I. Einleitung
Die türkische Behörde für den Schutz personenbezogener Daten hat Anfang Januar die Leitlinien für die internationale Übermittlung personenbezogener Daten veröffentlicht. Nach dieser Veröffentlichung ist der internationale Datentransfer zu einem wichtigen Thema in den Bereichen Recht und Cybersicherheit in diesem Land geworden. In diesem Artikel wird das Urteil des Gerichts der Europäischen Union („Gericht“) in der Rechtssache Bindl/Kommission analysiert, das im letzten Monat verkündet wurde und die Datenübermittlung an Drittländer betrifft.
II. Behauptungen und Ansprüche des Klägers
In den Jahren 2021 und 2022 besuchte Bindl, eine natürliche Person deutscher Staatsangehörigkeit, mehrmals die Website der Konferenz über die Zukunft Europas, die mit der Europäischen Kommission („Kommission“) verbunden ist. Insbesondere besuchte er die Website, indem er die Option „Mit Facebook anmelden“ über den EU-Login-Authentifizierungsdienst der Kommission (EU Login, früher ECAS) nutzte, um sich für die „GoGreen“-Veranstaltung zu registrieren. Der Kläger behauptete, dass seine personenbezogenen Daten, einschließlich seiner IP-Adresse und seiner Browser- und Endgerätedaten, bei der Nutzung der Website in die Vereinigten Staaten von Amerika (USA) übermittelt wurden.
Der Kläger machte zunächst geltend, dass seine personenbezogenen Daten an Amazon Web Services, den Betreiber von Amazon CloudFront, dem auf der fraglichen Website verwendeten Content Delivery Network, übermittelt worden seien.
Seine zweite Behauptung war, dass seine Daten an Meta Platforms, Inc. übermittelt wurden, als er sich über sein Facebook-Konto für die GoGreen-Veranstaltung anmeldete.
Nach den Behauptungen des Klägers verfügten die USA über kein angemessenes Datenschutzniveau, und diese Datenübermittlungen stellten sogar ein Risiko dar, dass seine personenbezogenen Daten von den US-amerikanischen Sicherheits- und Nachrichtendiensten eingesehen werden könnten. Die Kommission hat keine angemessenen Sicherheitsvorkehrungen zur Rechtfertigung dieser Übertragungen vorgelegt.
Der Kläger verlangte von der Kommission, ihm 400 Euro als Ersatz des immateriellen Schadens zu zahlen, der ihm durch diese Überweisungen entstanden sei.
Zweitens beantragte der Kläger beim Gericht, die Übermittlung seiner personenbezogenen Daten für nichtig zu erklären, festzustellen, dass die Kommission es rechtswidrig unterlassen habe, zu dem Auskunftsersuchen Stellung zu nehmen, und die Kommission zu verurteilen, ihm 800 Euro als Ersatz des immateriellen Schadens zu zahlen, der ihm durch die Verletzung seines Rechts auf Zugang zu Informationen entstanden sei.
III. Feststellungen und Urteil des Gerichtshofs der Europäischen Union
Das Gericht wies die zweite Gruppe von Anträgen sowie den Antrag betreffend Amazon CloudFront zurück.
Anders verhält es sich bei der Anmeldung der Klägerin für die Veranstaltung GoGreen über EU Login mit der Option „Sign in with Facebook“. Das Gericht kam zu dem Schluss, dass die Übertragung der IP-Adresse der Klägerin auf Meta Platforms, ein Unternehmen mit Sitz in den USA, der Kommission zuzurechnen ist. Zum Zeitpunkt der Übermittlung (30. März 2022) lag kein Beschluss der Kommission vor, in dem anerkannt wurde, dass die USA ein angemessenes Datenschutzniveau gewährleisten.
Nach dem Urteil des Gerichts hat die Kommission auch nicht behauptet und nachgewiesen, dass eine geeignete Schutzmaßnahme, wie eine Standardklausel zum Datenschutz oder eine Vertragsklausel, vorhanden war. Im vorliegenden Fall unterlag die Anzeige des Hyperlinks „Sign in with Facebook“ auf der betreffenden Seite vollständig den allgemeinen Geschäftsbedingungen der Facebook-Plattform. Daher erfüllte die Kommission nicht die Bedingungen, die das EU-Recht für die Übermittlung personenbezogener Daten durch ein Organ, eine Einrichtung, ein Amt oder eine Agentur der EU an ein Drittland vorsieht.
Das Gericht kam daher zu dem Schluss, dass die Kommission einen hinreichend qualifizierten Verstoß gegen eine Rechtsnorm begangen hat, die dem Einzelnen Rechte verleiht. So stellte das Gericht fest, dass dem Kläger ein immaterieller Schaden durch die Ungewissheit im Zusammenhang mit der Verarbeitung seiner personenbezogenen Daten, insbesondere seiner IP-Adresse, entstanden ist. Das Gericht stellte ferner fest, dass ein hinreichend direkter Kausalzusammenhang zwischen dem Verstoß der Kommission und dem immateriellen Schaden des Klägers bestehe. Aufgrund dieser Feststellungen verurteilte das Gericht die Kommission, dem Kläger den von ihm geltend gemachten immateriellen Schaden in Höhe von 400 Euro zu ersetzen, da die Voraussetzungen für die außervertragliche Haftung der Europäischen Union erfüllt seien.
IV. Allgemeine Situation zwischen der EU und den USA
Der Wendepunkt in Bezug auf die Datenübermittlung aus der EU in die USA war die Entscheidung Schrems II der Großen Kammer vom 16. Juli 2020. In dieser Entscheidung erklärte das Gericht den „Privacy Shield“-Rahmen zur Regelung des Datentransfers zwischen der EU und den USA für ungültig, weil die USA die Daten nicht auf dem von Europa geforderten Niveau schützen konnten. Diese Entscheidung bedeutete, dass es keinen gültigen Angemessenheitsbeschluss zur Regelung von Datenübertragungen mit den USA gab. Da in der Folge (bis Juli 2023) kein Angemessenheitsbeschluss gefasst wurde, mussten Unternehmen und Organisationen, die Daten in die USA übertragen wollten, zusätzliche Sicherheitsmaßnahmen ergreifen. Am 4. Juni 2021 veröffentlichte die Kommission die EU-Standardvertragsklauseln (SCC). Damit wurden die früheren Standardvertragsklauseln für Datenübermittlungen in Drittländer ab dem 27. Dezember 2022 ungültig. Die Übermittlung, auf die im Bindl-Urteil Bezug genommen wird, fand statt, als es noch kein Abkommen oder keinen Angemessenheitsbeschluss zwischen der EU und den USA gab. 2022 begannen die Verhandlungen über einen neuen transatlantischen Rahmen, und am 10. Juli 2023 wurde ein Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen gefasst.
V. Analyse und Schlussfolgerung
Zusammenfassend lässt sich sagen, dass für eine sichere Datenübermittlung in Drittländer zunächst geprüft werden muss, ob diese Länder die Kriterien für die Datensicherheit erfüllen und durch einen Angemessenheitsbeschluss abgedeckt sind. In Ländern, für die es keinen Angemessenheitsbeschluss gibt, ist es wichtig, Rechtsinstrumente wie von der Kommission angenommene Standardvertragsklauseln, Vertragsklauseln, die vom Europäischen Datenschutzbeauftragten genehmigt werden müssen, und verbindliche Unternehmensregeln, die der Datenschutzbehörde des betreffenden Landes gemeldet werden, zu verwenden und zusätzliche Sicherheitsvorkehrungen zu treffen (technische Maßnahmen wie Verschlüsselung, Anonymisierung von Daten). An dieser Stelle müssen wir betonen, dass die Türkei zu den Ländern gehört, für die kein Angemessenheitsbeschluss vorliegt.
Obwohl die am Ende zugesprochene Entschädigungssumme nicht sehr hoch ist, ist die Entscheidung insofern wichtig, als sie deutlich macht, dass nicht nur private Unternehmen, sondern auch staatliche Einrichtungen im Rahmen angemessener Garantien für den Schutz personenbezogener Daten handeln müssen. Die Entscheidung ist auch nützlich, um zu unterstreichen, dass die Verwaltung die Rechtsvorschriften zum Schutz personenbezogener Daten sorgfältig beachten sollte, dass die Rechte des Einzelnen gegenüber der Verwaltung durch wirksame gerichtliche Mechanismen geschützt werden müssen und dass die Entschädigungsentscheidungen der Gerichte in dieser Hinsicht von Bedeutung sind. Dennoch ist die Entscheidung in gewisser Weise interessant. Durch die Eröffnung eines Facebook-Kontos und die Nutzung der Option „Mit Facebook anmelden“ auf einer beliebigen Website ist der Antragsteller bereits Datenübermittlungen auf der Grundlage der allgemeinen Geschäftsbedingungen der Facebook-Plattform ausgesetzt. Daher findet die Datenübermittlung an Meta Platforms, die nach seinen Angaben einen immateriellen Schaden verursacht hat (und das Risiko, dass seine Daten von amerikanischen Sicherheits- und Nachrichtendiensten eingesehen werden können, falls seine Behauptungen der Wahrheit entsprechen), bereits statt, selbst wenn er niemals Zugang zu einer Website der Kommission erhält, weil er diese Plattform aus freien Stücken nutzt.
Das türkische Recht sieht auch Schadensersatz vor, wenn personenbezogene Daten nicht gemäß dem Gesetz Nr. 6698 über den Schutz personenbezogener Daten und anderen allgemeinen Bestimmungen geschützt werden. In Anbetracht des engen Zusammenhangs zwischen dem Schutz personenbezogener Daten und dem Schutz der Persönlichkeitsrechte ist es daher möglich, immateriellen Schadenersatz zu fordern, wenn ein Kausalzusammenhang besteht. Solche Ansprüche sind jedoch derzeit nicht üblich, insbesondere in Verwaltungsverfahren, und finden in der Öffentlichkeit keinen Anklang. Dies mag mit der langen Dauer von Gerichtsverfahren und der geringen Höhe des immateriellen Schadensersatzes zusammenhängen, der am Ende des Prozesses erzielt werden kann.
İdil Aşkın, Assoziierte
