US-Datenübermittlung an Meta

EU-Kommission muss 400 Euro Schadensersatz zahlen

Prof. Christian Solmecke

08. Januar 2025

Home › News › Internetrecht › Datenschutzrecht › US-Datenübermittlung an Meta: EU-Kommission muss 400 Euro Schadensersatz zahlen

EU-Kommission bot Funktion „Mit Facebook anmelden“ an
EuG verurteilt Kommission zu 400 Euro Schadensersatz
Rundum-Datenschutz im Abo
Weitere Ansprüche abgewiesen

Die EU-Kommission muss einem Deutschen 400 Euro Schadensersatz zahlen, da sie rechtswidrig personenbezogene Daten des Mannes in die USA transferiert hatte. Der Mann hatte sich auf einer inzwischen nicht mehr aufrufbaren Seite über die Opton „Mit Facebook anmelden“ angemeldet. Da es jedoch keinen Beschluss gegeben habe, der ein angemessenes Schutzniveau in den USA bestätigte, müsse die Kommission nun den Schaden kompensieren, so das EuG.

Die Europäische Kommission wurde vom Gericht der Europäischen Union (EuG) dazu verurteilt, einem Besucher ihrer Website 400 Euro Schadenersatz zu zahlen, da dessen IP-Adresse ohne angemessene Schutzmaßnahmen an die Facebook-Muttergesellschaft Meta Platforms, Inc. in die USA übermittelt wurde. Das EuG in Luxemburg entschied, dass der Betroffene einen immateriellen Schaden erlitten habe, da er nicht sicher sein könne, wie seine Daten verarbeitet würden (Az. T-354/22).

EU-Kommission bot Funktion „Mit Facebook anmelden“ an

Der Fall betrifft die mittlerweile nicht mehr erreichbare Website der „Konferenz zur Zukunft Europas“ (futureu.europa.eu). Der Kläger, ein in Deutschland lebender EU-Bürger, besuchte die Seite in den Jahren 2021 und 2022 und meldete sich über den Authentifizierungsdienst „EU Login“ der Kommission zu einer Veranstaltung an, wobei er sich für die Option „Mit Facebook anmelden“ entschied.

Er argumentierte, dass ihn betreffenden personenbezogenen Daten, insbesondere die IP-Adresse sowie Browser- und Geräteinformation, zum einen an das amerikanische Unternehmen Amazon Web Services übermittelt worden seien, welches das Content Delivery Network „Amazon CloudFront“ betreibe, über das die betreffende Website laufe. Zum anderen seien seine Daten an das amerikanische Unternehmen Meta Platforms, Inc. übermittelt worden, nämlich bei seiner Anmeldung zu der Veranstaltung „GoGreen“ über sein Facebook-Konto.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Datenpanne! So reagiert ihr richtig bei Datenschutzverstößen – DSGVO einfach erklärt

Die USA hätten aber kein angemessenes Schutzniveau. Die ihn betreffenden personenbezogenen Daten seien deshalb der Gefahr eines Zugriffs durch die US-Geheimdienste ausgesetzt. Die Kommission habe auch keine geeigneten Schutzmaßnahmen genannt, die die Datenübermittlungen rechtfertige. Er verlangte daher die Zahlung von 400 Euro als Ersatz seines durch die Datenübermittlungen entstanden immateriellen Schadens.

EuG verurteilt Kommission zu 400 Euro Schadensersatz

Das EuG verurteilte die Kommission nun zur Zahlung des geforderten Schadensersatzes von 400 Euro. Die Kommission habe durch die Bereitstellung des „Mit Facebook anmelden“-Links die Übermittlung der IP-Adresse des klagenden Nutzers an Meta ermöglicht.

Zum Zeitpunkt der Übermittlung im März 2022 habe es auch keinen Beschluss gegeben, der ein angemessenes Schutzniveau in den USA bestätigte. Auch seien keine geeigneten Garantien wie Standarddatenschutzklauseln vorgelegt worden. Vielmehr hätten lediglich die Nutzungsbedingungen von Facebook gegolten.

Daher, so das EuG, habe die Kommission die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland nicht ausreichend beachtet. Dies sei der Kommission auch zuzurechnen und sie habe so gegen geltendes Recht verstoßen. Auch habe der deutsche Kläger einen immateriellen Schaden erlitten. Er befinde sich nämlich in einer Lage, in der er nicht sicher sein könne, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet würden.

Neu für Unternehmen 🔥

Rundum-Datenschutz im Abo

Vermeiden Sie hohe Datenschutz-Bußgelder & Abmahnungen.
Mit unseren Datenschutz-Paketen ab 711 € mtl.

✓ Rechtssicherheit
✓ Abmahnschutz
✓ Persönliche Betreuung im Ernstfall

Die Anforderungen an den Datenschutz wechseln ständig: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Bleiben Sie mit dem wöchentlichen Datenschutz-Update unserer Datenschutzpakete immer einen Schritt voraus. Mit dem Abmahnkostenschutz bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind.

Pakete entdecken →

Weitere Ansprüche abgewiesen

Die Klage des Mannes hatte jedoch nur teilweise Erfolg. Er hatte zudem auch die Übermittlung seiner Daten an das US-Unternehmen Amazon Web Services, bemängelt, welches die Website über sein Content Delivery Network „Amazon CloudFront“ betrieb. Hier stellte das EuG fest, dass die Daten in diesem Fall nicht in die USA, sondern an einen Server in München übermittelt worden seien. Die Kommission habe hier vertraglich mit Amazon Web Services EMEA SARL vereinbart, dass die Daten im Ruhezustand und bei der Übermittlung in Europa verbleiben sollten. Eine einmalige Weiterleitung von Daten an Server in den USA sei hier auf das Verhalten des Mannes selbst zurückzuführen, da dieser durch technische Einstellungen vorgegeben habe, sich in den USA zu befinden.

Ebenfalls wurde sein Antrag abgewiesen, ihm weitere 800 Euro Schadensersatzersatz zuzusprechen, weil die Kommission es rechtswidrig unterlassen habe, zu seinem Antrag auf Auskunft Stellung genommen zu haben. Der behauptete immaterielle Schaden liege nach Auffassung des EuG nicht vor.