Autoren
Co-Autoren
Alina Steingaß
Datum

13. Januar 2025

Diesen Beitrag teilen

Das Gericht der Europäischen Union (nachfolgend: „EuG“) hat entschieden, dass u.a. die Übermittlung der IP-Adresse eines deutschen Nutzers durch die Europäische Kommission (nachfolgend: „Kommission“) an das Unternehmen Meta rechtswidrig war.

Obwohl es sich im konkreten Fall um die Verordnung 2018/1725 handelt, die für die Organe, Einrichtungen und sonstigen Stellen der Union gilt, lassen sich für die folgenden Ausführungen auch gewisse Parallelen zur DSGVO ziehen. Auch nach der DSGVO (vgl. Art. 44 ff. DSGVO) sind bei Datenübermittlungen in Drittländer besondere Anforderungen zu erfüllen, wenn kein Angemessenheitsbeschluss besteht. Zudem kennen ermöglichen beide Rechtsgrundlagen Betroffenen den Anspruch auf Ersatz immaterieller Schäden (Art. 82 Abs. 1 DSGVO und Art. 65 der Verordnung 2018/1725).

Hintergrund des Falls

Im Urteil des EuG vom 08.01.2025 (Az. T-354/22) ging es insbesondere um die Frage, ob die Kommission für eine Übermittlung personenbezogener Daten an Meta Platforms (Facebook) haftbar gemacht werden kann, wenn sich ein Nutzer über den Benutzerauthentifizierungsdienst der Kommission „EU Login“ mithilfe eines Facebook-Kontos anmeldet. Der Kläger hatte sich am 30. März 2022 über eine Website (hier: „Konferenz zur Zukunft Europas“) zu einer Veranstaltung (hier: „GoGreen“) angemeldet. Bei der Anmeldung über „EU Login“ standen mehrere Optionen zur Verfügung: eine direkte Anmeldung über „EU Login“, die Verwendung einer eID-Karte oder die Anmeldung über ein bereits bestehendes Konto von Facebook, Google oder Twitter. Der Kläger entschied sich dafür, über sein Facebook-Konto fortzufahren.

Streitgegenstand und Vorwurf des Klägers

Der Kläger trug vor, dass bei dieser Anmeldung insbesondere seine IP-Adresse sowie weitere personenbezogene Daten (etwa E-Mail-Adresse, Name, Vorname, Profilbild) an Meta Platforms in die Vereinigten Staaten übermittelt worden seien. Nach seiner Ansicht wurde diese Übermittlung dadurch ausgelöst, dass er in „EU Login“ den Hyperlink „Sign in with Facebook“ anklickte, was zu einem Aufruf der URL-Adresse der Website von Facebook führte. Dabei sei seine IP-Adresse an Facebook weitergegeben worden, und zwar ohne, dass dafür geeignete Garantien nach Art. 48 der Verordnung 2018/1725 (vergleichbar mit Art. 46 DSGVO) bestanden hätten. Zudem sah der Kläger einen immateriellen Schaden darin, dass er die Kontrolle über seine Daten verloren habe und damit seine Rechte und Freiheiten beeinträchtigt worden seien.

Standpunkt der Kommission

Die Kommission wandte ein, dass sie selbst keine Datenübermittlung an Facebook veranlasst habe. Ihrer Auffassung nach habe allein der Kläger durch seine Entscheidung, sich mit seinem Facebook-Konto anzumelden, die Datenübermittlung ausgelöst. Die Authentifizierung über Facebook laufe technisch über einen Hyperlink ab, der jedoch keine personenbezogenen Daten enthalte. Außerdem betonte die Kommission, dass die Anmeldung über Facebook lediglich eine von mehreren Möglichkeiten sei und sie somit nicht für die daraus möglicherweise resultierende Datenverarbeitung verantwortlich sein könne (fehlende Kausalität).

Wesentliche Feststellungen des EuG

Das Gericht setzte sich in seinem Urteil intensiv mit der technischen Datenübermittlung auseinander. Dabei stellte es fest, dass der Kläger beim Anklicken des Hyperlinks „Sign in with Facebook“ zu einer externen Facebook-Website weitergeleitet wurde, wodurch der Browser des Klägers dessen IP-Adresse automatisch an Facebook übermittelte. Zusätzlich habe Facebook im weiteren Anmeldevorgang – sofern der Nutzer dem zugestimmt hatte – Zugriff auf weitere Daten (wie Name, E-Mail-Adresse und Profilbild), um diese anschließend an „EU Login“ weiterzugeben.

  1. IP-Adresse als personenbezogenes Datum

Das Gericht stellte zunächst ohne weitere Ausführungen fest, dass es sich bei der IP-Adresse um ein personenbezogenes Datum handele, da diese sich auf eine natürliche Person beziehe und eine identifizierte bzw. identifizierbare Person betreffe. Dies treffe laut Gericht sogar auf „dynamische“ IP-Adressen, die wesensbedingt ständig wechseln, zu.

  1. Verantwortlichkeit der Kommission

Zwar betonte das Gericht, dass der Kläger zwar selbst den Facebook-Login gewählt habe, jedoch die Kommission durch die Einbindung des Hyperlinks „Sign in with Facebook“ auf „EU Login“ die rechtlichen und technischen Voraussetzungen dafür geschaffen habe, dass eine solche Übermittlung personenbezogener Daten überhaupt stattfinden könne. Damit sei die Kommission dafür mitverantwortlich, dass der Kläger bei seiner Anmeldung über Facebook Daten in die USA gesendet habe, ohne dass vorher geeignete Garantien – wie etwa Standarddatenschutzklauseln – vorgesehen waren. Das Gericht sah darin einen „hinreichend qualifizierten Verstoß“ gegen Art. 46 der Verordnung 2018/1725.

  1. Fehlende Garantien

Zusätzlich stellte das Gericht fest, dass zum Zeitpunkt der Datenübermittlung (30. März 2022) kein Angemessenheitsbeschluss für die Vereinigten Staaten vorlag und die Kommission auch keine anderen Garantien (z. B.  Standarddatenschutzklauseln) geltend gemacht oder nachgewiesen habe. Damit lägen keine rechtlichen Voraussetzungen vor, die eine Ãœbermittlung der IP-Adresse und weiterer personenbezogener Daten des Klägers an Meta hätten rechtfertigen können.

  1. Immaterieller Schaden

Das Gericht urteilte, dass der Kläger durch die rechtswidrige Übermittlung seiner IP-Adresse und weiterer personenbezogener Daten an Meta Platforms einen immateriellen Schaden erlitten habe. Dieser Schaden liege im Verlust der Kontrolle über die eigenen Daten. Der Kläger könne nicht sicher sein, wie seine Daten verarbeitet würden. Diese Unsicherheit über die Kenntnis der Datenverarbeitung stelle einen immateriellen Schaden dar. Nach Art. 65 der Verordnung 2018/1725 begründe nicht nur ein materieller, sondern auch ein immaterieller Schaden einen Anspruch auf Schadenersatz. Das Gericht sah die Voraussetzungen dafür erfüllt und sprach dem Kläger 400 Euro Schadenersatz zu.

Konsequenzen für die Praxis

Das Urteil verdeutlicht, dass die Einbindung jeglicher externer Dienste, insbesondere Social-Logins, sorgfältig überprüft werden muss, insbesondere wenn dabei Daten in Drittländer übermittelt werden können. Bereits durch das Aufrufen eines Hyperlinks kann eine personenbezogene Datenübermittlung ausgelöst werden, für die die jeweilige Stelle (hier: die Kommission) verantwortlich ist. Nach der Entscheidung kommt es somit nicht darauf an, dass ein Betroffener einen weiteren Dienst (hier: Login) selbst auswählt.

Fazit

Dennoch ist die Entscheidung kritisch zu betrachten. So erstaunt es, dass das Gericht zur Höhe des Schadenersatzes keine vertieften Ausführungen anstellt. Gerade im Hinblick auf das kürzlich ergangene Leiturteil des BGH zu den „Scraping“-Konstellationen (Urt. v. 18.11.2024, Az. VI ZR 10/24; Zusammenfassung in unserem Seitz-Blog), in dem dieser für den Kontrollverlust einen Schadenersatz in der Größenordnung von lediglich ca. 100 EUR als angemessen erachtet, wäre eine ausführliche Begründung der Schadenersatzsumme wünschenswert gewesen. Auch wenn der Kläger mit seinen weiteren Anträgen (u.a. Schadenersatz und Auskunft) unterlag, stellen die zugesprochenen 400 EUR – unterstellt es gäbe eine große Anzahl weiterer Betroffener – ein erhebliches wirtschaftliches Risiko für jeden Verantwortlichen dar.

