EuG, Urt. 8.1.2025 - T-354/22
Schaden bei „Sign in with Facebook“
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 02/2025
Aus: IT-Rechtsberater, Heft 02/2025
Erfolgt bei Anmeldung auf einer Website der EU-Kommission per „Sign in with Facebook“ die Übermittlung der IP-Adresse des Betroffenen entgegen Art. 46 VO (EU) 2018/1725 an ein in den USA ansässiges Unternehmen, kann dies einen Anspruch auf immateriellen Schadensersatz i.H.v. 400 € gem. Art. 65 VO (EU) 2018/1725 i.V.m. Art. 340 Abs. 2 AEUV begründen.
AEUV Artt. 263, 265, 268, 340 Abs. 2; VO (EU) 2018/1725 Artt. 4 Abs. 1 lit. a, 14 Abs. 3, Abs. 4, 46, 48 Abs. 1, Abs. 2 lit. b, 65
Verhältnis zur DSGVO: Die DSGVO konkretisiere allgemein Art. 16 Abs. 1 AEUV und Art. 8 Abs. 1 GRC, während die DSVO speziell vor Datenschutzverstößen durch Unionstellen schütze. Beide Verordnungen seien wegen identischer Prinzipien im Einklang mit der EuGH-Rechtsprechung einheitlich auszulegen (Rz. 15–18; vgl. Artt. 2 Abs. 3, 99, Erwgrd. 5 der DSVO).
Datenschutzrechtliche Staatshaftung: Nach Art. 65 DSVO i.V.m. Art. 340 Abs. 2 AEUV setze die außervertragliche Haftung der Union für ihre Organe oder Bediensteten den Nachweis eines hinreichend qualifizierten Unionsrechtsverstoßes gegen Betroffenenrechte, tatsächlichen und sicheren materiellen oder immateriellen Schadens sowie deren Kausalzusammenhang voraus. Ein solcher Verstoß liege vor, wenn Ermessensgrenzen offenkundig und erheblich überschritten würden. Dabei seien Sachverhaltskomplexität, Schwierigkeiten bei Rechtsanwendung oder Auslegung, Normenklarheit sowie Vorsätzlichkeit und Entschuldbarkeit zu berücksichtigen. Ein hypothetischer Schaden reiche nicht. Das Organverhalten müsse entscheidende Schadensursache sein (Rz. 48–55 m.w.N.).
Unzureichende Darlegung einer Fehlinformation: Nach Artt. 17 Abs. 1 lit. c, Abs. 2, 4 Abs. 1 lit. a DSVO (≙ Artt. 15 Abs. 1 lit. c, Abs. 2, 5 Abs. 1 lit. a DSGVO) hätten Betroffene ein Auskunftsrecht zu Datenempfängern und Schutzmaßnahmen. Vorgeschrieben sei nicht, dass die Informationen zur Drittlandübermittlung i.S.v. Art. 48 Abs. 1, Abs. 2 lit. b DSVO (≙ Art. 46 Abs. 1, Abs. 2 lit. c DSGVO) zwingend insb. in einer Datenschutzerklärung enthalten sein müssten. Dass auch die Antwort zum ersten Auskunftsantrag hierzu ebenfalls keine Angaben enthalte, lege den Verstoß nicht dar, weil sich der Klageantrag nicht auf solche Übermittlungen stütze (Rz. 64–72, 74 f.).
Kein Schaden durch Säumnis: Werde die Antwortfrist von einem Monat gem. Art. 14 Abs. 3 und 4 DSVO (≙ Art. 12 Abs. 3 und 4 DSGVO) überschritten, sei – vorbehaltlich hinreichend qualifizierten Verstoßes – zumindest nachzuweisen, dass das Organverhalten zur Schadenszufügung geeignet gewesen sei. Ein Datenkontrollverlust i.S.d. Erwgrd. 46 der DSVO (≙ Erwgrd. 75 der DSGVO) fehle, da die Frist um weniger als zwei Monate überschritten worden sei und die Antwort zum ersten Auskunftsantrag wegen inhaltlicher Überschneidung zumindest partiell den zweiten abgedeckt habe (Rz. 61, 81–85 m.w.N.).
