Das Urteil des Europäischen Gerichts vom 8.1.2025 in der Rechtssache T‑354/22, zu einer Klage von Thomas Bindl wirft ein Schlaglicht auf den Umgang mit personenbezogenen Daten und den Schutz der Privatsphäre im digitalen Raum. Es beleuchtet entscheidende Fragen zum Datenschutz, insbesondere bei der Nutzung von EU-Diensten wie „EU Login“ und der Einbindung externer Plattformen.
Kernaussagen des Urteils
- Rechte auf Auskunft über personenbezogene Daten
Das Gericht entschied, dass der Antrag des Klägers auf Nichtigerklärung unzulässig sei. Datenübermittlungen, die durch die Nutzung bestimmter technischer Dienste entstehen, seien Realakte und keine Rechtsakte, die verbindliche Rechtswirkungen erzeugen. Somit falle eine gerichtliche Überprüfung nach Art. 263 AEUV aus. - Untätigkeit der Europäischen Kommission
Obwohl die Kommission ihre Antwortpflicht gemäß Art. 265 AEUV nach Klageeinreichung erfüllt hatte, urteilte das Gericht, dass sich der Rechtsstreit in diesem Punkt erledigt habe. Ein möglicher Verstoß durch verspätete Antworten änderte daran nichts. - Schadensersatzansprüche wegen Datenübermittlung
Der Kläger argumentierte, dass seine personenbezogenen Daten, insbesondere IP-Adressen, an Drittstaaten wie die USA übermittelt wurden – unter anderem über den Authentifizierungsdienst „EU Login“. Das Gericht gab ihm teilweise recht und verurteilte die Kommission zu einer Zahlung von 400 Euro Schadensersatz, da sie nicht ausreichende Schutzmaßnahmen für die Datenübertragung getroffen habe. - Keine Haftung für bewusste Manipulation durch den Nutzer
In einem weiteren Punkt stellte das Gericht fest, dass die Übermittlung von Daten an Server in Drittstaaten nicht der Kommission zugerechnet werden könne, wenn der Nutzer absichtlich technische Maßnahmen einsetze, um seinen Standort zu verschleiern. Solche Handlungen seien nicht der EU zuzurechnen.
Wichtige rechtliche Implikationen
Das Urteil setzt ein klares Signal: EU-Institutionen sind verpflichtet, den Schutz personenbezogener Daten gemäß der Datenschutzverordnung (Verordnung 2018/1725) und der Charta der Grundrechte zu gewährleisten. Dies umfasst auch den Einsatz von Drittanbieter-Diensten wie „Amazon CloudFront“ oder die Anbindung sozialer Netzwerke wie Facebook. Unzureichende Schutzvorkehrungen bei der Datenübertragung in Drittstaaten können zu rechtlichen Konsequenzen führen.
Ausblick: Konsequenzen für den Datenschutz
Dieses Urteil betont die Bedeutung von Datensicherheit bei der digitalen Infrastruktur der EU. Die Verpflichtung, geeignete Garantien bei der Übermittlung personenbezogener Daten an Drittstaaten zu schaffen, wird weiter in den Fokus rücken. Insbesondere die Nutzung von Diensten, die auf globalen Netzwerken basieren, dürfte stärker reguliert werden.
Die Feststellung des Gerichts, dass ein immaterieller Schaden bereits durch die Unsicherheit über die Verwendung personenbezogener Daten entsteht, könnte Präzedenzwirkung für zukünftige Schadensersatzklagen haben.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530