202527.01.

EuGH urteilt über Datenschutzklage gegen die EU-Kommission: Übermittlung personenbezogener Daten und Schadensersatz im Fokus

Der Europäische Gerichtshof (EuGH) hat den Datenschutz in Europa mit seiner Entscheidung in der Rechtssache T-354/22 erneut ins Rampenlicht gerückt.

Der Entscheidung lag folgender Sachverhalt zu Grunde: Beim Besuch der Website behauptete der Kläger, dass seine IP-Adresse, ein personenbezogenes Datum, an Amazon Web Services (AWS) in den USA übermittelt worden sei. Zudem habe es nach seiner Darstellung eine Übertragung weiterer personenbezogener Daten an Meta, die Muttergesellschaft von Facebook, gegeben. Der Kläger sah hierin zwei unzulässige Datenübermittlungen in die USA und forderte Schadensersatz. Im Mittelpunkt des Verfahrens standen darüber hinaus die Nutzung von Content Delivery Networks (CDNs) sowie die rechtlichen Anforderungen an Schadensersatzansprüche bei Datenschutzverletzungen. Das Urteil verdeutlicht, wie eng technische Systeme, rechtliche Rahmenbedingungen und die Anforderungen an den Schutz personenbezogener Daten miteinander verknüpft sind.

Klage eines deutschen Bürgers gegen die Europäische Kommission

Der Kläger machte geltend, dass seine personenbezogenen Daten durch die Nutzung des CDN-Dienstes „Amazon CloudFront“ auf der Website der Europäischen Kommission zur „Konferenz zur Zukunft Europas“ unzulässigerweise in Drittländer, insbesondere in die USA, übermittelt worden seien. Zum Zeitpunkt des Urteils gab es kein Angemessenheitsbeschluss zwischen der USA und der Bundesrepublik Deutschland. Er rügte zudem eine verspätete und unzureichende Beantwortung seines Auskunftsersuchens nach Art. 15 DSGVO durch die EU-Kommission. Er forderte 1.200 Euro Schadensersatz: 800 Euro für den Kontrollverlust durch die verspätete Antwort und 400 Euro für die unrechtmäßige Datenübermittlung.

Datenübermittlung durch ein Content Delivery Network: Problematisch oder nicht?

Der Kläger argumentierte, dass Amazon CloudFront personenbezogene Daten, darunter seine IP-Adresse, an Server außerhalb der EU übermittelt habe. Der EuGH stellte jedoch fest, dass keine direkte Übermittlung an Drittländer nachweisbar war – zumindest nicht durch den normalen Betrieb der Website.

In einem anderen Punkt jedoch, der Anmeldung über das „EU-Login“ mittels eines Facebook-Kontos auf einer ebenfalls von der Europäischen Kommission betriebenen Website, erkannte das Gericht eine Übermittlung personenbezogener Daten in die USA. Diese sei unzulässig, da keine angemessenen Garantien im Sinne der Verordnung (EU) 2018/1725 vorlägen.

Auskunftsersuchen: Ein Verstoß ohne Schaden?

Zwar hatte die Kommission die gesetzliche Frist für die Beantwortung des Auskunftsersuchens um zwei Monate überschritten, das Gericht sah jedoch keinen hinreichend qualifizierten Verstoß, der zu einem Schadensersatzanspruch führen würde. Der Kläger hatte ähnliche Informationen bereits früher erhalten, und es konnte kein nachweisbarer immaterieller Schaden durch die Verzögerung festgestellt werden.

Schadensersatz: Strenge Anforderungen des EuGH

Der EuGH sprach dem Kläger 400 Euro Schadensersatz zu – allerdings nur für die rechtswidrige Datenübermittlung bei der Anmeldung über „EU-Login“. Der immaterielle Schaden bestand in einem Kontrollverlust über die personenbezogenen Daten und dem Fehlen geeigneter Schutzmaßnahmen bei der Übertragung an ein Unternehmen in den USA. Im Hinblick auf die verspätete Beantwortung des Auskunftsersuchens wies das Gericht den Schadensersatzanspruch ab.

Content Delivery Networks: Ein datenschutzrechtliches Risiko?

Der EuGH hob hervor, dass CDNs wie Amazon CloudFront datenschutzrechtlich umstritten sind. Sie verbessern zwar die Performance von Websites, können jedoch auch eine Gefahr für den Datenschutz darstellen. Insbesondere dann, wenn personenbezogene Daten über Server in unsicheren Drittländern verarbeitet werden.

Funktionsweise und Problematik von CDNs

Ein CDN besteht aus geografisch verteilten Servern (sogenannten Edge Locations), die Nutzeranfragen an die nächstgelegene Server-Location weiterleiten. Im Fall der „Konferenz zur Zukunft Europas“ hatte die Europäische Kommission eine Konfiguration gewählt, die den Zugriff auf Server in Europa, Nordamerika und Israel ermöglichte. Obwohl die vertraglichen Regelungen vorsahen, dass Daten innerhalb der EU bleiben sollten, zeigte der Fall, dass solche Konfigurationen potenziell auch eine Verarbeitung in unsicheren Regionen erlauben.

Fazit und Handlungsempfehlungen für Unternehmen

Das Urteil des EuGH zeigt, dass Organisationen und Unternehmen bei der Nutzung von CDNs besondere Vorsicht walten lassen müssen. Transparenz, technische Maßnahmen und strenge vertragliche Vereinbarungen sind entscheidend, um Datenschutzverstöße zu vermeiden. Für Unternehmen bedeutet dies die Einhaltung und Pflege der folgenden Überlegungen:

      1. Vertragliche Maßnahmen: Verträge mit CDN-Anbietern sollten klar und rechtskonform gestaltet sein, insbesondere durch den Abschluss einer Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO. Diese regelt den Zweck und die Dauer der Datenverarbeitung, die zu treffenden Sicherheitsmaßnahmen sowie die Standorte der Datenverarbeitung. Zudem verpflichtet sie den Anbieter, personenbezogene Daten ausschließlich nach den Weisungen des Verantwortlichen zu verarbeiten. Bei internationalen Datenübermittlungen ist es essenziell, dass die AVV präzise Regelungen zu Schutzmaßnahmen und zum Umgang mit Subunternehmern enthält.
      2. Technische Maßnahmen: Es sollten zusätzliche technische und organisatorische Maßnahmen (TOMs) implementiert werden, wie beispielsweise Verschlüsselungstechnologien, um die Sicherheit personenbezogener Daten zu gewährleisten. Diese Maßnahmen tragen dazu bei, die Risiken eines unbefugten Zugriffs zu minimieren und ein hohes Datenschutzniveau sicherzustellen.
      3. Beachtung von Datenregionen: Es empfiehlt sich, Rahmenbedingungen zu wählen, die sicherstellen, dass Daten ausschließlich auf Servern/ Webseiten in sicheren Ländern, wie den Mitgliedstaaten der EU, verarbeitet werden. Sollten Datenübermittlungen in unsichere Drittländer wie die USA erforderlich sein, sind besondere Vorkehrungen zu treffen. Zunächst kann geprüft werden, ob ein Angemessenheitsbeschluss der EU-Kommission, wie das EU-U.S. Data Privacy Framework (DPF), anwendbar ist. Dieses Abkommen schafft eine rechtliche Grundlage für einen sicheren Datentransfer, sofern die beteiligten Unternehmen zertifiziert sind und die im Abkommen festgelegten Standards einhalten. Unternehmen aus den USA, die sich dem DPF unterworfen haben, sind in einer öffentlich zugänglichen Liste Falls ein solcher Beschluss nicht greift, sind die Standardvertragsklauseln (SCCs) anzuwenden, die die Verpflichtungen der beteiligten Parteien regeln und ein angemessenes Datenschutzniveau bei grenzüberschreitenden Datenflüssen gewährleisten.

Dieses Urteil dürfte als Aushängeschild in der weiteren Diskussion über die rechtliche Bewertung von CDNs und die praktische Umsetzung der DSGVO gelten. Die Botschaft ist klar: Datenschutz ist kein Hindernis für Technologie – aber es bedarf sorgfältiger Planung und Umsetzung, um den rechtlichen Rahmen zu erfüllen. Die Einhaltung der strengen Datenschutzvorgaben, insbesondere im Umgang mit CDNs und internationalen Datenübermittlungen, stellt Unternehmen häufig vor erhebliche Herausforderungen. Unsere erfahren Experten unterstützen Sie umfassend dabei, Ihre datenschutzrechtlichen Verpflichtungen zu erfüllen und zugleich die Vorteile moderner Technologien rechtskonform zu nutzen.

Wir bieten Ihnen maßgeschneiderte Beratung, einschließlich der Erstellung und Prüfung von Auftragsverarbeitungsverträgen, der Implementierung technischer und organisatorischer Maßnahmen (TOMs) sowie der Absicherung von Datenübermittlungen in unsichere Drittländer. Zögern Sie nicht, uns zu kontaktieren, um sicherzustellen, dass Ihr Unternehmen sowohl rechtlich abgesichert ist als auch wettbewerbsfähig bleibt. Gemeinsam schaffen wir die Basis für eine datenschutzkonforme und nachhaltige Nutzung Ihrer digitalen Infrastruktur.

RA Sebastian Schwiering
Wissenschaftliche Mitarbeiter Amal Albogha & Jamal Lale

*****