Normalerweise kümmert sich die EU-Kommission um die Einhaltung datenschutzrechtlicher Vorschriften. Doch wegen der Einbindung eines „Sign in with Facebook“-Buttons muss die EU-Kommission nun Schadenersatz zahlen.
Die EU-Kommission kennt sich mit der Verhängung von Geldbußen aus – ist sie doch die Institution in der Europäischen Union, die diese normalerweise gegenüber großen Tech-Unternehmen verhängt. Doch nun wird die EU-Kommission nach einem Urteil eines EU-Gerichts selbst zur Kasse gebeten.
Nach dem Urteil muss die EU-Kommission einem Kläger Schadensersatz zahlen, da sie personenbezogene Daten an Facebook in den USA übermittelt hat. Grund hierfür war ein simpler „Sign in with Facebook“-Button auf einer von der Kommission betriebenen Website.
EU-Kommission muss Schadenersatz zahlen
Im Zentrum der Klage steht die Website für die Konferenz zur Zukunft Europas, die von der EU-Kommission betrieben wurde. Der Kläger hatte diese Website in den Jahren 2021 und 2022 besucht und sich außerdem für eine Veranstaltung angemeldet.
Hierfür nutzte er die Option „Mit Facebook anmelden“ über den Dienst „EU Login“. Doch genau hier liegt das Problem. Denn durch die Nutzung des „Sign in with Facebook“-Buttons gelangten personenbezogene Daten von ihm an den Facebook-Mutterkonzern Meta.
Übermittelt wurden dabei unter anderem die IP-Adresse des Klägers sowie Browser- und Geräteinformationen. Da es laut dem Kläger in den USA kein angemessenes Schutzniveau gebe und es für die Übermittlung der Daten keine Rechtfertigung gegeben habe, forderte er Schadenersatz von der EU-Kommission.
Die ihn betreffenden Daten seien aufgrund der streitigen Datenübermittlungen der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt gewesen.
Durch die Übermittlung seiner personenbezogenen Daten sei ihm ein immaterieller Schaden entstanden. „Er sei nämlich um seine Rechte und Freiheiten gebracht und daran gehindert worden, die ihn betreffenden Daten zu kontrollieren“, heißt es im Urteil des EU-Gerichts.
Kläger bekommt in Teilen Recht
Mehrere Anträge des Klägers hat das EU-Gericht zwar zurückgewiesen. Den Schadenersatz für den immateriellen Schaden in Höhe von 400 Euro muss die EU-Kommission jedoch zahlen.
Denn das Gericht hat festgestellt, dass die EU-Kommission durch die Bereitstellung des „Sign in with Facebook“-Buttons die Voraussetzungen für die Übermittlung personenbezogener Daten in die USA geschaffen hat. Dabei habe es die EU-Kommission versäumt, angemessene Garantien vorzusehen, da kein Angemessenheitsbeschluss für die USA zu dem Zeitpunkt vorlag.
Eine weitere Schadenersatzklage hat das EI-Gericht
jedoch zurückgewiesen. Hierbei ging es um die Übermittlung personenbezogener Daten über den Dienst „Amazon CloudFront“.
Hierbei konnte jedoch nachgewiesen werden, dass die Daten entweder die EU nicht verlassen haben oder aufgrund technischer Einstellungen des Klägers selbst in die USA gelangt waren.
Auch interessant:
