Die Datenschutzaufsicht in Europa hat einen bedeutenden Sieg errungen: Das Gericht der Europäischen Union (EuG) hat in seinem Urteil vom 8. Januar 2025 (T-354/22) entschieden, dass die Europäische Kommission einem betroffenen Nutzer Schadensersatz leisten muss. Hintergrund ist die unrechtmäßige Übermittlung personenbezogener Daten an das US-Unternehmen Meta Platforms, Inc. Dieses Urteil setzt neue Maßstäbe für die Verantwortlichkeit öffentlicher Stellen im Datenschutz.
Datenübermittlung in die USA: Die Hintergründe des Falls
Ein Besucher der von der EU-Kommission betriebenen Website zur "Konferenz zur Zukunft Europas" hatte festgestellt, dass seine IP-Adresse an Meta übermittelt wurde. Dies geschah über den Hyperlink "Sign in with Facebook" auf der Seite von "EU Login", dem Anmeldeportal der Europäischen Kommission. Der Betroffene reichte daraufhin Klage ein, da er seine Datenschutzrechte verletzt sah.
Die Kommission argumentierte, dass es sich lediglich um einen Verweis auf einen externen Anbieter handele, doch das EuG widersprach dieser Einschätzung. Es stellte fest, dass die Kommission durch die Platzierung des Hyperlinks aktiv dazu beigetragen hat, dass personenbezogene Daten an Meta flossen – und dies ohne eine ausreichende Rechtsgrundlage.
Personenbezogene Daten – was fällt darunter?
Unter den Begriff "personenbezogene Daten" fallen gemäß der Datenschutz-Grundverordnung (DSGVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. In diesem Fall betrifft es insbesondere:
- IP-Adresse des Nutzers: Diese wurde durch den „Sign in with Facebook“-Link an Meta übermittelt. Eine IP-Adresse kann eine Person identifizierbar machen, insbesondere wenn sie mit anderen Daten kombiniert wird.
- Mögliche weitere Metadaten: Dazu gehören Standortdaten, Gerätedaten oder Browserinformationen, die beim Besuch der Website erfasst und übermittelt wurden.
- Nutzungsdaten: Falls durch den Anmelde-Link Tracking-Technologien aktiviert wurden, könnten Informationen über das Nutzerverhalten gespeichert und weitergeleitet worden sein.
Da die DSGVO keine absolute Grenze für „personenbezogene Daten“ zieht, hängt die Einstufung oft von der Möglichkeit ab, die Daten einer Person zuzuordnen. In diesem Fall erkannte das EuG die IP-Adresse als schützenswerte personenbezogene Daten an.
Auswirkungen des EuG-Urteils
- Verantwortlichkeit öffentlicher Stellen für Datenschutzverstöße: Das Urteil stellt klar, dass auch öffentliche Einrichtungen, die digitale Dienste bereitstellen, für Datenschutzverstöße haften können. Die EU-Kommission kann sich nicht darauf berufen, dass sie nicht für die Übermittlung der Daten verantwortlich sei, wenn sie durch ihre Plattform einen solchen Transfer ermöglicht.
- Stärkung der Rechte betroffener Nutzer: Die Entscheidung zeigt, dass Einzelpersonen einen effektiven Rechtsschutz gegen unrechtmäßige Datenübertragungen haben. Dies könnte eine Welle neuer Klagen auslösen, insbesondere gegen Unternehmen und Behörden, die Daten in die USA oder andere Drittländer ohne angemessene Schutzmaßnahmen übermitteln.
- Kritische Auswirkungen auf Unternehmen und Werbetreibende: Werbetreibende und Unternehmen, die Tracking-Technologien oder Social-Media-Anbindungen nutzen, müssen besonders wachsam sein. Das EuG-Urteil könnte Auswirkungen auf die Nutzung von Anmeldeoptionen und Tracking-Tools wie "Sign. in with Google" oder "Sign in with Facebook" haben, insbesondere wenn diese zu einer Datenübertragung in unsichere Drittländer führen.
Was auch Unternehmen beim Datenschutz beachten sollten
- Prüfung eingebundener Login- und Tracking-Dienste: Unternehmen sollten analysieren, ob ihre Online-Angebote Elemente enthalten, die unbemerkt Daten an Drittländer senden.
- Risikobewertung von Datenübertragungen: Falls Daten in die USA oder andere unsichere Drittländer übermittelt werden, sollten alternative Lösungen in Erwägung gezogen werden.
- Vertragliche Absicherung: Falls US-Dienste genutzt werden, sollten Unternehmen sicherstellen, dass über Standardvertragsklauseln oder andere Mechanismen ein ausreichendes Datenschutzniveau gewährleistet ist.
DSGVO-Tipp für Unternehmen
Nutzen Sie eine Datenschutz-Folgenabschätzung (DSFA), um potenzielle Risiken durch Datenübertragungen frühzeitig zu identifizieren. Dokumentieren Sie Ihre Datenschutzmaßnahmen transparent, um Haftungsrisiken zu minimieren.
Zusammenfassung
Das Urteil des EuG hat erhebliche Auswirkungen auf den Umgang mit personenbezogenen Daten und stellt neue Anforderungen an Unternehmen und öffentliche Stellen. Werbetreibende und Unternehmen, die auf Social-Media-Integrationen setzen, sollten ihre Praktiken dringend überprüfen. Datenschutzverstöße könnten künftig mit empfindlichen Schadensersatzzahlungen verbunden sein. Dieses Urteil markiert einen bedeutenden Meilenstein in der Rechtsprechung zum Datenschutz in Europa.
Symbolgrafik:© respiro888 - stock.adobe.com