EUGH zu Schadensersatzansprüchen im Datenschutzrecht nach Datenübermittlung in die USA

Ist das der nächste Aufreger: Mit dem EUGH stehen (CDN) im -Fokus – der EuGH hat sich in der Rechtssache T-354/22 nämlich mit der Frage auseinandergesetzt, unter welchen Voraussetzungen Schadensersatzansprüche wegen Verletzungen des Datenschutzrechts geltend gemacht werden können. Kern des Verfahrens war die eines deutschen Bürgers, der geltend machte, dass ihm durch die unzureichende Bearbeitung eines Auskunftsersuchens sowie durch die Übermittlung seiner personenbezogenen Daten an Drittländer (durch ein CDN!) ohne angemessenes Schutzniveau immaterielle Schäden entstanden seien.

Die Entscheidung greift zentrale Aspekte des europäischen Datenschutzrechts auf, insbesondere die Verordnung (EU) 2018/1725 und ihre enge Verzahnung mit der -Grundverordnung (DSGVO). Dabei war der Fall zugleich ein Prüfstein für die Anwendbarkeit von Vorschriften, die den Schutz personenbezogener Daten und das Recht auf wirksamen Rechtsschutz in der EU gewährleisten.

Rechtsfragen und Argumentation des Gerichts

Im Mittelpunkt der Entscheidung standen mehrere rechtliche Fragen:

  1. Rechtswidrigkeit der Datenübermittlung
    Der Kläger machte geltend, dass seine Daten beim Besuch einer von der Europäischen Kommission betriebenen Website (Konferenz zur Zukunft Europas) über das Content Delivery Network „Amazon CloudFront“ in die USA übermittelt wurden. Dies sei ohne geeignete Schutzmaßnahmen geschehen, wodurch die Sicherheit und Kontrolle über die Daten gefährdet worden seien. Der EuGH prüfte, ob die Übermittlung gegen Kapitel V der Verordnung 2018/1725 verstößt, das spezifische Bedingungen für die Übermittlung personenbezogener Daten an Drittländer aufstellt.
  2. Verstoß gegen das Auskunftsrecht
    Ein weiteres Anliegen des Klägers war die verspätete oder unzureichende Beantwortung seines Auskunftsersuchens. Der EuGH setzte sich mit der Frage auseinander, ob diese Verzögerung einen hinreichend qualifizierten Verstoß darstellt, der zu einem Schadensersatzanspruch führen kann.
  3. Immaterieller Schaden und dessen Nachweis
    Ein zentraler Streitpunkt war die Frage, ob die behaupteten Verletzungen tatsächlich zu einem immateriellen Schaden geführt haben und ob dieser hinreichend belegt wurde.

Schadenshöhe und Argumentation des Gerichts

Der Kläger forderte insgesamt 1.200 Euro Schadensersatz: 800 Euro für den immateriellen Schaden durch die Verletzung seines Auskunftsrechts und 400 Euro für den Schaden durch die unzulässige Datenübermittlung. Der EuGH hat diese Ansprüche jedoch abgelehnt. Dabei war die Begründung zweigeteilt:

  1. Zur Verletzung des Auskunftsrechts:
    Das Gericht stellte fest, dass die Kommission die gesetzlich vorgeschriebene Frist zur Beantwortung des Auskunftsersuchens zwar um zwei Monate überschritten hatte, dieser Verstoß jedoch nicht als hinreichend qualifiziert angesehen werden konnte. Zudem wurde argumentiert, dass die verspätete Antwort keinen konkreten immateriellen Schaden verursacht habe, da der Kläger bereits auf ein früheres, nahezu gleichlautendes Ersuchen eine Antwort erhalten hatte.
  2. Zur Datenübermittlung:
    In Bezug auf die Übermittlung personenbezogener Daten an Drittländer wurde festgestellt, dass die Kommission zwar bestimmte technische und organisatorische Maßnahmen getroffen hatte, um den Datenschutz zu gewährleisten. Es blieb jedoch unklar, ob diese Maßnahmen den Anforderungen der Verordnung 2018/1725 genügten. Dennoch sah das Gericht keinen kausalen Zusammenhang zwischen der behaupteten Verletzung und einem immateriellen Schaden.