Subjektiver Schutz vor Drittlandtransfer: Die Übermittlung i.S.v. Art. 46, Erwgrd. 63 der DSVO (≙ Art. 44 Abs. 1, Erwgrd. 101 Satz 3–5 der DSGVO) erfordere, dass der Verantwortliche der Unionsadministration i.S.v. Art. 1 DSVO angehöre und Daten einem Empfänger (Art. 3 Nr. 13 DSVO ≙ Art. 4 Nr. 9 DSGVO) mit Sitz außerhalb von EU und EWR bereitgestellt worden seien. Diese Regelungen schützten Individualinteressen (Rz. 94 ff., 107 f.).
Kein Angemessenheitsbeschluss: Eine Übermittlung nach Art. 47 Abs. 1 DSVO (≙ Art. 45 Abs. 1 DSGVO) sei zulässig, wenn ein Beschluss, z.B. gem. Art. 45 Abs. 3 DSGVO, ein angemessenes Schutzniveau des Drittlands bestätige und sie zu den Aufgaben des Verantwortlichen gehöre. Daran fehle es wegen der Ungültigkeit der Beschlüsse v. 26.7.2000 und 12.7.2016 (Rz. 98 ff. m.w.N.).
Keine Standarddatenschutzklauseln: Ferner seien Drittlandübermittlungen zulässig, sofern der Übermittelnde geeignete Garantien vorsehe und Betroffene wirksame Rechte und Rechtsbehelfe hätten. Solche Garantien könnten insb. in Standardklauseln i.S.v. Art. 48 Abs. 2 lit. b DSVO (≙ Art. 46 Abs. 2 lit. c DSGVO) bestehen. Ggf. seien zusätzliche Maßnahmen erforderlich (vgl. EuGH v. 16.7.2020 – C-311/18 – Schrems II Rz. 133 f., CR 2020, 529 = ITRB 2020, 180 [Rössel]). Mit Genehmigung durch den EDSB kämen auch mit den Beteiligten aus dem Drittland vereinbarte individuelle Vertragsklauseln i.S.v. Art. 48 Abs. 3 lit. a DSVO (≙ Art. 46 Abs. 3 lit. a DSGVO) in Betracht. Artt. 7, 8, 47 GRC seien zu beachten (Rz. 101–105).
Geobegrenzung von CloudFront: Die Konferenzwebsite nutze ein CDN mit globalem Netzwerk von Edge locations zur Beschleunigung. Websiteanforderungen würden nach Proximität zur Edge location mit geringster Latenz geroutet, so dass Zugriffe aus der Union selten außerhalb liegende Standorte nutzten. Aufgrund Vertrags mit AWS EMEA werde nur das Teilnetz in den USA, Mexiko, Kanada, Israel und Europa verwendet; blieben Daten im EWR, werde Kap. V DSVO eingehalten, seien Datenauskunftsanträge zu übermitteln und Rechtsbehelfe auszuschöpfen. Die Klauseln seien vom EDSB nicht i.S.v. Art. 48 Abs. 3 lit. a DSVO förmlich genehmigt worden (Rz. 110–118).
Keine Drittlandübermittlung am 30.3.2022: Bei Aufruf der Konferenzwebsite seien Browser- und Geräteinformationen sowie die dynamische IP-Adresse des Experten als personenbezogenes Datum i.S.v. Art. 3 Nr. 1 DSVO (≙ Art. 4 Nr. 1 DSGVO; vgl. EuGH v. 19.10.2016 – C-582/14 – Breyer Rz. 49, CR 2016, 791 = ITRB 2016, 267 [Kartheuser]) an einen Münchener Server eines deutschen Unternehmens übermittelt worden. Die Nutzung eines nicht auf den EWR beschränkten CDN beweise keine grenzüberschreitende Übermittlung (Rz. 121–130 m.w.N.).
