug auf die Datenübertragungen wies die Kammer als unzulässig zurück. Der Kammer zufolge sind die Datenübermittlungen keine anfechtbaren Handlungen im Sinne von Art. 263 AEUV.
  • Feststellung der Untätigkeit: Diesen Antrag erklärte die Kammer für erledigt, denn die Kommission hatte nach Klageerhebung auf das Auskunftsersuchen des Klägers reagiert.
  • Schadenersatz: Aufgrund der Datenübermittlung sprach das EuG dem Kläger Schadensersatz in Höhe von 400 EUR zu. Die Kammer meint, dass die Kommission hinreichend qualifiziert gegen eine Rechtsnorm verstoße hat, die dem Einzelnen Rechte verleihen soll.  Zur Zeit der Datenübermittlung, so die Kammer weiter, gab es keinen Beschluss, der festgestellt hat, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten aufweisen. Ebenso wenig habe die Kommission eine Erklärung von Meta (Facebook) über den Umgang mit personenbezogenen Daten eingeholt. Damit hat die Kommission der Kammer zufolge als Organ der EU die Voraussetzungen für die Übermittlung von personenbezogenen Daten an ein Drittland missachtet. Den immateriellen Schaden begründete die Kammer damit, dass sich der Kläger nicht sicher sein kann, wie seine personenbezogenen Daten in den USA weiterverbreitet werden. Das gilt vor allem für die IP-Adresse. Zu diesem Schaden und dem von der Kommission begangenen Verstoß sieht die Kammer auch einen unmittelbaren und hinreichenden Kausalzusammenhang. Damit liegen insoweit die Voraussetzungen für eine außervertragliche Haftung der EU vor.
  • Kostentragung: Zu den Kosten des Rechtsstreits entschied die Kammer, dass die Kommission ihre eigenen Kosten sowie die Hälfte der Kosten des Klägers tragen muss. Auf der Hälfte seiner eigenen Kosten bleibt der Kläger allerdings sitzen.
Gegen Entscheidung des EuG ist ein Rechtsmittel zum EuGH möglich. Dieses beschränkt sich jedoch auf reine Rechtsfragen.
 
Quelle: PM des EuGH vom 08.01.2025 zum Urteil des EuG vom 08.01.2025 – T-354/22

 


PinG Privacy in Germany

Herausgeber: Prof. Niko Härting

Bitte beachten Sie: eJournals werden für Sie persönlich lizenziert. Sprechen Sie uns zu Mehrfachlizenzen für eJournals gerne an – Telefon (030) 25 00 85-295/ -296 oder KeyAccountDigital@ESVmedien.de.

Datenschutz in allen Farben: Künstliche Intelligenz und digitale Technologien fordern den Datenschutz völlig neu heraus. Doch halten auch klassische Spannungsfelder zwischen Datenschutz und Datennutzung, Sicherheit und Privatsphäre, europäischen Standards und einer immer stärker vernetzten Welt das Rechtgebiet immer neu in Bewegung. PinG nimmt das facettenreiche Geschehen für Sie in den Blick.

  • PinG erweitert Horizonte und bietet Rechts- und Datenschutzprofis aus aller Welt ein meinungsstarkes Forum über ein breites, fachübergreifendes Themenspektrum.
  • PinG teilt neue Ideen juristischer Vordenker und digitaler Entrepreneure, lesen Sie aktuelle Perspektiven aus Rechtspolitik und der betrieblichen Praxis, aus Aufsichts- und Verbrauchersicht.
  • PinG ist erstklassig beraten durch einen hochkarätig besetzten Fachbeirat und die enge Zusammenarbeit mit der Stiftung Datenschutz.

Wir laden Sie herzlich ein, die PinG gratis kennen zu lernen – und dabei auch im umfangreichen Online-Archiv mit allen Ausgaben seit 2013 zu stöbern.

PinG bleibt im Gespräch: Hören Sie auch in den PinG-Podcast „Follow the Rechtsstaat“ mit Prof. Niko Härting und Dr. Stefan Brink rein, die Fragen zum Datenschutz, zu Grund- und Bürgerrechten in einer bewegten Zeit gemeinsam mit ihren namhaften Gästen ausleuchten.

  
Verlagsprogramm    Weitere Nachrichten aus dem Bereich Recht   

 (ESV/bp)

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2025 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
PinGdigital        Erich Schmidt Verlag