Die Höhe des geforderten Schadensersatzes wurde kritisch hinterfragt. Der EuGH betonte, dass Schadensersatzansprüche unter anderem einen nachweisbaren und tatsächlich entstandenen Schaden voraussetzen, der hier nicht ausreichend belegt werden konnte. Der rein hypothetische Verlust der Kontrolle über reiche hierfür nicht aus.


Bedeutung im Kontext der bisherigen Rechtsprechung

Die Entscheidung reiht sich in eine Linie von Urteilen ein, die die Anforderungen an den Nachweis immaterieller Schäden im Datenschutzrecht klarstellen. In der Rechtsprechung des EuGH und nationaler Gerichte wurde wiederholt betont, dass ein Schadensersatzanspruch gemäß Art. 82 DSGVO nur besteht, wenn ein tatsächlicher Schaden vorliegt und ein hinreichend qualifizierter Verstoß nachgewiesen wird.

Im Vergleich zu Entscheidungen wie jener des OLG Celle, bei der 300 Euro Schadensersatz für einen Kontrollverlust zugesprochen wurden, setzt der EuGH hier strengere Maßstäbe an. Dies könnte darauf hindeuten, dass eine bloße abstrakte Gefahr oder das subjektive Empfinden einer Beeinträchtigung allein nicht ausreichend sind, um Schadensersatzansprüche zu begründen.


Content-Delivery-Network als DSGVO-Problem?

Die Entscheidung des EuGH (8. Januar 2025, T-354/22) behandelt ausführlich die Rolle und Funktionsweise eines Content Delivery Network (CDN), im vorliegenden Fall das System Amazon CloudFront, das die Europäische Kommission für die Website der Konferenz zur Zukunft Europas genutzt hat. Hier sind die wesentlichen Aspekte, die das Gericht dazu herausgearbeitet hat:

Was ist ein Content Delivery Network?

Ein Content Delivery Network (CDN) ist ein Netzwerk aus Servern, das darauf ausgelegt ist, Inhalte wie Websites, Bilder, Videos oder Daten effizient an Nutzer zu liefern. Diese Server sind geografisch verteilt und optimieren den Zugriff durch eine Nähe zum Standort des Nutzers. CDNs verbessern damit die Ladegeschwindigkeit und die Nutzererfahrung, da Daten vom nächstgelegenen Server bereitgestellt werden.

Im Kontext der Website der Konferenz zur Zukunft Europas wurde der Dienst „Amazon CloudFront“ eingesetzt. Dieser Dienst ist ein globales CDN, das Inhalte über Server, sogenannte Edge Locations, verteilt. Bei einer Anfrage des Nutzers wird die Verbindung zur nächstgelegenen Edge Location hergestellt, um die Latenz zu minimieren.

Funktionsweise von Amazon CloudFront

Der EuGH beschreibt detailliert, wie Amazon CloudFront im Rahmen der Website funktioniert:

  1. Routing nach Proximität (Nähe):
    Der Dienst leitet die Anfrage eines Nutzers an die nächstgelegene Edge Location weiter, basierend auf der geografischen Nähe und der geringsten Latenzzeit. Sollte die nächstgelegene Edge Location nicht verfügbar sein, wird die Anfrage an die zweitnächste weitergeleitet.
  2. Vertragliche Vereinbarungen:
    Die Kommission hatte mit AWS EMEA, einer Tochtergesellschaft von Amazon, einen Vertrag abgeschlossen, in dem unter anderem geregelt wurde:
    • Die Daten sollen im Ruhezustand und während der Übermittlung innerhalb des EWR bleiben.
    • Daten dürfen ohne Zustimmung der Kommission nicht in Länder außerhalb des EWR übermittelt werden.
    • Übermittlungen an Drittländer müssen den Anforderungen von Kapitel V der Verordnung (EU) 2018/1725 genügen.
  3. Regionale Konfiguration:
    Die Kommission hatte für die Website eine Konfiguration gewählt, bei der Inhalte nur über Server in Europa, Israel und Nordamerika (USA, Mexiko, Kanada) bereitgestellt werden. Damit wurde der globale Zugriff auf die Inhalte auf diese Regionen beschränkt.
  4. Infrastruktur und Edge Locations:
    Die Edge Locations werden entweder von Amazon selbst oder von Drittanbietern betrieben. Für die gewählte Konfiguration werden Standorte in der EU und in den oben genannten Regionen genutzt. Diese Server befinden sich teilweise in Ländern mit geringeren Datenschutzstandards (z. B. USA), was potenzielle Risiken für den Datenschutz birgt.
  5. SSL-Zertifikate:
    Amazon stellte auch das SSL-Zertifikat der Website aus, was den Kläger zu der Annahme führte, dass Amazon selbst Zugriff auf die verschlüsselten Daten haben könnte.

