Menu
RA-MICRO Logo

Gericht der Europäischen Union stärkt Datenschutzanforderungen bei Drittlandübertragungen

von RA Manuel Roderer | 23.01.2025

Europäisches Gericht betont die Verantwortung der EU-Kommission für Datenschutz bei Datenübertragungen und stärkt Standards für internationale Datenflüsse.

Mit Urteil vom 8. Januar 2025 (Az. T-354/22) hat das Gericht der Europäischen Union die Verantwortung von EU-Institutionen im Umgang mit personenbezogenen Daten und deren Übermittlung an Drittländer deutlich gemacht. Im Mittelpunkt stand die Frage, ob die Europäische Kommission bei der Einbindung externer Dienste wie Facebook und Amazon Web Services (AWS) datenschutzrechtliche Vorschriften eingehalten hat.  

Die Verordnung (EU) 2018/1725 regelt den Umgang von EU-Organen mit personenbezogenen Daten und setzt strenge Anforderungen an die Transparenz und Rechtmäßigkeit solcher Datenflüsse. Im vorliegenden Fall entschied das Gericht zugunsten des Klägers, der die Europäische Kommission auf Schadensersatz verklagt hatte. Das EuG verurteilte die Kommission zu einer Zahlung von 400 Euro, da die Übermittlung von Nutzerdaten an Facebook (Meta Platforms) ohne Angemessenheitsbeschluss oder geeignete Schutzmaßnahmen erfolgt war.

Der Kläger hatte sich im Rahmen eines Online-Projekts der EU-Kommission zur Zukunft Europas registriert und dabei den Authentifizierungsdienst „EU Login“ genutzt. Hierbei wurden seine personenbezogenen Daten an Facebook übermittelt, ohne dass ihn die Kommission über diese Datenübertragung oder mögliche Risiken informierte. Die Klage zielte darauf ab, sowohl die Rechtmäßigkeit dieser Übertragungen als auch die mangelnde Transparenz der EU-Kommission rechtlich zu klären.

Das Gericht stellte fest, dass die Übertragung der Daten in die USA gegen geltende Vorschriften verstieß. Insbesondere fehlte ein Angemessenheitsbeschluss oder alternative Garantien, wie sie Art. 46 der Verordnung (EU) 2018/1725 verlangt. Die Entscheidung stellt klar, dass EU-Institutionen an dieselben Datenschutzstandards gebunden sind wie private Unternehmen.

EU-Institutionen müssen sicherstellen, dass personenbezogene Daten nur dann in Drittländer übermittelt werden, wenn ein angemessenes Schutzniveau gewährleistet ist. Dies kann durch Angemessenheitsbeschlüsse oder den Einsatz von Standardvertragsklauseln erreicht werden. Zudem sind Nutzer klar und umfassend über den Umgang mit ihren Daten zu informieren, insbesondere bei der Nutzung von Drittanbietern wie Facebook. Fehlende Transparenz stellt dabei eine Verletzung der Nutzerrechte dar. Das Gericht betonte außerdem, dass EU-Institutionen nicht nur als Gesetzgeber, sondern auch als Vorbilder im Bereich Datenschutz agieren müssen. Die Einhaltung der eigenen Vorschriften ist entscheidend, um das Vertrauen der Bürger zu stärken.

Das Urteil liefert wichtige Impulse für die Beratungspraxis. Unternehmen sollten sicherstellen, dass Datenübertragungen in Drittländer den Anforderungen der DSGVO oder vergleichbarer Vorschriften genügen. Darüber hinaus ist die Sensibilisierung der Nutzer für potenzielle Risiken ein wesentlicher Bestandteil eines wirksamen Datenschutzmanagements.

Die Entscheidung des EuG ist wegweisend und stärkt die Rechte der Nutzer. Sie unterstreicht die Notwendigkeit, Datenschutzstandards auch auf institutioneller Ebene konsequent durchzusetzen. Für Bürger und Unternehmen bietet das Urteil Orientierung und erhöht den Druck auf Institutionen, bestehende Vorschriften einzuhalten. Die Europäische Kommission wird durch diese Entscheidung daran erinnert, ihrer Vorbildrolle gerecht zu werden und die hohen Standards der europäischen Datenschutzgesetze aktiv umzusetzen.

    • Artikel teilen: