Schadensersatz für unsichere Datentransfers

Mit Urteil vom 8. Januar 2025 verurteilte das Gericht der Europäischen Union (EuG T-354/22) in erster Instanz die Europäische Kommission einem deutschen Staatsbürger einen Schadensersatz in Höhe von 400 Euro wegen unsicheren Datentransfers zu zahlen.

Der Kläger registrierte sich auf einer Website der Europäischen Kommission für eine Veranstaltung und verwendete hierbei den Authentifizierungsdienst „EU Login“. Hierbei wählte er die Option „Sign in with Facebook“. Dies führte dazu, dass personenbezogene Daten, insbesondere seine IP-Adresse, an den US-amerikanischen Konzern „Meta Platforms, Inc.“ übermittelt wurden.

Das Gericht stellte zunächst fest, dass die Kommission auch bei Verwendung dieser Funktion als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO zu qualifizieren ist. Durch die Integration des Hyperlinks habe sie die Datenübermittlung an Meta ermöglicht, ohne dabei aber die Vorgaben der Art. 44 ff. DSGVO ausreichend zu berücksichtigen.

Insbesondere habe die Kommission versäumt, geeignete Garantien gemäß Art. 46 DSGVO sicherzustellen. Zum Zeitpunkt der Datenübermittlung war das Privacy Shield bereits ungültig und das EU US Data Privacy Framework noch nicht verabschiedet. Daher gab es keinen Angemessenheitsbeschluss für den Transfer. Die Übermittlung erfolgte mithin in einen Drittstaat ohne angemessenes Datenschutzniveau. Die Kommission unternahm keine Anstrengungen, geeignete Schutzmaßnahmen sicherzustellen, die eine Übermittlung hätten rechtfertigen können.

Das Gericht stellte daher fest, dass der Kläger nicht sicher sein könne, wie seine personenbezogenen Daten verwendet würden, was zu einem Gefühl der Unsicherheit über die weitere Verarbeitung führte. Dies stelle einen immateriellen Schaden dar, der dazu führte, dass das Gericht dem Kläger einen Schadensersatzanspruch in Höhe von 400 Euro gegen die Kommission zusprach.

Welche Bedeutung hat das Urteil für die Praxis?

Sollte das Urteil Bestand haben, führt es zu einer Erleichterung für Klagen bei unsicheren Datentransfers.

Zunächst wird deutlich, dass Institutionen und Unternehmen als Verantwortliche für Datenübermittlungen haften, die durch eine Einbindung von externen Plattformen wie Facebook ermöglicht werden. Die Prüfung und Einhaltung datenschutzrechtlicher Vorgaben liegt somit in der Verantwortung des Dienstnutzers.

Auch die Notwendigkeit, Datenübermittlungen in Drittländer gemäß Art. 44 ff. DSGVO abzusichern, wird abermals betont. Standardvertragsklauseln oder andere Garantien sind zwingend erforderlich, um den rechtlichen Anforderungen gerecht zu werden.

Die Schadensbezifferung in Höhe von 400 Euro bei einer Weiterleitung von personenbezogenen Daten, wie der IP-Adresse, unterstreicht einmal mehr die Relevanz des Datenschutzrechts. Bei rechtswidrigen Datenübermittlungen in einen unsicheren Drittstaat haben Unternehmen nun neben dem Bußgeld-Risiko ein erhöhtes Risiko, in der Zukunft vermehrt Schadensersatzklagen aufgrund rechtswidriger Datenübermittlungen in Drittstaaten ausgesetzt zu sein.

Hierbei muss vor allem berücksichtigt werden, dass die Voraussetzungen für eine rechtswidrige Datenübermittlung leicht zu erkennen sind. Die Datentransfers müssen nämlich explizit in den Datenschutzhinweisen benannt sein. Zudem könnten sich nun vermehrt Schadensersatzklagen von sogenannten „professionellen“ Klägern häufen, die Cookies und andere Tools auswerten und dadurch die rechtswidrige Datenübermittlung identifizieren können, da die Summe von 400 Euro im Einzelfall schon zu lohnenden Geschäftsmodellen führen könnte.

Das bedeutet für Webseitenbetreiber, transparente Informationen zu Drittanbietern und Datenübermittlungen in Drittländer bereitzustellen. Die Datenschutzhinweise müssen eindeutig potenzielle Datenübermittlungen sowie ihre rechtliche Grundlage, die betroffenen Daten und potenzielle Risiken darstellen. Es bedarf daher einer dringenden Überprüfung und gegebenenfalls Aktualisierungen der Datenschutzhinweise sowie, falls noch nicht geschehen, Absicherungen der Transfers, um Schadensersatzklagen zu vermeiden.

Fazit

Das Urteil des EuG setzt ein klares Zeichen für die strikte Einhaltung von datenschutzrechtlichen Bestimmungen, insbesondere bei der Nutzung externer Dienste und der Übermittlung personenbezogener Daten in Drittländer. Es unterstreicht die Verantwortung von Unternehmen und Institutionen, proaktiv für Datenschutzkonformität zu sorgen und die Rechte betroffener Personen zu schützen.

Für Unternehmen bedeutet dies: Datenschutz muss ernst genommen werden! Unternehmen, die ihre Prozesse nicht regelmäßig überprüfen und an datenschutzrechtliche Vorgaben anpassen, riskieren neben Bußgeldern vermehrt Schadensersatzforderungen.