Datenschutzrechtliche Probleme mit Amazon CloudFront

Das Gericht hob mehrere potenzielle Risiken hervor, die mit dem Einsatz eines CDNs wie Amazon CloudFront verbunden sind:

  1. Datenübermittlung in die USA:
    Obwohl der Vertrag eine Übermittlung personenbezogener Daten in Drittländer wie die USA ausschloss, wies der Kläger darauf hin, dass Server in den USA aktiv in die Datenverarbeitung einbezogen wurden. Insbesondere sei die Gefahr eines Zugriffs durch US-Sicherheitsbehörden gegeben, da US-Gesetze Unternehmen zur Herausgabe von Daten verpflichten können.
  2. Technische Konfiguration und Kontrolle:
    Die Kommission hatte sich auf die vertraglichen Zusicherungen von AWS EMEA verlassen, dass keine Übermittlung in Drittländer ohne angemessene Schutzmaßnahmen erfolgt. Der EuGH stellte jedoch fest, dass zusätzliche technische Maßnahmen notwendig sein könnten, um sicherzustellen, dass personenbezogene Daten die EU nicht verlassen.
  3. Zusätzliche Schutzmaßnahmen:
    Der EuGH verwies auf die Notwendigkeit „zusätzlicher Maßnahmen“ im Sinne des Urteils Schrems II. Diese könnten z. B. Verschlüsselungstechnologien umfassen, die sicherstellen, dass personenbezogene Daten nicht von Dritten entschlüsselt werden können.
EUGH zu Schadensersatzansprüchen im Datenschutzrecht nach Datenübermittlung in die USA - Rechtsanwalt Ferner

Ich warne schon länger vor dem unreflektierten Einsatz von CDN bei Webseiten – nun haben wir einen gefährlichen Präzedenzfall. Mit unten stehender Checkliste und „im Zweifel Speicherung in Europa“ sollte man aber Lösungen finden.

Fazit und Ausblick

Die Entscheidung des EuGH betont die strengen Voraussetzungen für Schadensersatzansprüche im Datenschutzrecht. Während der Schutz personenbezogener Daten und die Einhaltung der DSGVO höchste Priorität genießen, müssen Kläger konkrete und nachweisbare Schäden darlegen, um Erfolg zu haben – wobei hier 400 Euro als Betrag mehr sein dürfte als dem BGH wohl bislang vorschwebte.

Diese Entscheidung dürfte sowohl die Diskussion um die Höhe immaterieller Entschädigungen als auch die praktische Umsetzung der DSGVO weiter prägen. Der EuGH macht dabei deutlich, dass der Einsatz eines CDNs datenschutzrechtlich heikel ist, wenn Server in Drittländern beteiligt sind. Organisationen und Unternehmen müssen folgende Punkte sicherstellen:

  • Transparenz und Kontrolle: Nutzer müssen über die Verarbeitung ihrer Daten, insbesondere über potenzielle Übermittlungen in unsichere Drittländer, informiert werden.
  • Vertragliche Absicherung: Es müssen detaillierte Vereinbarungen bestehen, die regeln, wie Daten verarbeitet werden und in welchen geografischen Regionen dies geschieht.
  • Technische Schutzmaßnahmen: Daten sollten verschlüsselt und durch zusätzliche Maßnahmen vor unbefugtem Zugriff geschützt werden.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.