Unerhebliche Transfergefahr bei Tochtergesellschaft: Eine Drittlandübermittlung liege zwar bei Auskunfterteilung nach Drittlandrecht vor, jedoch sei keine Anforderung durch US-Behörden behauptet worden. Die bloße Gefahr, dass AWS EMEA als Tochter von Amazon.com Inc. einer solchen Anforderung nicht standhalten könnte, begründe keinen unmittelbaren Verstoß gegen Kap. V DSVO oder GRC. Aus der EuGH-Entscheidung „Schrems II“ ergäben sich keine Maßnahmepflichten gegenüber Töchtern von Drittlandunternehmen (Rz. 133–138).
Kein zurechenbarer Drittlandtransfer am 8.6.2022: Für die außervertragliche Haftung genüge nicht die rechtswidrige Handlung als conditio sine qua non, sondern sie müsse unmittelbar kausal sein (vgl. Rz. 55). Daran fehle es, wenn der Schaden auf die freie Wahl des Betroffenen zurückzuführen sei. Der Experte habe in Deutschland am selben Tag Verbindungen über das CDN zu Servern auch in London, Oregon und New Jersey hergestellt, wobei seine IP-Adresse übermittelt worden sei. Von den 4.548 Zugriffen auf die Konferenzwebsite über 18 IP-Adressen seien nur von seiner Adresse Drittlandverbindungen aufgebaut worden. Seine mutmaßlichen Standorteinstellungen, insb. für Oregon oder New Jersey, seien unmittelbare Ursache gewesen, wodurch das Prinzip der Proximität des CDN – anders als bei tatsächlichen Abrufen aus den USA – nicht zurechenbar sei (Rz. 145–162 m.w.N.).
Datenübermittlung beim „EU Login“ am 30.3.2022: „EU Login“ versuche mehrere Hundert unionsbezogene Websites und Anwendungen vor unechten Nutzern und Identitätsdiebstahl zu schützen. Eine Anmeldung erfolge wahlweise über ein EU-Login-Konto, eID-Karte oder vereinfacht über Facebook‑, X(Twitter)- oder Google-Konto. Bei „Sign in with Facebook“ seien IP-Adresse sowie weitere Daten (u.a. EU-Login-URL sowie E‑Mail-Adresse, Vor- und Nachname des Facebook-Kontos) an www.facebook.com übermittelt worden. Nach Zustimmung seien zeitlich begrenzt Authentifizierungsdaten des Nutzers „EU Login“ zur Verfügung gestellt worden. Somit habe die Kommission die Übermittlung an die Facebook gehörende Meta Platforms Inc. (USA) ermöglicht, ohne dass eine Rechtfertigung gem. Artt. 47, 48 Abs. 1–3 DSVO bestanden habe, und dabei hinreichend qualifiziert gegen Art. 46 DSVO verstoßen (Rz. 168–181, 187–191).
Kontrollverlust als Schaden: Art. 65 DSVO setze für den immateriellen Schaden keine Erheblichkeitsschwelle voraus (vgl. zu Art. 82 Abs. 1 DSGVO EuGH v. 4.5.2023 – C-300/21 – Österr. Post II Rz. 45, 51, CR 2023, 436 = ITRB 2023, 170 [Rössel]). Vorliegend sei der Schaden tatsächlich und sicher. Wegen Verstoßes gegen Art. 46 DSVO sei die Verarbeitung der IP-Adresse unsicher gewesen. Hinreichend unmittelbare Kausalität bestehe. Eine Entschädigung i.H.v. 400 € sei angemessen (Rz. 196–199).
