Die Europäische Kommission muss einem Mann aus Deutschland Schadensersatz zahlen, weil seine Daten nach einer Anmeldung auf einer von ihr betriebenen Website an den Facebook-Konzern Meta geflossen sind, entschied das EuG am Mittwoch (Urteil vom 08.01.2025 - T-354/22).
Der Mann hatte mehrmals die von der Kommission betriebene Website der "Konferenz zur Zukunft Europas" besucht und sich darüber auch für die Veranstaltung "GoGreen" angemeldet. Bei der Anmeldung hatte er den Authentifizierungsdienst "EU Login" genutzt und sich dabei für die dort vorgeschlagene Anmeldeoption "Mit Facebook anmelden" entschieden.
Übermittlung von Daten an Amazon und Meta
Weil er der Meinung war, dass durch die Besuche der Website seine personenbezogenen Daten an Empfänger in den Vereinigten Staaten übermittelt worden wären, verklagte er die Kommission schließlich auf Schadensersatz. So seien seine IP-Adresse, Browser- und Geräteinformationen an das amerikanische Unternehmen Amazon Web Services übermittelt worden. Dieses betrieb die "Amazon CloudFront", worüber die Website lief. Auch seien Informationen bei der Anmeldung zur Veranstaltung über sein Facebook-Konto an Meta übermittelt worden.
Der Mann sah sich daher der Gefahr von Zugriffen der Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt, weil die USA kein angemessenes Datenschutzniveau böten und forderte hierfür 400 Euro immateriellen Schadensersatz. Weitere 800 Euro forderte er, weil die Kommission nicht zu seinem Auskunftsantrag Stellung genommen habe. Zudem verlangte er, festzustellen, dass die fehlende Stellungnahme rechtswidrig war, und die Übermittlung der ihn betreffenden Daten "für nichtig" erklären zu lassen, wie das Gericht seinen Antrag wiedergibt.
Kommission hatte keine Zusicherung von Meta über Umgang mit Daten
Mit einem Großteil der Anträge drang er beim EuG nicht durch. Allerdings gab ihm das Gericht im Hinblick auf die Weiterleitung der Daten an Meta recht und bejahte eine außervertragliche Haftung der Kommission. Diese habe mit dem Hyperlink "Sign in with Facebook" die Voraussetzungen für eine Übermittlung personenbezogener Daten an den Facebook-Konzern geschaffen. Damit sei ihr die Datenübermittlung zuzurechnen.
Zum Zeitpunkt der Datenübermittlung habe es keinen Beschluss gegeben, mit welchem festgestellt worden wäre, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten böten. Die Kommission habe ferner auch nicht dargelegt, von Meta irgendeine Zusicherung über den Umgang mit den Daten eingeholt zu haben. Somit habe die Kommission die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ der Union nicht beachtet.
Das EuG stellte neben diesem Verstoß auch einen immateriellen Schaden des Betroffenen fest, den die Kommission verursacht habe. Er könne sich nicht sicher sein, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet worden seien (Urteil vom 08.01.2025 - T-354/22).