Die Entscheidung des EuG zeigt, dass Verantwortliche bei jeder möglichen Datenübermittlung in Drittländer sehr genau auf die Einhaltung der datenschutzrechtlichen Anforderungen achten müssen. Das bloße Vorhandensein eines Hyperlinks zu einem Social-Media-Dienst kann bereits eine relevante Übermittlung darstellen, für die ein Verantwortlicher haftbar gemacht werden kann, wenn keine hinreichenden Rechtsgrundlagen für die Übermittlung bestehen.

Zudem ist mit dem EU–US Data Privacy Framework mittlerweile ein Angemessenheitsbeschluss in Kraft, weshalb (zumindest in Bezug auf Übermittlungen in die USA) künftige Entscheidungen wohl konträr ausfallen würden.

Positiv hervorzuheben ist, dass das EuG rein hypothetische und noch nicht feststehende Schäden nicht ausreichen lässt. Zudem stelle die bloße Gefahr des Zugangs eines Drittlands zu personenbezogenen Daten keine Datenübermittlung im Sinne von Art. 46 der Verordnung 2018/1725 dar.

Dennoch ist es wünschenswert und bleibt abzuwarten, dass die Entscheidung durch den EuGH überprüft wird. Insbesondere die in der derzeitigen deutschen Rechtsprechung sehr inkonsistente Festlegung zu immateriellen Schäden stellt Unternehmen vor erhebliche Rechtsunsicherheiten bei der Implementierung externer Dienste. Darüber hinaus ist zu hoffen, dass sich der EuGH eingehender mit der Frage des Personenbezugs von (dynamischen) IP-Adressen befassen wird. IP-Adressen können zwar grundsätzlich als personenbezogenes Datum eingestuft werden, es kommt aber auf die konkreten Feststellungen und Möglichkeiten des Verantwortlichen an. Hierzu fehlen Ausführungen des EuG. Ebenso lässt der EuG Ausführungen zu einer etwaigen gemeinsamen Verantwortlichkeit der Kommission und Meta für die Authentifizierung über das Facebook-Konto vermissen.

Auch wenn es sich „nur“ um eine Entscheidung des EuG und nicht des EuGH handelt, ist die Bedeutung dieses Urteils für die Praxis nicht zu unterschätzen und in der Bewertung bei Übermittlungen personenbezogener Daten in Drittländer zu berücksichtigen.

EuG: Schadenersatz für Übermittlung der IP-Adresse an Meta

Das Gericht der Europäischen Union (nachfolgend: „EuG“) hat entschieden, dass u.a. die Übermittlung der IP-Adresse eines deutschen Nutzers durch die Europäische Kommission (nachfolgend: „Kommission“) an das Unternehmen Meta rechtswidrig war.

Obwohl es sich im konkreten Fall um die Verordnung 2018/1725 handelt, die für die Organe, Einrichtungen und sonstigen Stellen der Union gilt, lassen sich für die folgenden Ausführungen auch gewisse Parallelen zur DSGVO ziehen. Auch nach der DSGVO (vgl. Art. 44 ff. DSGVO) sind bei Datenübermittlungen in Drittländer besondere Anforderungen zu erfüllen, wenn kein Angemessenheitsbeschluss besteht. Zudem kennen ermöglichen beide Rechtsgrundlagen Betroffenen den Anspruch auf Ersatz immaterieller Schäden (Art. 82 Abs. 1 DSGVO und Art. 65 der Verordnung 2018/1725).

Hintergrund des Falls

Im Urteil des EuG vom 08.01.2025 (Az. T-354/22) ging es insbesondere um die Frage, ob die Kommission für eine Übermittlung personenbezogener Daten an Meta Platforms (Facebook) haftbar gemacht werden kann, wenn sich ein Nutzer über den Benutzerauthentifizierungsdienst der Kommission „EU Login“ mithilfe eines Facebook-Kontos anmeldet. Der Kläger hatte sich am 30. März 2022 über eine Website (hier: „Konferenz zur Zukunft Europas“) zu einer Veranstaltung (hier: „GoGreen“) angemeldet. Bei der Anmeldung über „EU Login“ standen mehrere Optionen zur Verfügung: eine direkte Anmeldung über „EU Login“, die Verwendung einer eID-Karte oder die Anmeldung über ein bereits bestehendes Konto von Facebook, Google oder Twitter. Der Kläger entschied sich dafür, über sein Facebook-Konto fortzufahren.