AEUV Artt. 263, 265, 268, 340 Abs. 2; VO (EU) 2018/1725 Artt. 4 Abs. 1 lit. a, 14 Abs. 3, Abs. 4, 46, 48 Abs. 1, Abs. 2 lit. b, 65
Das Problem
Ein deutscher Datenschutzexperte besuchte 2021/2022 mehrfach die EU-Kommissions-Website „Konferenz zur Zukunft Europas“ und beantragte Datenschutzauskunft wegen auffälliger Datenübermittlung in die USA. Ihm wurde ein Hyperlink zu seinen personenbezogenen Daten mitgeteilt sowie, dass diese nur über das CDN von Amazon CloudFront der luxemburgischen AWS EMEA (Tochter von Amazon.com Inc.) verarbeitet würden – vertragsgemäß ohne Übermittlung insb. an US-amerikanische Partner. Später meldete er sich über den Authentifizierungsdienst „EU Login“ per „Sign in with Facebook“ zu einer Veranstaltung an. Ein zweiter, entsprechender Auskunftsantrag blieb vorprozessual unbeantwortet.Die Entscheidung des Gerichts
Die Kommission werde wegen Datenübertragungen i.R.v. „Sign in with Facebook“ zu 400 € immateriellem Schadensersatz gem. Art. 65 DSVO (EU) 2018/1725 (EU-Datenschutzverordnung) verurteilt. Ein Anspruch auf 800 € wegen des zweiten Auskunftsantrags werde abgelehnt.Verhältnis zur DSGVO: Die DSGVO konkretisiere allgemein Art. 16 Abs. 1 AEUV und Art. 8 Abs. 1 GRC, während die DSVO speziell vor Datenschutzverstößen durch Unionstellen schütze. Beide Verordnungen seien wegen identischer Prinzipien im Einklang mit der EuGH-Rechtsprechung einheitlich auszulegen (Rz. 15–18; vgl. Artt. 2 Abs. 3, 99, Erwgrd. 5 der DSVO).
Datenschutzrechtliche Staatshaftung: Nach Art. 65 DSVO i.V.m. Art. 340 Abs. 2 AEUV setze die außervertragliche Haftung der Union für ihre Organe oder Bediensteten den Nachweis eines hinreichend qualifizierten Unionsrechtsverstoßes gegen Betroffenenrechte, tatsächlichen und sicheren materiellen oder immateriellen Schadens sowie deren Kausalzusammenhang voraus. Ein solcher Verstoß liege vor, wenn Ermessensgrenzen offenkundig und erheblich überschritten würden. Dabei seien Sachverhaltskomplexität, Schwierigkeiten bei Rechtsanwendung oder Auslegung, Normenklarheit sowie Vorsätzlichkeit und Entschuldbarkeit zu berücksichtigen. Ein hypothetischer Schaden reiche nicht. Das Organverhalten müsse entscheidende Schadensursache sein (Rz. 48–55 m.w.N.).
Unzureichende Darlegung einer Fehlinformation: Nach Artt. 17 Abs. 1 lit. c, Abs. 2, 4 Abs. 1 lit. a DSVO (≙ Artt. 15 Abs. 1 lit. c, Abs. 2, 5 Abs. 1 lit. a DSGVO) hätten Betroffene ein Auskunftsrecht zu Datenempfängern und Schutzmaßnahmen. Vorgeschrieben sei nicht, dass die Informationen zur Drittlandübermittlung i.S.v. Art. 48 Abs. 1, Abs. 2 lit. b DSVO (≙ Art. 46 Abs. 1, Abs. 2 lit. c DSGVO) zwingend insb. in einer Datenschutzerklärung enthalten sein müssten. Dass auch die Antwort zum ersten Auskunftsantrag hierzu ebenfalls keine Angaben enthalte, lege den Verstoß nicht dar, weil sich der Klageantrag nicht auf solche Übermittlungen stütze (Rz. 64–72, 74 f.).
