Datentransfers an amerikanische Unternehmen führen seit Jahren zu Rechtsstreitigkeiten von EU-Bürgern mit der Europäischen Kommission. Grund dafür sind die unterschiedlichen Standards zum Datenschutz in Europa und in den Vereinigten Staaten. Es gibt die Sorge, Daten von EU-Bürgern seien in den USA nicht sicher, etwa vor einer Ausspähung durch amerikanische Geheimdienste. Nun hat der Gerichtshof der Europäischen Union (EuGH) die EU-Kommission wegen der Übermittlung personenbezogener Daten eines deutschen Bürgers und Datenschutzaktivisten an den Internetkonzern Meta verurteilt (Rechtssache T-354/22).
Die Brüsseler Behörde habe die rechtlichen Voraussetzungen für den Datentransfer nicht beachtet, rügte der EuGH. Zum Zeitpunkt der Datenübermittlung im März 2022 habe es keinen Beschluss gegeben, dass personenbezogene Daten von EU-Bürgern in den USA angemessen geschützt seien. Die Kommission habe nicht einmal behauptet, dass es eine geeignete Garantie gäbe. Vielmehr hätten „schlicht und einfach“ die Nutzungsbedingungen der Meta-Tochter Facebook gegolten.
Einen früheren Übermittlungsbeschluss der Kommission hatte der EuGH 2020 wegen unzureichenden Schutzniveaus für unwirksam erklärt. Den aktuellen Kommissionsbeschluss zum Datentransfer in die USA gibt es erst seit 2023, aber auch dagegen läuft wieder eine Klage vor dem EuGH.
400 Euro an einen Kläger
In dem nun entschiedenen Rechtsstreit hatte der Kläger die Internetseite der Kommission zur Zukunft Europas besucht und sich zu einer Veranstaltung („Go Green“) angemeldet. Dabei wurde die IP-Adresse des Klägers mit dem Hyperlink „Sign in with Facebook“ an Meta übermittelt. Der Kläger könne nicht sicher sein, wie seine personenbezogenen Daten von Meta genutzt würden, stellte der EuGH fest. Für diesen immateriellen Schaden müsse die EU-Kommission ihm, wie beantragt, 400 Euro zahlen.
Erfolglos blieb hingegen der Antrag des Klägers auf Schadenersatz in Höhe von 800 Euro wegen Datenübertragungen an Amazon in den Vereinigten Staaten. Dazu teilte der EuGH mit, bei einer streitigen Verbindung mit dem Dienst „Amazon Cloud Front“ seien die Daten nur an einen Server in München übermittelt worden. Bei einer anderen Verbindung habe sich der Kläger als jemand ausgegeben, der sich in den USA befinde.
Geklagt hatte der Datenschutzaktivist Thomas Bindl, Gründer und Geschäftsführer der Europäischen Gesellschaft für Datenschutz. Die EuGD ist eine Plattform, die nach eigener Darstellung anwaltliche Unterstützung bei der Durchsetzung von Schadenersatzansprüchen nach der Datenschutzgrundverordnung vermittelt.