Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
Rechtsanwalt & Spezialist für Handels- und Gesellschaftsrecht
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Datenschutz beschäftigt immer wieder Gerichte und das nicht nur auf nationaler, sondern auch auf internationaler Ebene. Kürzlich am 08.01.2025 kam ein Urteil (Az.: T-354/22) des europäischen Gerichtes (EuG) welches feststellt, dass auch die EU selbst gegen ihre DSGVO und den internationalen Datenschutz verstößt.
Grundlegend ist erstmals zu verstehen, um welchen Rechtsgrund es im Folgenden geht und wie Datenschutz grundlegend geregelt ist. Die wohl wichtigste Grundlage ist die DSGVO, also die Datenschutz-Grundverordnung. Die DSGVO besteht aus 11 Kapiteln, untergliedert in 99 Artikel und ist eine Verordnung der EU, welche die Verarbeitung und den Schutz von personenbezogenen Daten regelt. Neben allgemeinen Bestimmungen, Grundsätzen und Regelungen für die Rechte von betroffenen Personen, ist vorliegend besonders Kapitel 5 mit den Artikeln 44-50 DSGVO relevant, welche die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen regelt.
Geklagt hatte ein Mann aus Deutschland. Dieser hatte 2021 und 2022 Webseiten der EU-Kommission besucht und sich auf einer Konferenzseite der EU-Kommission über die Option, "Mit Facebook anmelden" mit seinem Facebook-Konto angemeldet. Dabei stellte der Informatik und Datenschutz interessierte Kläger fest, dass Daten mutmaßlich an Meta USA sowie an Amazon Web Services (AWS) übermittelt wurden. Daraufhin bat der Kläger den Datenschutzbeauftragten der Kommission um eine DSGVO-Auskunft bezüglich der bei den Webseitenbesuchen übermittelten Daten und darum, ihm mitzuteilen, welche ihn betreffenden personenbezogenen Daten verarbeitet bzw. gespeichert und gegebenenfalls an Dritte weitergegeben worden sind. Zum 3. Dezember 2021 bekam der spätere Kläger Auskunft vom Datenschutzbeauftragten der Kommission. Über einen Link könne er sich die erfassten Daten anzeigen lassen. Zudem wurde ihm mitgeteilt, dass die ihn betreffenden personenbezogenen Daten nicht an Empfänger außerhalb der Europäischen Union übermittelt worden seien und nur auf der Website der Konferenz gespeichert und verarbeitet worden sind. Nachdem mehrere Anfragen der betroffenen Person nicht umfassend beantwortet wurden, erhob diese schließlich am 9. Juni 2022 Klage gegen die EU-Kommission. In der Klage beantragte der Kläger:
Der Schadenersatz sollte sich auf 800 Euro als Ersatz des durch die Verletzung seines Auskunftsrechts entstandenen Schadens und 400 Euro als Ersatz des durch die Übermittlung der ihn betreffenden personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau entstandenen immateriellen Schadens beziehen.
Das Gericht stellte fest, dass die Kommission durch die Integration des Hyperlinks die Datenübermittlung an Meta ermöglicht hat, ohne dabei aber die Vorgaben der Art. 44 ff. DSGVO ausreichend zu berücksichtigen. Denn bei der Anmeldung wurden personenbezogene Daten übermittelt, ohne über diese Datenübertragung oder mögliche Risiken zu informieren. Bei der internationalen Übermittlung von Daten bedarf es eines Beschlusses, welcher die Angemessenheit derartiger Datenübertragung beinhaltet, oder geeignete Garantien nach Art. 46 DSGVO. Zum Zeitpunkt der Datenübermittlung war das EU US Data Privacy Framework und somit der passende Angemessenheitsbeschluss noch nicht verabschiedet, es hätte demnach geeignete Garantien gebraucht. Die Kommission hat es versäumt, diese geeigneten Garantien gemäß Art. 46 DSGVO sicherzustellen. Das Gericht stellte daher fest, dass der Kläger nicht sicher sein könne, wie seine personenbezogenen Daten verwendet werden würden, was zu einem Gefühl der Unsicherheit über die weitere Verarbeitung führte. Dies stelle einen immateriellen Schaden dar, der dazu führte, dass das Gericht dem Kläger einen Schadensersatzanspruch in Höhe von 400 Euro gegen die Kommission zusprach.
Zunächst wird deutlich, dass Institutionen und Unternehmen als Verantwortliche für Datenübermittlungen haften, die durch eine Einbindung von externen Plattformen wie Facebook ermöglicht werden. Auch die Notwendigkeit, Datenübermittlungen in Drittländer gemäß Art. 44 ff. DSGVO abzusichern, wird abermals betont und auch die EU bildet keine Ausnahme von der Pflicht. Standardvertragsklauseln oder andere Garantien sind zwingend erforderlich, um den rechtlichen Anforderungen gerecht zu werden, ansonsten drohen vermehrt Schadensersatzklagen aufgrund rechtswidriger Datenübermittlungen in Drittstaaten. Für Unternehmen bedeutet es: Datenschutz muss ernst genommen werden! Wenn Unklarheiten bestehen, holen Sie sich rechtliche Unterstützung.
➤ Abmahnung wegen Verstoß gegen geltendes Datenschutzrecht
➤ Abberufung Datenschutzbeauftragter mit DSGVO vereinbar?
➤ 5.000,- € Bußgeld aufgrund von fehlender DSGVO-Vereinbarung
Möchten Sie mehr darüber erfahren, wie Sie sich nach der DSGVO richtig verhalten? Wollen Sie gerne wissen, ob Sie gegen den Datenschutz verstoßen oder gegen einen Verstoß vorgehen? Wir als spezialisierte Anwälte für Datenschutzrecht beraten Sie gerne bei jeglichen Belangen, um Sie und Ihre Daten zu schützen. Sie wollen wissen, wie Sie sich vor einem Hackerangriff schützen, oder wie Sie sich im Falle eines Hackerangriffes am besten verhalten sollten? Sie brauchen Hilfe bei Erstellung eines IT-Sicherheitskonzeptes? Sie wollen erfahren, wie Sie Datenflüsse protokollieren und kontrollieren?
Bei Fragen zum Datenschutzrecht stehen wir Ihnen sehr gerne mit unseren erfahrenen Anwälten für Datenschutzrecht und zertifizierten Datenschutzbeauftragten zur Verfügung. Unser Team berät Sie fachlich kompetent und zielorientiert. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Rechtsanwälten und Spezialisten der SBS LEGAL Rechtsanwälte? Dann freuen wir uns auf Ihre Kontaktaufnahme.