Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 01/25

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
17. Januar 2025

Rechtswidrige Datentransfers in die USA

Datentransfer in die USA hier symbolisiert durch ein Kabel in dem bunte Streifen und Code zu sehen sind
Bild: style-photography / iStock / Getty Images Plus
0,00 (0)
drucken
Inhalte in diesem Beitrag
400 € Schadensersatz für eine einzige Übermittlung
Am 10.7.2023 hat die Europäische Kommission ihren Beschluss betreffend die Angemessenheit des Schutzniveaus für personenbezogene Daten bei Beachtung des „Datenschutzrahmens EU-USA“ erlassen. Ein Urteil des Gerichts der Europäischen Union erster Instanz (EuG) zeigt, welche Schadensersatzforderungen Unternehmen drohen könnten, falls der EuGH diesen Beschluss irgendwann „kippen“ sollte.

➧ Bisher gab es drei Anläufe der EU-Kommission

Die Europäische Kommission kann durch einen „Angemessenheitsbeschluss“ förmlich feststellen, dass ein „Drittland“, also ein Land außerhalb der EU, ein angemessenes Datenschutzniveau aufweist. Dies hat die EU-Kommission für die USA bisher dreimal getan. und ist bisher zweimal damit gescheitert:

  • Vom 26. Juli 2000 datiert der Angemessenheitsbeschluss der EU-Kommission für „Safe Harbor“. Diesen Beschluss hat der EuGH mit seinem Urteil „Schrems I“ (Aktenzeichen C-362/64) am 6. Oktober 2015 für nichtig erklärt.
  • Dem nächsten Angemessenheitsbeschluss vom 12.7.2016 für das „Privacy Shield“ erging es nicht besser. Mit seinem Urteil „Schrems II“ vom 16.7.2020 (Aktenzeichen C-311/18) hat der EuGH auch diesen Beschluss für nichtig erklärt.
  • Im Augenblick stützen sich viele Datenübermittlungen in die USA auf den Angemessenheitsbeschluss der EU-Kommission für den „Datenschutzrahmen EU-USA“ („Data Privacy Framework“) vom 10.7.2023. Ob er bei einer etwaigen Überprüfung durch den EuGH Bestand hätte, beurteilen Fachleute unterschiedlich.

➧ Das war die Rechtslage vom 16.7.2020 bis 10.7.2023

In der Zeit zwischen dem Urteil „Schrems II“ vom 16.7.2020 und dem Angemessenheitsbeschluss für das „Data Privacy Framework“ vom 10.7.2023 gab es keinen Angemessenheitsbeschluss, auf den Datenübermittlungen in die USA hätten gestützt werden können. Solche Datenübermittlungen waren in diesem Zeitraum daher nur zulässig, wenn es dafür eine andere Rechtsgrundlage gab. Dennoch machten zahlreiche Unternehmen und Behörden nach dem EuGH-Urteil „Schrems II“ einfach weiter, als wäre nichts geschehen.

➧ Die EU-Kommission bleibt offen für Facebook

Entsprechend verhielt sich die EU-Kommission. Sie setzte auf einer größeren Zahl ihrer Webseiten den Authentifizierungsdienst „EU Login“ weiterhin in der bisher gewohnten Form ein. Dazu gehörte es, dass dort unter anderem die Möglichkeit einer Anmeldung über ein Facebook-Konto angeboten wurde. Eine solche Anmeldung setzte voraus, dass dabei die „notwendigen Cookies“ von Facebook akzeptiert wurden. Facebook gehört Meta Platforms, einer Gesellschaft mit Sitz in den USA. Facebook hatte sich für das – nunmehr nichtige – „Privacy Shield“ zertifiziert.

➧ Konkret geht es um die Situation am 30.3.2022

Am 30.3.2022 meldete sich der Kläger, Herr Thomas Bindl aus München, über die EU-Webseite „Konferenz zur Zukunft Europas“ zu einer Veranstaltung mit dem Titel „Go Green“ an. Dies tat er über den auf dieser Webseite angebotenen Dienst „EU Login“. Unter den Anmeldeoptionen, die er dort auswählen konnte, entschied er sich für die Möglichkeit, sein Facebook-Konto zu verwenden. Dazu klickte er den Hyperlink „Sign in with Facebook“ an. Dies führte unter anderem dazu, dass seine IP-Adresse an Facebook übermittelt wurde.

➧ Der Kläger verlangt Schadensersatz

Der Kläger fordert von der EU-Kommission Schadensersatz in Höhe von 400 €. Er ist der Auffassung, dass ihm ein immaterieller Schaden entstanden sei. Dieser Schaden beruhe darauf, dass es zu einer unzulässigen Übermittlung seiner IP-Adresse und weiterer Daten in die USA gekommen sei. Dies habe zur Folge gehabt, dass er die Kontrolle über die übermittelten Daten verloren habe. Ein gültiger Angemessenheitsbeschluss der EU-Kommission für die USA habe am 30.3.2022 nicht bestanden. Da die EU-Kommission die Anmeldung über ein Facebook-Account ermöglicht habe, müsse sie sich die Übermittlung der Daten in die USA zurechnen lassen.

