Am 8. Januar 2025 fällte das Gericht der Europäischen Union (EuG) ein wegweisendes Urteil in der Rechtssache T-354/22, Bindl gegen Kommission. Das Urteil befasst sich mit der Verarbeitung personenbezogener Daten durch EU-Einrichtungen und wirft wichtige Fragen zur Übermittlung solcher Daten an Drittländer auf. Obwohl dieses Urteil in erster Linie die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und nicht die DSGVO betrifft, ist es für Unternehmen und Einrichtungen, die personenbezogene Daten in der Europäischen Union verarbeiten, von Interesse, da es die Grundprinzipien des Datenschutzes und der Datensicherheit bekräftigt.
Was war passiert?
Der Kläger, Thomas Bindl, ein deutscher Staatsbürger, der sich für Informationstechnologie und Datenschutz interessiert, rief in den Jahren 2021 und 2022 mehrfach die Website der Europäischen Kommission "Conference on the Future of Europe" („https://futureu.europa.eu“) auf. Am 30. März 2022 meldete er sich über sein Facebook-Konto für die Veranstaltung "GoGreen" an und besuchte die Website am 8. Juni 2022 erneut.
Während dieser Aufrufe der Webseite beobachtete der Kläger Verbindungen zu Drittanbietern, insbesondere zu dem in den USA ansässigen Unternehmen Amazon Web Services (AWS). Am 9. November 2021 wandte sich der Kläger per E-Mail an die Kommission und erkundigte sich nach der Verarbeitung und der möglichen Übermittlung seiner personenbezogenen Daten in Drittländer. Die Kommission antwortete am 3. Dezember 2021 und teilte mit, dass seine Daten von AWS EMEA SARL mit Sitz in Luxemburg verarbeitet würden und dass keine Übermittlungen an Empfänger außerhalb der EU stattgefunden hätten.
Am 1. April 2022 schickte der Kläger eine weitere Anfrage, in der er detaillierte Informationen über die Datenverarbeitung und -übermittlung anforderte, einschließlich Kopien seiner von Dritten, wie Facebook, gespeicherten Daten. Die Kommission antwortete am 30. Juni 2022 und wies darauf hin, dass seine Anfrage vom April nahezu identisch mit seiner Anfrage vom November 2021 war, auf die sie bereits geantwortet hatte.
Daher reichte der Kläger am 9. Juni 2022 Klage bei dem EuG mit folgenden Anträgen ein:
- Nichtigerklärung der Übermittlung seiner personenbezogenen Daten an Drittländer, die keinen angemessenen Schutz bieten.
- Feststellung, dass die Kommission es rechtswidrig unterlassen hat, seinem Auskunftsersuchen vom 1. April 2022 nachzukommen.
- Entschädigung in Höhe von 1.200 Euro für den immateriellen Schaden, der durch die Verstöße entstanden ist.
Wie entschied der EuG?
Das Gericht erklärte die Anträge 1 und 2 für unzulässig, ging aber in seinem Urteil auf einige wichtige Fragen zum Antrag 3 ein:
Bedingungen für die Feststellung der außervertraglichen Haftung der EU gemäß der Verordnung 2018/1725
Gemäß Artikel 65 der Verordnung (EU) 2018/1725 haben Einzelpersonen, die aufgrund eines Verstoßes gegen die Verordnung einen materiellen oder immateriellen Schaden erleiden, unter den in Artikel 340 AEUV genannten Bedingungen Anspruch auf Schadenersatz. Die außervertragliche Haftung der Europäischen Union ist gegeben, wenn drei kumulative Bedingungen erfüllt sind: Ein hinreichend qualifizierter Verstoß gegen das EU-Recht, ein tatsächlicher und bestimmter Schaden und ein unmittelbarer Kausalzusammenhang zwischen dem Verstoß und dem Schaden.
Ein hinreichend qualifizierter Verstoß liegt vor, wenn ein EU-Organ die Grenzen seines Ermessens in offensichtlicher und schwerwiegender Weise missachtet. Der Schaden muss tatsächlich und sicher sein, d. h. ein hypothetischer oder unbestimmter Schaden reicht für eine Entschädigung nicht aus. Der Kausalzusammenhang erfordert, dass das Verhalten des Organs die unmittelbare und entscheidende Ursache für den Schaden ist.
