Haben Datentransfers in die USA seit dem neuesten EuG Urteil einen Pricetag von 400 EUR/pro Person? Die gute Nachricht ist erst einmal: Nein, nicht automatisch. Der Sachverhalt des Urteils des Europäischen Gerichts vom 8. Januar 2025 (T-354/22) spielt in den Jahren 2021 und 2022. In diesem Zeitraum bestand aufgrund des gekippten EU-US Privacy Shields eine höhere Rechtsunsicherheit mit Blick auf das Thema Datentransfer in die USA. Inzwischen besteht seit dem 10. Juli 2023 ein neuer Angemessenheitsbeschluss für die USA in Form des EU-US Privacy Frameworks. Meta, Amazon, Microsoft und die anderen gängigen großen Anbieter sind inzwischen alle nach diesem neuen Framework zertifiziert.
Der Sachverhalt war wie folgt: In der Klage ging ein in Deutschland ansässiger Bürger gegen die EU Kommission vor und forderte uA Schadensersatz dafür, dass seine IP-Adresse an die Facebook Gesellschaft in den USA (Meta Platforms, Inc.) übermittelt wurde. Er hatte 2021 und 2022 mehrfach die Webseite der Konferenz zur Zukunft Europas (eine Webseite der EU Kommission) besucht und sich hierbei auch für ein Event angemeldet. Im Rahmen der Anmeldung verwendete er den von der EU Kommission angebotenen „EU Login“ und wählte die Variante des „Facebook Logins“, einer Verifizierung über sein Facebook Konto. Im Rahmen dieser Anfrage zur Verifizierung übermittelt die entsprechende Webseite die IP-Adresse des Anmelders oder der Anmelderin an Meta. Das EuG bestätigte in Bezug auf den einen Schadensersatzanspruch die Ansicht des Klägers und sah die Übermittlung der IP-Adresse des Klägers an ein in den USA ansässiges Unternehmen als rechtswidrig an. Dem Kläger sei ein immaterieller Schaden entstanden, der darin bestehe, dass er die Kontrolle über seine Daten verloren habe und um seine Rechte und Freiheiten gebracht worden sei.
Das Urteil ist nicht rechtskräftig und kann vor dem EuGH angegriffen werden. Ob die EU Kommission gegen das Urteil vorgehen wird, ist aktuell noch nicht bekannt. Auf den ersten Blick gäbe es durchaus Angriffspunkte, insbesondere hinsichtlich der Rechtswidrigkeit der Übermittlung und den Anforderungen an den Kausalzusammenhang.
Auswirkungen auf die Praxis
Auch wenn der Sachverhalt heute unter Geltung des EU-US Privacy Frameworks anders zu beurteilen wäre, hat das Urteil dennoch eine wichtige Bedeutung für die Praxis. Zwar ist nicht neu, dass eine entsprechende Rechtsgrundlage für die Datenübertragung in die USA vorliegen muss. Allerdings zeigt diese Entscheidung, die wohlgemerkt einen Schadensersatzanspruch sogar gegen eine EU Behörde (die EU Kommission selbst!) zugesprochen hat, wie streng die Gerichte beim Thema Drittlandstransfer sein können. Darüber hinaus besteht die Gefahr, dass diese Entscheidung nun auch bei jeder Rechtsstreitigkeit zu (vermeintlichen) Datenschutzverstößen bei Drittlandstransfer herangezogen werden könnte, vor allem bei der Bezifferung von konkreten Schadensersatzansprüchen. Wenn schon die Übermittlung der IP-Adresse einen Schadensersatz von 400 EUR auslösen kann, sind bei schwereren Verstößen auch höhere Summen vorstellbar. Und bei vielen Besuchern auf der Webseite kann sich das Haftungsrisiko für die Betreiber entsprechend potenzieren. Es ist zudem zu befürchten, dass aufgrund dieser Entscheidung sog. „Abmahnkanzleien“ tätig werden. Es ist Unternehmen daher anzuraten, diese Entscheidung zum Anlass zu nehmen, um mit dem Blick auf das Thema „Drittlandstransfer“ einmal erneut auf ihren Webseiten „aufzuräumen“ und insbesondere ihre Datenschutzhinweise dahingehend zu überprüfen, ob die Nutzer und Nutzerinnen hinsichtlich dere Übermittlung ihrer Daten hinreichend informiert werden. Gleiches gilt generell für den Einsatz von Drittdienstleistern auf Webseiten sowie den Einsatz von Cookies.
Noch aus einer anderen Perspektive ist die Entscheidung für die Praxis interessant: Das Gericht hat vorliegend ganz konkret geprüft, ob in dem Fall eine „echte“ Übermittlung der IP Adresse an Server in den USA vorlag. Die bloße Gefahr eines Zugriffs aus einem Drittland sah das Gericht nicht als „Übermittlung“ an. Dies ist sehr praxisrelevant, da fast alle großen US-Anbieter sich vertraglich die Möglichkeit offenlassen, beispielsweise bei Supportanfragen auch aus dem Drittland zugreifen zu können. Dies gilt auch wenn als Serverstandort Europa ausgewählt wurde. Diese Entscheidung kann daher im Verteidigungsfall auch für andere Verfahren herangezogen werden.
Wir möchten hier mit dem Artikel vorliegend nur eine kurze Einordnung für Unternehmen in der Praxis liefern. Für Personen, die sich aber besonders für datenschutzrechtlich komplexe Fragestellungen interessieren, ist es in diesem Urteil durchaus auch spannend, sich mit den Ausführungen zum „Kausalzusammenhang“ des Schadens zu beschäftigen. Insbesondere wurde hier vom Gericht in Bezug auf einen weiteren Schadensersatzanspruch der Kausalzusammenhang verneint, weil der Schaden laut Gericht auf ein Verhalten des Klägers selbst zurückzuführen war. Er habe nämlich über technische Einstellungen vorgespiegelt, dass er sich in den USA befand. Dies habe dann bei dem Content Delivery Network von Amazon (Amazon CloudFront), welches auf einem über Proximität funktionierenden Routing-Mechanismus basiert, dazu geführt, dass Server in den USA ausgewählt wurden.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