➧ Die Rechtsgrundlage wirkt zunächst etwas speziell

Was manche überraschen dürfte: Auf die DSGVO kann der Kläger seinen Anspruch jedenfalls nicht stützen. Für die Verarbeitung von personenbezogenen Daten durch Organe und Einrichtungen der EU, wie die EU-Kommission, gilt die DSGVO nämlich nicht (siehe Art. 2 Abs. 3 DSGVO). Für solche Verarbeitungen gibt es eine eigene EU-Verordnung, nämlich die Verordnung (EU) 2018/1725. Sie hat die frühere Verordnung (EG) Nummer 45/2001 ersetzt, die in Art. 2 Abs. 3 DSGVO noch genannt ist.

➧ Es ist dennoch alles auf die DSGVO übertragbar

Die Verordnung (EU) 2018/1725 gibt in ihrem Art. 65 einen Anspruch auf Schadensersatz. Wichtig dabei:

  • Inhaltlich stimmt diese spezielle Verordnung in allen wesentlichen Punkten mit der DSGVO überein.
  • Das gilt auch, was die Voraussetzungen für die Gewährung von Schadensersatz angeht. Art. 82 DSGVO, der das Recht auf Schadensersatz regelt, hat dieselbe inhaltliche Struktur wie Art. 65 der speziellen Verordnung.
  • Beide Verordnungen sind nach denselben Maßstäben auszulegen (so ausdrücklich Rn. 18 des Urteils).
  • Daraus folgt für die Praxis: Die Ausführungen des Gerichts im vorliegenden Fall sind voll auf die Situation von Unternehmen übertragbar, die der DSGVO unterliegen.

➧ Das EuG bejaht einen Anspruch auf Schadensersatz

Dass der Kläger vom Grundsatz her einen Anspruch auf Schadensersatz hat, bejaht das Gericht mit recht knappen Überlegungen:

  • Die EU-Kommission hat die Voraussetzungen dafür geschaffen, dass die IP-Adresse des Klägers an Facebook übermittelt wurde. Denn sie hat die Anmeldeoption „Sign in with Facebook“ auf ihrer Internetseite aktiv angeboten. Durch das Anklicken dieser Option wurde die IP-Adresse des Klägers an Facebook übermittelt. Verhindern konnte er dies bei der Nutzung dieser Anmeldeoption nicht.
  • Die IP-Adresse des Klägers gehört zu seinen personenbezogenen Daten. Dies gilt auch dann, wenn es sich um eine sogenannte „dynamische IP-Adresse“ gehandelt hat. Denn in jedem Fall war die IP-Adresse zum Zeitpunkt des Aufrufs der Webseite exklusiv dem Kläger zugewiesen.
  • Als der Kläger die Webseite am 30. März 2022 aufrief, gab es für Datenübermittlungen in die USA keinen Angemessenheitsbeschluss der EU-Kommission.
  • Damit fehlte es an einer Rechtsgrundlage für die Übermittlung der IP-Adresse des Klägers an Facebook in die USA.
  • Das stellt einen Datenschutzverstoß dar.
  • Aufgrund dieses Verstoßes kann der Kläger nicht mehr sicher sein, wie seine personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Darin liegt für ihn ein Schaden.

➧ Die 400 € stehen einfach im Raum

Dazu, warum das Gericht einen Schadensersatz in Höhe von 400 € für angemessen hält, findet sich im Urteil (siehe Rn. 199 des Urteils) gerade einmal ein einziger Satz: „Unter den Umständen des vorliegenden Falles hält das Gericht wegen des immateriellen Schadens, den die Kommission verursacht hat, eine Entschädigung in Höhe von 400 € für angemessen.“

Dass das Gericht dem Kläger nicht mehr gönnt, lässt sich leicht erklären. Der Kläger hatte lediglich Schadensersatz in Höhe von 400 € gefordert (siehe Rn. 87 des Urteils). Deshalb bestand für das Gericht keine Möglichkeit, ihm einen höheren Betrag zuzusprechen.

Das Gericht hätte jedoch einen geringeren Betrag als Schadensersatz festlegen können. Warum es dies nicht getan hat, bleibt offen. Dazu findet sich im Urteil kein Wort.

➧ Das Urteil ist ein klarer Warnschuss

Zahlreiche Unternehmen hatten in der Vergangenheit Datenübermittlungen in die USA auf den Angemessenheitsbeschluss zum „Privacy Shield“ gestützt. Als der EuGH diesen Beschluss in seinem Urteil „Schrems II“ am 16.7.2020 mit sofortiger Wirkung für nichtig erklärte, standen viele dieser Unternehmen vor einem Dilemma. Einerseits waren sie für ihren Geschäftsbetrieb auf die Datenübermittlungen in die USA angewiesen. Andererseits hatten sie, was die nötige Rechtsgrundlage dafür angeht, neben dem „Privacy Shield“ keinen Plan B. Genauso war es bei der EU-Kommission. Die Quittung dafür hat sie durch das vorliegende Urteil erhalten.

