Es sieht ja nie gut aus, wenn man gegen Regeln verstößt, die man selbst aufgestellt hat. Wenn man dann noch gegen Regeln verstößt, die von Anfang an nicht gut ankamen, macht das die Sache natürlich kein bisschen besser.
Eben gerade hat der Europäische Gerichtshof EuGH in Luxemburg die EU-Kommission zur Zahlung von Schadensersatz verurteilt. Der Betrag ist mit 400 Euro eher symbolisch. Der Vorgang selbst dagegen ist weit mehr als das.
Hintergrund ist die „Datenschutz-Grundverordnung“ DSGVO: Das ist das zentrale Regelwerk, mit dem die EU nach eigenen Angaben personenbezogene Daten schützen will. „Verordnung (EU) 2016/679“ heißt die enorm umfangreiche Vorschriftensammlung im offiziellen Brüsseler Eurokraten-Sprech.
In der Fachwelt war die DSGVO immer höchst umstritten. „Eines der schlechtesten Gesetze des 21. Jahrhunderts“: So nannte Thomas Hoeren die Verordnung, und der Mann ist immerhin Leiter des Instituts für Informations-, Telekommunikations- und Medienrecht an der Universität Münster. Er stand nicht allein: Auch Datenschützer, Unternehmer und ganz normale Bürger ließen kein gutes Haar an dem Rechtstext.
Doch wie das so ist mit Plänen der EU: Begründeter Widerstand spornt Brüssel eher dazu an, die Vorhaben nun erst recht durchzuziehen.
Ein zentraler Kritikpunkt war immer, dass die DSGVO viel zu kompliziert sei und im täglichen Gebrauch Anwendungsfehler geradezu provoziere. Dass an diesen Einwänden durchaus etwas dran ist, hat nun ausgerechnet die EU-Kommission selbst vorgeführt: Sie hat sich im Irrgarten ihrer eigenen Vorschriften verlaufen – und gegen die DSGVO verstoßen.
Das kam so:
In den Jahren 2021 und 2022 besuchte Thomas Bindl aus München die inzwischen nicht mehr erreichbare Website der „Konferenz zur Zukunft Europas“: futureu.europa.eu. Dort wollte der Deutsche sich zu einer Veranstaltung anmelden, und zwar mittels „EU Login“: Das ist der sogenannte Authentifizierungsdienst der Kommission. Dabei benutzte Bindl die angebotene Option „Mit Facebook anmelden“.
Unser Mann meldete sich nun via Facebook für die Veranstaltung an, zu der er wollte. Was er zu dem Zeitpunkt noch nicht wusste: Mit dieser Anmeldung löste er die Übermittlung seiner personenbezogenen Daten an den Facebook-Mutterkonzern Meta in den USA aus.
Dagegen klagte er – und bekam jetzt Recht: Seine IP-Adresse sei ohne angemessene Schutzmaßnahmen und damit rechtswidrig an Mark Zuckerbergs Konzern weitergeleitet worden. Dadurch habe der Betroffene einen immateriellen Schaden erlitten, weil er nicht sicher sein könne, wie seine Daten dort verarbeitet werden (Az. T-354/22).
Die Begründung des EuGH ist politischer Sprengstoff:
- In den USA gebe es für Daten aus Europa kein angemessenes Schutzniveau.
- Es bestehe die Gefahr, dass personenbezogene Daten von den US-Geheimdiensten abgegriffen werden.
- Die EU-Kommission weise keine geeigneten Schutzmaßnahmen nach, welche die Übermittlung solcher Daten rechtfertigen könnten.
Alles O-Ton EuGH.
Zum Zeitpunkt des strittigen Vorfalls im März 2022 habe es auch weder einen Beschluss gegeben, der ein angemessenes Schutzniveau in den USA bestätigt hätte, noch andere geeignete Garantien wie Standarddatenschutzklauseln. Stattdessen hätten allein die Nutzungsbedingungen von Facebook gegolten.
Somit habe die EU-Kommission die in der DSGVO festgeschriebenen Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland nicht ausreichend beachtet. Das sei ein Verstoß gegen geltendes Recht.
EU-Kommission hat noch andere Probleme
Es ist nicht der einzige Datenschutz-Stress, den die Truppe von Ursula von der Leyen derzeit hat:
Drei Jahre lang untersuchte die Behörde des EU-Datenschutzbeauftragten (EDSB), wie die EU-Kommission die Software „Microsoft 365“ nutzt. Ergebnis: So, wie die Kommission die Programme anwendet, verstößt sie gleich mehrfach gegen geltendes Recht. Beim Einsatz von Microsofts Cloud-Office-Paket sei der Schutz von Daten, die in Drittstaaten gehen, nicht gewährleistet.
Die sogenannten Standardvertragsklauseln für Transfers an Microsoft hatte der Konzern nach anhaltender Kritik zwar mehrfach überarbeitet, doch nach Ansicht der EDSB sind sie immer noch nicht annähernd klar genug. Außerdem habe die EU-Kommission es generell versäumt, in ihrem Vertrag mit Microsoft ausreichend zu spezifizieren, welche Arten personenbezogener Daten zu welchen Zwecken bei der Nutzung von Microsoft 365 überhaupt erhoben werden.
Viele der Rechtsverstöße betreffen offenbar eine große Zahl von Einzelpersonen. „Angesichts der Schwere und Dauer der festgestellten Verstöße“ ist der EU-Datenschutzbeauftragte jetzt, man kann es nicht anders sagen, amtlich sauer.
Das lässt er die EU-Kommission auch deutlich spüren: Er hat von der Leyen & Co. angewiesen, alle Datenübermittlungen an Microsoft und dessen Tochter- bzw. Partnerunternehmen außerhalb der EU zu stoppen, sofern sie durch die Nutzung von Microsoft 365 anfallen. Ausnahmen gelten nur für Drittstaaten, die ein vergleichbares Datenschutzniveau wie die EU haben.
Rumms.
Es ist eine schallende Ohrfeige für Ursula von der Leyen. Doch die deutsche Christdemokratin hat keineswegs vor, auch die andere Wange hinzuhalten. Im Gegenteil: Sie hat den eigenen Datenschutzbeauftragten verklagen lassen.
Das passierte schon im vergangenen Juli (Rechtssache T-262/24, nachzulesen im Amtsblatt der EU). Die Kommission will erreichen, dass der EuGH den Bericht des EDSB zur Nutzung von Microsoft 365 für nichtig erklärt. Offenbar will die EU-Kommission weiterhin wie bisher diese Software nutzen.
Auch Microsoft selbst klagt gegen den EU-Datenschutzbeauftragten. Zusammen mit der EU-Kommission wirft der Konzern dem EDSB „Rechts- und Tatsachenfehler bei der Feststellung von Verstößen“ sowie „fehlerhafte Auslegung und Anwendung“ von EU-Bestimmungen vor.
Das Ziel am Ende des ganzen Streits ist auch klar: Die EU-Kommission will Microsoft 365 weiter genau so nutzen dürfen wie bisher. Der Hinweis des eigenen Datenschutzbeauftragten auf die Regeln, die sich die EU selbst gegeben hat, scheint da enorm zu stören.
Brüssel eben.
