Januar 2025 Blog

EU-Kommiss­ion zu 400 Euro Schadens­ersatz verur­teilt

Am 8. Januar 2025 entschied das Gericht der Europäischen Union (EuG) in der Rechtssache T-354/22, Thomas Bindl gegen die Europäische Kommission. Das Urteil ergänzt eine Reihe von wegweisenden Gerichtsentscheidungen zu Schadensersatzansprüchen bei Datenschutzverletzungen und zeigt Haftungsrisiken für Webseitenbetreiber bei Datenübermittlungen an Drittländer auf. 

Hintergrund 

Herr Thomas Bindl, ein deutscher Staatsbürger mit Interesse an Informatik und Datenschutz, besuchte in den Jahren 2021 und 2022 mehrfach die Website der Konferenz zur Zukunft Europas, die von der Europäischen Kommission betrieben wird. Für die Bereitstellung der Inhalte der Website greift die EU-Kommission auf „Amazon CloudFront“ als Inhaltszustellnetz zurück. Anbieterin von Amazon CloudFront ist die AWS EMEA, eine in Luxemburg ansässige Tochtergesellschaft der amerikanischen Amazon.com, Inc.. Herr Bindl meldete sich am 30. März 2022 zu der auf der Website der Konferenz zur Zukunft Europas angebotenen Veranstaltung „GoGreen“ an. Bei der Anmeldung wurde er zu dem Authentifizierungsdienst „EU Login“ weitergeleitet, wo er sich über sein Facebook-Konto anmeldete. Dies führte dazu, dass seine IP-Adresse an Facebook übermittelt wurde. Bei einem weiteren Besuch der Website am 08. Juni 2022 wurde die IP-Adresse von Herrn Bindl an Amazon-Server in den USA übermittelt. 

Klage auf Nichtigerklärung und Schadensersatz 

Thomas Bindl erhob Klage und beantragte unter anderem die Nichtigerklärung etwaiger Übermittlungen seiner personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau. Außerdem forderte er Ersatz für den immateriellen Schaden, der ihm durch die angebliche Übermittlung seiner personenbezogenen Daten entstanden sei. Insoweit machte er geltend, dass er die Kontrolle über die übermittelten Daten verloren habe. 

Das Urteil des EuG 

Das Urteil enthält klare Aussagen zur Einbindung von Drittanbieter-Diensten auf Webseiten: Wer durch Einbindung eines „Social Login“ auf seiner Website die Übermittlung von IP-Adressen in Drittstaaten ohne angemessenes Schutzniveau ermöglicht, verstößt gegen Datenschutzvorschriften und hat daraus resultierende Schäden zu ersetzen. Der Rückgriff auf ein Inhaltszustellnetz, welches wie Amazon CloudFront von einer Tochtergesellschaft eines in einem solchen Drittland ansässigen Unternehmens betrieben wird, führt hingegen lediglich zu einer Gefahr eines Verstoßes. Unklar bleibt jedoch, wie die Höhe des Schadensersatzes im Falle eines Verstoßes zu berechnen ist.

Antrag auf Nichtigerklärung unzulässig 

Das Gericht wies die Nichtigkeitsklage als unzulässig ab, da keine spezifischen anfechtbaren Handlungen der Kommission identifiziert wurden, die Gegenstand einer Nichtigkeitsklage sein könnten. Die streitgegenständlichen Datenübermittlungen seien Real- und keine Rechtsakte. Sie erzeugen keine verbindlichen Rechtswirkungen und sind auch nicht dazu bestimmt, eine Rechtsstellung des Klägers zu regeln.

Kein Schadensersatz wegen Rückgriff auf „Amazon CloudFront“

Das Gericht wies auch die von Herrn Bindl geltend gemachten Schadensersatzansprüche wegen der angeblichen Übermittlung von personenbezogenen Daten in Zusammenhang mit dem Einsatz von Amazon CloudFront zurück. Bezüglich des Besuchs der Website der Konferenz zur Zukunft Europas am 30. März 2022 sah es das Gericht als erwiesen an, dass die IP-Adresse des Klägers nicht in die USA, sondern an einen Server in München übermittelt wurde. In einem solchen Fall könne sich ein Verstoß auch nicht daraus ergeben, dass die AWS EMEA als Tochtergesellschaft einer amerikanischen Gesellschaft unter Umständen verpflichtet sei, personenbezogene Daten an die amerikanischen Behörden zu übermitteln. Daraus ergebe sich lediglich ein Risiko einer Übermittlung, falls sich AWS EMEA als Tochtergesellschaft der Amazon.com, Inc. einer Anfrage einer Behörde nach Daten, die auf europäischen Servern gespeichert sind, nicht wedersetzen könnte. Die Gefahr einer solchen Übermittlung dürfe aber nicht mit der Übermittlung gleichgesetzt werden. 

