Das Gericht der Europäischen Union (EuG) hat heute entschieden, dass einem Webseitenbesucher ein Schadenersatzanspruch zusteht, wenn der Webseitenbetreiber Daten in die USA (jedenfalls für die Jahre 2021 und 2022) transferiert hatte.
Ein Deutscher hatte 2021 und 2022 ausgerechnet eine Webseite der EU-Kommission besucht, zu der man sich zur Veranstaltung „GoGreen“ anmelden konnte. Er hatte sich über diese Website zu „GoGreen“ angemeldet und hierzu den Authentifizierungsdienst „EU Login“ der Kommission verwendet, bei dem er sich für die Anmeldeoption „Mit Facebook anmelden“ entschieden hatte.
Damit hatte die Kommission als Webseitenbetreiber die Voraussetzungen für die Übermittlung der IP-Adresse des Betroffenen an Facebook geschaffen, so das EuG. Die IP-Adresse des Betroffenen gehört zu den personenbezogenen Daten. Sie wurde mit dem Hyperlink „Sign in with Facebook“ an die Meta Platforms, Inc., eine Gesellschaft mit Sitz in den Vereinigten Staaten, übermittelt. Diese Datenübermittlung ist der Kommission zuzurechnen.
Zum Zeitpunkt dieser Datenübermittlung (30. März 2022) gab es aber keinen Kommissions-Beschluss (siehe Art. 45 DSGVO), mit dem festgestellt worden wäre, dass die Vereinigten Staaten für die personenbezogenen Daten der Unionsbürger ein angemessenes Schutzniveau geboten hätten. Die Kommission hat auch nicht dargetan, ja nicht einmal behauptet, dass es eine geeignete Garantie gegeben hätte (siehe Art. 46 DSGVO), etwa eine Standarddatenschutzklausel oder eine Vertragsklausel.
Das EuG hatte dem Kläger den von ihm selbst beantragten Betrag von 400 Euro zugesprochen. Man mag nun denken, dass das ja kein abschreckend hoher Betrag sei für einen DSGVO-Verstoß, aber: Spätestens mit diesem Urteil können unzählige Betroffene nun auch derlei Beträge fordern, was sich zzgl. Anwaltskosten schnell zu horrenden Summen addieren kann.
Wichtig: Der jetzt entschiedene Sachverhalt spielte sich zu einem Zeitpunkt (nämlich März 2022) ab, zu dem es keinen Angemessenheitsbeschluss gemäß Art. 45 DSGVO gegeben hatte; heute ist das der sog. EU-US Data Privacy Framework (bestehend seit Juli 2023), auf den man sich als Datenexporteur stützen kann. Das bedeutet aber auch: Sollte der Europäische Gerichtshof (EuGH) dieses Vertragswerk (wie die beiden Vorgänger-Verträge bereits auch) für unwirksam erklären, wären alle auch derzeitigen Datentransfers (rückwirkend) rechtswidrig!