Erster Schadensersatzanspruch - immaterieller Schaden aus Verletzung des Auskunftsrechts
Der Kläger beantragte 800 Euro als Ersatz des immateriellen Schadens, der dadurch entstanden sei, dass die Europäische Kommission ihren Verpflichtungen aus der Verordnung 2018/1725 nicht nachgekommen sei. Dies unter anderem, indem sie den Antrag des Klägers vom April 2022 auf Auskunft zu seinen personenbezogenen Daten nicht innerhalb der vorgeschriebenen Frist beantwortet und angeblich unrichtige Informationen über Datenübermittlungen erteilt habe. Er machte geltend, dass dieses Versäumnis ihn daran hinderte, die Kontrolle über seine personenbezogenen Daten auszuüben, was einen immateriellen Schaden darstelle.
Das Gericht erkannte an, dass die Kommission gegen ihre Verpflichtung aus Art. 14 Abs. 4 der Verordnung 2018/1725 verstoßen habe, indem sie die einmonatige Antwortfrist um etwa zwei Monate überschritten hat. Es entschied jedoch, dass der Kläger keinen tatsächlichen und sicheren immateriellen Schaden nachgewiesen habe. Der Kläger habe bereits im Dezember 2021 eine Teilantwort auf einen früheren, im Wesentlichen ähnlichen Antrag erhalten, wodurch die Auswirkungen der Verzögerung gemildert würden. Da der Kläger nicht nachweisen konnte, dass ihm durch die Verzögerung ein unmittelbarer Schaden entstanden war, wies das Gericht die Klage ab und stellte fest, dass eine der kumulativen Voraussetzungen für die Feststellung der außervertraglichen Haftung der EU nicht erfüllt war.
Der zweite Schadensersatzanspruch: Ersatz des immateriellen Schadens aus der Datenübermittlung
Der Kläger beantragte 400 Euro als Ersatz des immateriellen Schadens, der durch die Übermittlung seiner personenbezogenen Daten in die USA in drei verschiedenen Fällen entstanden sein soll: Bei seinem Besuch der Website am 30. März 2022, bei seiner Anmeldung bei EU-Login mit seinem Facebook-Account am selben Tag und bei weiteren Besuchen der Website am 8. Juni 2022. Er machte geltend, dass die Übermittlungen personenbezogener Daten gegen die Verordnung (EU) 2018/1725 und die EU-Grundrechtecharta verstießen, da die USA zum Zeitpunkt dieser Datenübermittlungen keine angemessenen Datenschutzstandards aufwiesen.
Der EuG erläuterte im Urteil den Rahmen für die Übermittlung personenbezogener Daten an Drittländer gemäß Kapitel V der Verordnung 2018/1725. Übermittlungen erfordern entweder einen Angemessenheitsbeschluss der Kommission oder aber angemessene Garantien. Das Fehlen eines Angemessenheitsbeschlusses für die USA zum fraglichen Zeitpunkt im Anschluss an das Urteil in der Rechtssache Schrems II bedeutete für die Verantwortlichen einen zusätzlichen Aufwand, da sie zusätzliche technische und organisatorische Maßnahmen zum Schutz der Datenübermittlungen, einschließlich der sowieso im Rahmen von Standardvertragsklauseln durchgeführten, ergreifen mussten.
Das Gericht stellte fest, dass jedenfalls bei einem Besuch der Website am 30. März 2022 die Daten des Klägers an Server innerhalb der EU übermittelt wurden und keine Übermittlung in die USA stattfand. Der Kläger argumentierte, dass aufgrund der Übermittlung der Daten an eine Tochtergesellschaft des US-Unternehmens AWS die Gefahr bestehe, dass AWS bei Erhalt eines Ersuchens einer US-Überwachungsbehörde zur Übermittlung der Daten an die USA verpflichtet sein könnte. Das Gericht stellte jedoch fest, dass die bloße Gefahr eines Zugriffs der US-Behörden auf diese Daten keine unmittelbare Übermittlung darstellt, so dass mangels Übermittlung kein schwerwiegender Verstoß oder ein Kausalzusammenhang mit einem immateriellen Schaden nachgewiesen wurde.