Niemand weiß, wie es mit dem Angemessenheitsbeschluss zum „Datenschutzrahmen EU-USA“ (“Data Privacy Framework“) weitergeht. Für alle Unternehmen, die Datenübermittlungen in die USA auf ihn stützen, folgt daraus eine klare Lehrer für die Zukunft:  Sorgen Sie rechtzeitig für einen Plan B!

➧ Standarddatenschutzklauseln sind ein guter Plan B

An zahlreichen Stellen des Urteils geht das Gericht darauf ein, dass die EU-Kommission auf Standard-Datenschutzklauseln hätte zurückgreifen können (siehe vor allem Rn. 192, die zusätzlich auf die Rn. 102-104 verweist). Mit einem bildlichen Vergleich, der auf die Bibel zurückgreift, kann man bei den Ausführungen des Gerichts fast schon von „Zeichen an der Wand“ sprechen, die überdeutlich sind. Im Klartext: Sollte das „Data Privacy Framework“ irgendwann einmal vom EuGH für nichtig erklärt werden, kann kein Verantwortlicher vor den Gerichten mit Nachsicht rechnen, wenn er auf einen entsprechenden Plan B verzichtet hat und trotzdem „einfach weitermacht“.

➧ Hier ist das Urteil zu finden

Das Urteil des Europäischen Gerichts (EuG) vom 8. Januar 2025 trägt das Aktenzeichen T-354/22. Es ist hier auf der Seite des Europäischen Gerichtshofs (EuGH) abrufbar. Die Ausführungen, die zum Schadensersatz in Höhe von 400 € geführt haben, finden sich in den Rn. 165-200.

➧ Deshalb ist der Kläger im Urteil genannt

Den Name des Klägers Thomas Bindl und seinen Wohnort München hat das Gericht nicht anonymisiert. Daraus ist zu erschließen, dass der Kläger mit der Nennung seines Namens und seines Wohnorts einverstanden war. Ansonsten wäre das Gericht anders verfahren. Ob – ähnlich wie bei den Entscheidungen „Schrems I“ und „Schrems II“ – das Urteil künftig in der Rechtsliteratur mit dem Stichwort „Bindl“ versehen wird, bleibt abzuwarten.

➧ Das ist der Unterschied von EuGH und EuG

Der „Gerichtshof der Europäischen Union“ besteht aus zwei Gerichten, die zusammen diesen Gerichtshof bilden:

  • „Gericht der Europäischen Union“. Es wird abgekürzt als „EuG“. In den Rechtsquellen des EU Rechts wird es schlicht als „Gericht“ bezeichnet. Eine früher im EU-Recht verwendete Bezeichnung war „Gericht Erster Instanz“.
  • „Europäischer Gerichtshof“. Er wird abgekürzt als „EuGH“. Er ist das oberste Gericht der EU.

Manche Rechtsstreitigkeiten sind im EU-Recht direkt dem EuGH zugewiesen. Außerdem hat er die Funktion, Entscheidungen des EuG auf Rechtsfehler zu überprüfen, wenn gegen eine solche Entscheidung ein Rechtsmittel zum EuGH eingelegt wird.

Zu einer gewissen Verwirrung führt es immer wieder, dass sowohl für den „Europäischen Gerichtshof“ als auch für den „Gerichtshof der Europäischen Union “ die identische Abkürzung „EuGH“ üblich ist.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Drittland EuGH Urteil
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Verwandte Beiträge
07. Januar 2025
Junge Frau mit Locken spricht lachend in ihr Headset
Bild: Zero Creatives / iStock / Getty Images

Mitbestimmung bei Headsets

Urteil
Betriebsrat EuGH Urteil
03. Januar 2025
DP+
Die gemeinsame Verantwortlichkeit (Joint Controllership) ist von der Alleinverantwortlichkeit wie auch von der Auftragsverarbeitung abzugrenzen. Datenschutzbeauftragte sollten diese Unterschiede kennen.
Bild: iStock.com/ismagilov

Joint Controllership: Ja oder nein?

Ratgeber
EuGH Urteil
02. Januar 2025
DP+
Ein Gerät namens Orb, das aussieht wie eine silberne Kugel, prüft mittels KI, ob ein Mensch vor ihm steht. Dann erzeugt es aus Fotoaufnahmen die Iris-Codes für die World-ID-Registrierung.
Bild: Andreas Sachs

Datenschutzprüfung der Technik Worldcoin

Analyse
Cybersicherheit EuGH KI
10. Dezember 2024
Ein Detektiv schaut durch eine Lupe
Bild: kuppa_rock/iStock/Getty Images Plus

Detektiv-Überwachung von Beschäftigten

Urteil
Urteil
25. November 2024
Falsche Aussage einer KI: Hier symbolisiert durch einen humanoiden Roboter, der sich, während er Daten analysiert, an der Stirn kratzt.
Bild: NanoStockk / iStock / Getty Images Plus

Unterlassungsverfügung bei falscher Aussage einer KI

Urteil
KI Urteil
weitere Beiträge laden

Kommentar abgeben

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.