Kein Schaden durch Säumnis: Werde die Antwortfrist von einem Monat gem. Art. 14 Abs. 3 und 4 DSVO (≙ Art. 12 Abs. 3 und 4 DSGVO) überschritten, sei – vorbehaltlich hinreichend qualifizierten Verstoßes – zumindest nachzuweisen, dass das Organverhalten zur Schadenszufügung geeignet gewesen sei. Ein Datenkontrollverlust i.S.d. Erwgrd. 46 der DSVO (≙ Erwgrd. 75 der DSGVO) fehle, da die Frist um weniger als zwei Monate überschritten worden sei und die Antwort zum ersten Auskunftsantrag wegen inhaltlicher Überschneidung zumindest partiell den zweiten abgedeckt habe (Rz. 61, 81–85 m.w.N.).
Subjektiver Schutz vor Drittlandtransfer: Die Übermittlung i.S.v. Art. 46, Erwgrd. 63 der DSVO (≙ Art. 44 Abs. 1, Erwgrd. 101 Satz 3–5 der DSGVO) erfordere, dass der Verantwortliche der Unionsadministration i.S.v. Art. 1 DSVO angehöre und Daten einem Empfänger (Art. 3 Nr. 13 DSVO ≙ Art. 4 Nr. 9 DSGVO) mit Sitz außerhalb von EU und EWR bereitgestellt worden seien. Diese Regelungen schützten Individualinteressen (Rz. 94 ff., 107 f.).
Kein Angemessenheitsbeschluss: Eine Übermittlung nach Art. 47 Abs. 1 DSVO (≙ Art. 45 Abs. 1 DSGVO) sei zulässig, wenn ein Beschluss, z.B. gem. Art. 45 Abs. 3 DSGVO, ein angemessenes Schutzniveau des Drittlands bestätige und sie zu den Aufgaben des Verantwortlichen gehöre. Daran fehle es wegen der Ungültigkeit der Beschlüsse v. 26.7.2000 und 12.7.2016 (Rz. 98 ff. m.w.N.).
Keine Standarddatenschutzklauseln: Ferner seien Drittlandübermittlungen zulässig, sofern der Übermittelnde geeignete Garantien vorsehe und Betroffene wirksame Rechte und Rechtsbehelfe hätten. Solche Garantien könnten insb. in Standardklauseln i.S.v. Art. 48 Abs. 2 lit. b DSVO (≙ Art. 46 Abs. 2 lit. c DSGVO) bestehen. Ggf. seien zusätzliche Maßnahmen erforderlich (vgl. EuGH v. 16.7.2020 – C-311/18 – Schrems II Rz. 133 f., CR 2020, 529 = ITRB 2020, 180 [Rössel]). Mit Genehmigung durch den EDSB kämen auch mit den Beteiligten aus dem Drittland vereinbarte individuelle Vertragsklauseln i.S.v. Art. 48 Abs. 3 lit. a DSVO (≙ Art. 46 Abs. 3 lit. a DSGVO) in Betracht. Artt. 7, 8, 47 GRC seien zu beachten (Rz. 101–105).
Geobegrenzung von CloudFront: Die Konferenzwebsite nutze ein CDN mit globalem Netzwerk von Edge locations zur Beschleunigung. Websiteanforderungen würden nach Proximität zur Edge location mit geringster Latenz geroutet, so dass Zugriffe aus der Union selten außerhalb liegende Standorte nutzten. Aufgrund Vertrags mit AWS EMEA werde nur das Teilnetz in den USA, Mexiko, Kanada, Israel und Europa verwendet; blieben Daten im EWR, werde Kap. V DSVO eingehalten, seien Datenauskunftsanträge zu übermitteln und Rechtsbehelfe auszuschöpfen. Die Klauseln seien vom EDSB nicht i.S.v. Art. 48 Abs. 3 lit. a DSVO förmlich genehmigt worden (Rz. 110–118).