Weiter sah es das Gericht hinsichtlich der Übermittlung der IP-Adresse des Klägers in Zusammenhang mit dem Webseitenbesuch am 08. Juni 2022 als erwiesen an, dass die Übermittlung nicht auf das normale Funktionieren von Amazon CloudFront, sondern auf von Herrn Bindl vorgenommene technische Einstellungen zurückzuführen sei. Konkret habe Herr Bindl Einstellungen vorgenommen, um seinen angezeigten Standort zu ändern, indem er sich online für jemanden ausgab, der sich in den USA befand. Auch wenn der Rückgriff auf Amazon CloudFront eine notwendige Bedingung für die Datenübermittlung in die USA war, fehle es für den Ersatz eines immateriellen Schadens an dem notwendigen Kausalzusammenhang zwischen der Einbindung des Dienstes und dem angeblichen Schaden. Es könne nicht angehen, dass der Kläger Schadensersatz für eine Datenübermittlung verlangt, die unmittelbar durch sein Verhalten bzw. die von ihm vorgenommenen technischen Einstellungen entstanden ist.

Datenübermittlung an Meta führt zu Schaden des Klägers 

Das Gericht stellte jedoch einen Verstoß durch die Einbindung von „Sign in with Facebook“ fest. Als Herr Bindl den Hyperlink „Sign in with Facebook“ anklickte, teilte der Browser Facebook seine IP-Adresse mit. Die Kommission habe mit der Einbindung des Hyperlinks die Voraussetzungen für diese Datenübermittlung geschaffen. Anders als heute gab es zum Zeitpunkt der Übermittlung keinen Angemessenheitsbeschluss für Datenübermittlungen in die Vereinigten Staaten und die Kommission hatte offenbar auch keine Standardvertragsklauseln mit Meta abgeschlossen. Infolge der Übermittlung sei der Kläger unsicher gewesen, wie seine IP-Adresse verarbeitet werde. Diese Unsicherheit wertete das Gericht als immateriellen Schaden. Bezüglich der Höhe des Ersatzanspruches fasste sich das Gericht kurz. Ohne weitere Begründung stellte das Gericht fest, dass unter den Umständen des Falles wegen des immateriellen Schadens eine Entschädigung in Höhe von 400 Euro angemessen sei.

Praxishinweise

Das Urteil ist jedenfalls mit Blick auf die Höhe des zugesprochenen Schadensersatzes überraschend. Herr Bindl begehrte Schadensersatz in Höhe von 400 Euro für drei angebliche Datenübermittlungen. Das Gericht stellte einen Verstoß nur im Hinblick auf die Weitergabe seiner IP-Adresse an Meta fest, sprach den Schadensersatz aber in voller Höhe zu. Fraglich ist auch, wie das Urteil vor dem Hintergrund der BGH-Rechtsprechung zum immateriellen Schadensersatz bei Datenschutzverstößen zu bewerten ist. Der BGH hat in einem Urteil vom 18. November 2024 angemerkt, dass in den bekannten Facebook-Scraping-Fällen, in denen massenweise Kontaktdaten von Betroffenen abgeflossen und im Internet veröffentlicht worden waren, bereits Beträge zwischen 10 und 100 Euro als Schadensersatz angemessen wären. Es bleibt abzuwarten, wie die Entscheidung des EuG die Rechtsprechung der nationalen Gerichte zur Höhe von Schadensersatzforderungen bei Datenschutzverstößen beeinflussen wird. Aus dem Zuspruch einer Entschädigung in Höhe von 400 Euro für die Übermittlung einer IP-Adresse in Drittstaaten ohne angemessenes Schutzniveau ergeben sich jedenfalls enorme Haftungsrisiken für Webseitenbetreiber. 
Das Urteil ist nicht rechtskräftig. 


Quellennachweise
(EuG, Urteil vom 08. Januar 2025, T-354/22 – Thomas Bindl / Europäische Kommission
 

Anmeldung zum GvW Newsletter

Melden Sie sich hier zu unserem GvW Newsletter an - und wir halten Sie über die aktuellen Rechtsentwicklungen informiert!