Streitgegenstand und Vorwurf des Klägers

Der Kläger trug vor, dass bei dieser Anmeldung insbesondere seine IP-Adresse sowie weitere personenbezogene Daten (etwa E-Mail-Adresse, Name, Vorname, Profilbild) an Meta Platforms in die Vereinigten Staaten übermittelt worden seien. Nach seiner Ansicht wurde diese Übermittlung dadurch ausgelöst, dass er in „EU Login“ den Hyperlink „Sign in with Facebook“ anklickte, was zu einem Aufruf der URL-Adresse der Website von Facebook führte. Dabei sei seine IP-Adresse an Facebook weitergegeben worden, und zwar ohne, dass dafür geeignete Garantien nach Art. 48 der Verordnung 2018/1725 (vergleichbar mit Art. 46 DSGVO) bestanden hätten. Zudem sah der Kläger einen immateriellen Schaden darin, dass er die Kontrolle über seine Daten verloren habe und damit seine Rechte und Freiheiten beeinträchtigt worden seien.

Standpunkt der Kommission

Die Kommission wandte ein, dass sie selbst keine Datenübermittlung an Facebook veranlasst habe. Ihrer Auffassung nach habe allein der Kläger durch seine Entscheidung, sich mit seinem Facebook-Konto anzumelden, die Datenübermittlung ausgelöst. Die Authentifizierung über Facebook laufe technisch über einen Hyperlink ab, der jedoch keine personenbezogenen Daten enthalte. Außerdem betonte die Kommission, dass die Anmeldung über Facebook lediglich eine von mehreren Möglichkeiten sei und sie somit nicht für die daraus möglicherweise resultierende Datenverarbeitung verantwortlich sein könne (fehlende Kausalität).

Wesentliche Feststellungen des EuG

Das Gericht setzte sich in seinem Urteil intensiv mit der technischen Datenübermittlung auseinander. Dabei stellte es fest, dass der Kläger beim Anklicken des Hyperlinks „Sign in with Facebook“ zu einer externen Facebook-Website weitergeleitet wurde, wodurch der Browser des Klägers dessen IP-Adresse automatisch an Facebook übermittelte. Zusätzlich habe Facebook im weiteren Anmeldevorgang – sofern der Nutzer dem zugestimmt hatte – Zugriff auf weitere Daten (wie Name, E-Mail-Adresse und Profilbild), um diese anschließend an „EU Login“ weiterzugeben.

  1. IP-Adresse als personenbezogenes Datum

Das Gericht stellte zunächst ohne weitere Ausführungen fest, dass es sich bei der IP-Adresse um ein personenbezogenes Datum handele, da diese sich auf eine natürliche Person beziehe und eine identifizierte bzw. identifizierbare Person betreffe. Dies treffe laut Gericht sogar auf „dynamische“ IP-Adressen, die wesensbedingt ständig wechseln, zu.

  1. Verantwortlichkeit der Kommission

Zwar betonte das Gericht, dass der Kläger zwar selbst den Facebook-Login gewählt habe, jedoch die Kommission durch die Einbindung des Hyperlinks „Sign in with Facebook“ auf „EU Login“ die rechtlichen und technischen Voraussetzungen dafür geschaffen habe, dass eine solche Übermittlung personenbezogener Daten überhaupt stattfinden könne. Damit sei die Kommission dafür mitverantwortlich, dass der Kläger bei seiner Anmeldung über Facebook Daten in die USA gesendet habe, ohne dass vorher geeignete Garantien – wie etwa Standarddatenschutzklauseln – vorgesehen waren. Das Gericht sah darin einen „hinreichend qualifizierten Verstoß“ gegen Art. 46 der Verordnung 2018/1725.

  1. Fehlende Garantien

Zusätzlich stellte das Gericht fest, dass zum Zeitpunkt der Datenübermittlung (30. März 2022) kein Angemessenheitsbeschluss für die Vereinigten Staaten vorlag und die Kommission auch keine anderen Garantien (z. B.  Standarddatenschutzklauseln) geltend gemacht oder nachgewiesen habe. Damit lägen keine rechtlichen Voraussetzungen vor, die eine Ãœbermittlung der IP-Adresse und weiterer personenbezogener Daten des Klägers an Meta hätten rechtfertigen können.

