Schadenersatz wegen "Sign in with Facebook": EU-Kommission soll zahlen
Wegen der Einbindung von "Sign in with Facebook" hat das Europäische Gericht die EU-Kommission zur Schadenersatzzahlung verpflichtet.
Ausgerechnet die EU-Kommission, zuständig für die Einhaltung der Datenschutzgrundverordnung bei Datenübertragungen in Drittländer, hat vor dem Europäischen Gericht eine Niederlage erlitten: Ein Deutscher Legal-Tech-Unternehmer hatte die EU-Kommission verklagt – und nun in der ersten von zwei Instanzen des Gerichts in Luxemburg an zwei entscheidenden Punkten gewonnen.
Geld für den Kläger
Es ist ein Urteil mit Auswirkungen für Website-Betreiber: Die Richter der sechsten Kammer des für Rechtsstreitigkeiten mit der Kommission als Verwaltungseinheit direkt zuständigen Gerichts befanden: Die EU-Kommission sei dafür verantwortlich, dass beim Aufruf der Website "https://futureu.europa.eu" personenbezogene Daten in die USA übermittelt worden seien, obwohl es dazu keine Rechtsgrundlage gegeben habe. In der Zeit zwischen dem Urteil des Europäischen Gerichts in Sachen Privacy Shield und dem anschließenden, neuen Angemessenheitsbeschluss der EU-Kommission unter dem Namen Transatlantic Data Privacy Framework. Ein solcher Beschluss oder eine andere, datenschutzrechtskonforme Rechtsgrundlage für den Datentransfer wäre aber Voraussetzung für eine rechtmäßige Datenweitergabe, argumentierte der Kläger – und dem folgten die Richter an der unteren Gerichtsinstanz nun.
In ihrem Urteil setzten sich die Richter ausführlich mit einzelnen Datenverarbeitungsvorgängen auseinander. So wurde etwa bei einer AmazonCloudFront-Datenübermittlung vertraglich zwischen der EU-Kommission als Websitebetreiber und AWS festgelegt, dass die Daten in der EU verbleiben müssten. Bei einem anderen Vorgang habe der Betroffene selbst – wohl durch Nutzung eines VPNs –- eine Verarbeitung in den USA ausgelöst.
Schadenersatz wegen "Sign in with Facebook"
Anders beurteilten die Richter den Fall eines "Sign in with Facebook"-Buttons: durch die Einbindung sei die Datenverarbeitung dem Webseitenbetreiber zuzurechnen. Und da es auch keinerlei Vereinbarung hierzu zwischen der EU-Kommission und Meta gegeben habe, die etwas anderes festlegen könnte, sei die EU-Kommission in jederlei Hinsicht hier als datenschutzrechtlich verantwortliche Stelle zu bewerten. "Im vorliegenden Fall hat die Kommission nicht dargetan, ja nicht einmal behauptet, dass es eine geeignete Garantie gäbe, etwa eine Standarddatenschutzklausel oder eine Vertragsklausel gemäß Art. 48 Abs. 2 und 3 der Verordnung 2018/1725 (...). Für die Anzeige des Hyperlinks 'Sign in with Facebook' auf der Website von 'EU Login' gelten erwiesenermaßen schlicht und einfach die Nutzungsbedingungen von Facebook", heißt es in Randnummer 191 des Urteilsspruchs. Die Einbindung sei ein "hinreichend qualifizierter Verstoß".
Aufgrund dieses Verstoßes sei auch dessen Forderung nach einem immateriellen Schadenersatz in einem "hinreichend unmittelbaren Kausalzusammenhang": Das Verhalten der EU-Kommission habe "den Kläger nämlich in eine Lage gebracht, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden." Die Richter in Luxemburg erachteten in diesem Fall 400 Euro als angemessene Höhe.
Einbindung muss geregelt und mit klaren Verantwortlichen sein
Für Webseitenbetreiber folgt aus dem Urteil: Bei der Einbindung von Diensten Dritter müssen diese sicherstellen, dass Datenschutzrecht eingehalten wird – ansonsten können sie selbst schadenersatzpflichtig werden. Insbesondere vor dem Hintergrund aufziehender Auseinandersetzungen zwischen der künftigen US-Regierung unter Donald Trump und ihrer Unterstützung durch US-Technologiekonzerne wie eben Meta ist das von Bedeutung: Sollte entweder der Europäische Gerichtshof den derzeit existierenden Angemessenheitsbeschluss für ungültig erklären oder Donald Trump die Zusicherungen seines Vorgängers für einen besseren Schutz der Daten rückgängig machen, würde das die Rechtsgrundlage und Nutzung von US-Diensten grundsätzlich in Frage stellen – und der nun vom EuG für unzulässig erachtete Zustand zum Regelfall werden.
Während die US-Datentransfers zumindest einige Wochen noch auf halbwegs rechtssicheren Füßen stehen, gilt das für die Nutzung von Diensten aus anderen Ländern ohne Angemessenheitsbeschluss derweil nicht. So existiert ein solcher etwa nicht für die Volksrepublik China oder für die Russische Föderation. Eine ungeregelte Einbindung von Elementen oder die Nutzung von Software, durch die Daten etwa in diese Staaten übertragen werden, könnte also ebenfalls zu Schadenersatzpflichten führen.
Keine Tech-News mehr verpassen: heise online auch bei WhatsApp abonnieren!
Wir schicken einmal am Tag die wichtigsten Nachrichten aus der Redaktion.
(mho)