Keine Drittlandübermittlung am 30.3.2022: Bei Aufruf der Konferenzwebsite seien Browser- und Geräteinformationen sowie die dynamische IP-Adresse des Experten als personenbezogenes Datum i.S.v. Art. 3 Nr. 1 DSVO (≙ Art. 4 Nr. 1 DSGVO; vgl. EuGH v. 19.10.2016 – C-582/14 – Breyer Rz. 49, CR 2016, 791 = ITRB 2016, 267 [Kartheuser]) an einen Münchener Server eines deutschen Unternehmens übermittelt worden. Die Nutzung eines nicht auf den EWR beschränkten CDN beweise keine grenzüberschreitende Übermittlung (Rz. 121–130 m.w.N.).
Unerhebliche Transfergefahr bei Tochtergesellschaft: Eine Drittlandübermittlung liege zwar bei Auskunfterteilung nach Drittlandrecht vor, jedoch sei keine Anforderung durch US-Behörden behauptet worden. Die bloße Gefahr, dass AWS EMEA als Tochter von Amazon.com Inc. einer solchen Anforderung nicht standhalten könnte, begründe keinen unmittelbaren Verstoß gegen Kap. V DSVO oder GRC. Aus der EuGH-Entscheidung „Schrems II“ ergäben sich keine Maßnahmepflichten gegenüber Töchtern von Drittlandunternehmen (Rz. 133–138).
Kein zurechenbarer Drittlandtransfer am 8.6.2022: Für die außervertragliche Haftung genüge nicht die rechtswidrige Handlung als conditio sine qua non, sondern sie müsse unmittelbar kausal sein (vgl. Rz. 55). Daran fehle es, wenn der Schaden auf die freie Wahl des Betroffenen zurückzuführen sei. Der Experte habe in Deutschland am selben Tag Verbindungen über das CDN zu Servern auch in London, Oregon und New Jersey hergestellt, wobei seine IP-Adresse übermittelt worden sei. Von den 4.548 Zugriffen auf die Konferenzwebsite über 18 IP-Adressen seien nur von seiner Adresse Drittlandverbindungen aufgebaut worden. Seine mutmaßlichen Standorteinstellungen, insb. für Oregon oder New Jersey, seien unmittelbare Ursache gewesen, wodurch das Prinzip der Proximität des CDN – anders als bei tatsächlichen Abrufen aus den USA – nicht zurechenbar sei (Rz. 145–162 m.w.N.).
Datenübermittlung beim „EU Login“ am 30.3.2022: „EU Login“ versuche mehrere Hundert unionsbezogene Websites und Anwendungen vor unechten Nutzern und Identitätsdiebstahl zu schützen. Eine Anmeldung erfolge wahlweise über ein EU-Login-Konto, eID-Karte oder vereinfacht über Facebook‑, X(Twitter)- oder Google-Konto. Bei „Sign in with Facebook“ seien IP-Adresse sowie weitere Daten (u.a. EU-Login-URL sowie E‑Mail-Adresse, Vor- und Nachname des Facebook-Kontos) an www.facebook.com übermittelt worden. Nach Zustimmung seien zeitlich begrenzt Authentifizierungsdaten des Nutzers „EU Login“ zur Verfügung gestellt worden. Somit habe die Kommission die Übermittlung an die Facebook gehörende Meta Platforms Inc. (USA) ermöglicht, ohne dass eine Rechtfertigung gem. Artt. 47, 48 Abs. 1–3 DSVO bestanden habe, und dabei hinreichend qualifiziert gegen Art. 46 DSVO verstoßen (Rz. 168–181, 187–191).
Kontrollverlust als Schaden: Art. 65 DSVO setze für den immateriellen Schaden keine Erheblichkeitsschwelle voraus (vgl. zu Art. 82 Abs. 1 DSGVO EuGH v. 4.5.2023 – C-300/21 – Österr. Post II Rz. 45, 51, CR 2023, 436 = ITRB 2023, 170 [Rössel]). Vorliegend sei der Schaden tatsächlich und sicher. Wegen Verstoßes gegen Art. 46 DSVO sei die Verarbeitung der IP-Adresse unsicher gewesen. Hinreichend unmittelbare Kausalität bestehe. Eine Entschädigung i.H.v. 400 € sei angemessen (Rz. 196–199).