  1. Immaterieller Schaden

Das Gericht urteilte, dass der Kläger durch die rechtswidrige Übermittlung seiner IP-Adresse und weiterer personenbezogener Daten an Meta Platforms einen immateriellen Schaden erlitten habe. Dieser Schaden liege im Verlust der Kontrolle über die eigenen Daten. Der Kläger könne nicht sicher sein, wie seine Daten verarbeitet würden. Diese Unsicherheit über die Kenntnis der Datenverarbeitung stelle einen immateriellen Schaden dar. Nach Art. 65 der Verordnung 2018/1725 begründe nicht nur ein materieller, sondern auch ein immaterieller Schaden einen Anspruch auf Schadenersatz. Das Gericht sah die Voraussetzungen dafür erfüllt und sprach dem Kläger 400 Euro Schadenersatz zu.

Konsequenzen für die Praxis

Das Urteil verdeutlicht, dass die Einbindung jeglicher externer Dienste, insbesondere Social-Logins, sorgfältig überprüft werden muss, insbesondere wenn dabei Daten in Drittländer übermittelt werden können. Bereits durch das Aufrufen eines Hyperlinks kann eine personenbezogene Datenübermittlung ausgelöst werden, für die die jeweilige Stelle (hier: die Kommission) verantwortlich ist. Nach der Entscheidung kommt es somit nicht darauf an, dass ein Betroffener einen weiteren Dienst (hier: Login) selbst auswählt.

Fazit

Dennoch ist die Entscheidung kritisch zu betrachten. So erstaunt es, dass das Gericht zur Höhe des Schadenersatzes keine vertieften Ausführungen anstellt. Gerade im Hinblick auf das kürzlich ergangene Leiturteil des BGH zu den „Scraping“-Konstellationen (Urt. v. 18.11.2024, Az. VI ZR 10/24; Zusammenfassung in unserem Seitz-Blog), in dem dieser für den Kontrollverlust einen Schadenersatz in der Größenordnung von lediglich ca. 100 EUR als angemessen erachtet, wäre eine ausführliche Begründung der Schadenersatzsumme wünschenswert gewesen. Auch wenn der Kläger mit seinen weiteren Anträgen (u.a. Schadenersatz und Auskunft) unterlag, stellen die zugesprochenen 400 EUR – unterstellt es gäbe eine große Anzahl weiterer Betroffener – ein erhebliches wirtschaftliches Risiko für jeden Verantwortlichen dar.

Die Entscheidung des EuG zeigt, dass Verantwortliche bei jeder möglichen Datenübermittlung in Drittländer sehr genau auf die Einhaltung der datenschutzrechtlichen Anforderungen achten müssen. Das bloße Vorhandensein eines Hyperlinks zu einem Social-Media-Dienst kann bereits eine relevante Übermittlung darstellen, für die ein Verantwortlicher haftbar gemacht werden kann, wenn keine hinreichenden Rechtsgrundlagen für die Übermittlung bestehen.

Zudem ist mit dem EU–US Data Privacy Framework mittlerweile ein Angemessenheitsbeschluss in Kraft, weshalb (zumindest in Bezug auf Übermittlungen in die USA) künftige Entscheidungen wohl konträr ausfallen würden.

Positiv hervorzuheben ist, dass das EuG rein hypothetische und noch nicht feststehende Schäden nicht ausreichen lässt. Zudem stelle die bloße Gefahr des Zugangs eines Drittlands zu personenbezogenen Daten keine Datenübermittlung im Sinne von Art. 46 der Verordnung 2018/1725 dar.

Dennoch ist es wünschenswert und bleibt abzuwarten, dass die Entscheidung durch den EuGH überprüft wird. Insbesondere die in der derzeitigen deutschen Rechtsprechung sehr inkonsistente Festlegung zu immateriellen Schäden stellt Unternehmen vor erhebliche Rechtsunsicherheiten bei der Implementierung externer Dienste. Darüber hinaus ist zu hoffen, dass sich der EuGH eingehender mit der Frage des Personenbezugs von (dynamischen) IP-Adressen befassen wird. IP-Adressen können zwar grundsätzlich als personenbezogenes Datum eingestuft werden, es kommt aber auf die konkreten Feststellungen und Möglichkeiten des Verantwortlichen an. Hierzu fehlen Ausführungen des EuG. Ebenso lässt der EuG Ausführungen zu einer etwaigen gemeinsamen Verantwortlichkeit der Kommission und Meta für die Authentifizierung über das Facebook-Konto vermissen.

Auch wenn es sich „nur“ um eine Entscheidung des EuG und nicht des EuGH handelt, ist die Bedeutung dieses Urteils für die Praxis nicht zu unterschätzen und in der Bewertung bei Übermittlungen personenbezogener Daten in Drittländer zu berücksichtigen.

Footer Mood

Bitte warten...