Am 8. Juni 2022 kam es zwar zu Datenübermittlungen an US-Server – dies war jedoch auf eine technische Manipulation des Klägers zurückzuführen, wodurch der Kausalzusammenhang zwischen den Maßnahmen der Kommission und dem behaupteten Schaden aufgehoben wurde. Schließlich wurden am 30. März 2022 bei der Nutzung des EU-Logins über Facebook Daten an Meta Platforms, das in den USA sitzt, übermittelt, was einen Verstoß gegen Artikel 46 der Verordnung 2018/1725 darstellt, da keine zusätzlichen Garantien im Sinne von Schrems II vorhanden waren. Der Kläger erlitt einen immateriellen Schaden einschließlich der Verunsicherung über die Datensicherheit und erhielt eine Entschädigung von 400 Euro.
Was bedeutet das?
Es ist wichtig, zu berücksichtigen, dass das Urteil nicht direkt die Datenschutzgrundverordnung betrifft. Dennoch kann die Argumentation des EuG wegen des Grundsatzes der Rechtseinheit teilweise auf Fälle angewandt werden, die unter die DSGVO fallen.
Das Urteil unterstreicht die strengen Anforderungen für Datenübermittlungen in Drittländer und betont die Notwendigkeit einer klaren Rechtsgrundlage, solider Garantien und Transparenz. Der für die Übermittlung einer IP-Adresse zugesprochene Schadenersatz in Höhe von 400 Euro stellt einen Präzedenzfall für eine hohe Entschädigung dar und erhöht das Haftungsrisiko für Verantwortliche – dies betrifft sowohl EU-Organe und -Institutionen als auch andere private oder öffentliche Einrichtungen. Das Risiko für Verantwortliche ist in Ländern, in denen Sammelklagen möglich sind, potenziell höher.
In dem Urteil wird jedoch auf mehrere interessanten Punkte nicht ausführlich genug eingegangen. Einige Kommentatoren haben zum Beispiel darauf hingewiesen, dass die Unterscheidung des Gerichts zwischen einer "Übermittlung" und dem bloßen Risiko eines Zugriffs auf personenbezogene Daten durch Drittländer Fragen zur Beweislast in einem Gerichtsverfahren aufwirft. Hierin scheint zudem eine Abweichung von den Ansichten anderer Gerichte und Datenschutzbehörden zu liegen, die in ähnlich gelagerten Fällen das Risiko eines Zugriffs auf die Daten berücksichtigt haben. Die uneinheitliche Bewertung der Handlungen des Antragstellers bei der Durchbrechung der Kausalität bei verschiedenen Datenübermittlungen wirft zudem zwei Fragen auf: Erstens, ob zukünftig die Verantwortlichen eine forensische Analyse durchführen müssen, um die Auswirkungen des Nutzerverhaltens auf die Haftung zu bewerten; zweitens, nach welchen Kriterien der EuG das Nutzerverhalten unterschiedlich bewertet hat. Hier bleibt die Begründung für die unterschiedliche Behandlung der Auswirkungen des Nutzerverhaltens auf die Kausalität oberflächlich und führt mithin zu einer gewissen Rechtsunsicherheit. Es ist jedenfalls wohl zu erwarten, dass die Anforderungen an eine sorgfältige Dokumentation des Sachverhalts steigen werden, unabhängig davon, ob es sich bei der betreffenden Partei um einen Kläger oder einen Beklagten handelt.
Der EuG versäumte es ebenfalls, sich zu den Schutzmaßnahmen zu äußern, die gemäß der Schrems II-Rechtsprechung zusätzlich zur Verwendung von Standardvertragsklauseln erforderlich sind.
Schließlich ging der EuG überhaupt nicht auf eine mögliche gemeinsame Verantwortung der Kommission und von Meta für die Facebook-basierte Authentifizierung ein, so dass trotz früherer Urteile, wie in der Rechtssache Fashion-ID, Unsicherheiten in Szenarien mit gemeinsamem Verantwortlichen bestehen.
Fazit
Insgesamt ist das Urteil ein Weckruf für die Unternehmen, die Einhaltung der Vorschriften betreffend internationale Datenübermittlungen zu verbessern. Lücken in der Urteilsbegründung und den Beweisanforderungen erfordern jedoch weitere Klarheit. Gegen das Urteil kann noch vor dem EuGH Berufung eingelegt werden. Vorerst aber unterstreicht die Entscheidung des EuG eindeutig die datenschutzrechtlichen Verpflichtungen der EU-Organe und anderer Verantwortlicher.
