Skip to main content

Die EU-Kommission bestätigt aus eigener Erfahrung: Facebook-Login auf Website kann teuer werden

Aktuelles EuG-Urteil - gegen die EU-Kommission - unterstreicht Haftung von Website-Betreibern bei Datenübermittlungen in Drittstaaten

Ein aktuelles Urteil des Europäischen Gerichts (EuG) vom 9. Januar 2025 (Aktenzeichen T-354/21) sendet eine klare Warnung: Die unbedachte Einbindung von Social-Media-Funktionen kann teure Konsequenzen nach sich ziehen - auch wenn es sich dabei um die EU-Kommission, also die Initiatorin der Datenschutz-Grundverordnung (DSGVO), handelt. Diese wurde nämlich verurteilt, einem Bürger 400 Euro Schadensersatz zu zahlen, weil sie auf ihrer Website der „Konferenz zur Zukunft Europas“ (2021–2022) einen „Mit Facebook anmelden“-Button integrierte.

Hintergrund: Datenübermittlung ohne ausreichende Absicherung

Auf der Website der Konferenz ermöglichte die EU-Kommission Nutzern die Anmeldung über Facebook. Dabei wurde die IP-Adresse der Besucher an Meta Platforms, Inc. (USA) übermittelt – zu einem Zeitpunkt (30. März 2022), als keine gültigen Datenschutzabkommen zwischen der EU und den USA bestanden. Nach dem Scheitern des „Privacy Shield“-Abkommens im Jahr 2020 fehlte damit die rechtliche Grundlage für solche Datenflüsse.

Das Gericht stellte klar:

  • IP-Adressen gelten als personenbezogene Daten und unterliegen dem Schutz der DSGVO.
  • Schon die Möglichkeit einer unrechtmäßigen Datenübermittlung reicht aus, um einen „hinreichend qualifizierten Rechtsverstoß“ zu begründen.
  • Die EU-Kommission hatte keine angemessenen Schutzmaßnahmen (z. B. Standarddatenschutzklauseln) implementiert und überließ die Datenverarbeitung den Nutzungsbedingungen von Facebook.

Warum dieses Urteil nicht nur für die EU-Kommission sondern für alle Unternehmen relevant ist

Verwunderung und Schadenfreude mal beiseite geräumt: Der Fall verdeutlicht drei zentrale Pflichten, die Website-Betreiber treffen:

  1. Verantwortung für Drittanbieter-Tools
    Die bloße Einbindung von Social-Media-Funktionen macht Unternehmen zum Mitverantwortlichen für Datenflüsse. Auch wenn Facebook die Daten direkt erhebt, liegt die rechtliche Verantwortung beim Betreiber der Website.
  2. Immaterielle Schäden genügen für Schadensersatz
    Der Kläger erlitt keinen finanziellen Verlust, sondern lediglich „Unsicherheit über die Verarbeitung seiner Daten“. Das EuG wertete dies als ausreichend für einen Schadensersatzanspruch - ein Präzedenzfall, der künftig vermehrt Klagen begünstigen könnte.
  3. Drittstaaten-Übermittlungen erfordern aktive Prüfung
    Seit Juli 2023 gilt zwar das neue „EU-US Data Privacy Framework“ für Datenübermittlungen in die USA. Dieses bietet jedoch nur Schutz, wenn der Empfänger (z. B. Facebook/Meta) am Rahmenwerk teilnimmt. Eine pauschale Annahme, US-Dienste seien „sicher“, ist riskant.

Praktische Handlungsempfehlungen für Unternehmen

Um ähnliche Risiken zu vermeiden, sollten Website-Betreiber folgende Schritte priorisieren:

  1. Bestandsaufnahme der eingebundenen Tools
    Identifizieren Sie alle Drittanbieter-Dienste auf Ihrer Website – von Login-Buttons über Analyse-Tools (z. B. Google Analytics) bis zu Chat-Plugins. Tools wie der kostenlose „Web-Check“ der Datenschutzbehörden helfen, versteckte Datenflüsse aufzudecken.
  2. Prüfung der Datenwege
    Stellen Sie sicher, dass personenbezogene Daten (inklusive IP-Adressen) nur in Länder mit angemessenem Datenschutzniveau fließen. Bei Übermittlungen in die USA ist zu prüfen, ob der Empfänger im „EU-US Data Privacy Framework“ registriert ist. Beispiel: Microsoft ist Teilnehmer, Meta Platforms (Facebook) derzeit nicht.
  3. Umsetzung datenschutzfreundlicher Alternativen
    • Login-Funktionen: Nutzen Sie Anbieter wie Ory oder Keycloak, die Datenverarbeitung in der EU garantieren.
    • Social-Media-Buttons: Setzen Sie auf „Zwei-Klick-Lösungen“, bei denen Daten erst nach expliziter Nutzerzustimmung übertragen werden (z. B. das Open-Source-Tool „Shariff“).
  4. Transparente Kommunikation in der Datenschutzerklärung
    Informieren Sie Nutzer konkret, welche Daten an welche Anbieter fließen. Vermeiden Sie pauschale Formulierungen wie „Daten können an Drittländer übermittelt werden“. Stattdessen: „Bei Nutzung des Facebook-Logins werden Ihre IP-Adresse und Gerätedaten an Meta Platforms, Inc. (USA) gesendet.“

Besonderheit des Urteils: Abgelehnte Ansprüche zu Amazon CloudFront

Eine erwähnenswerte Besonderheit enthält das Urteil dennoch: Das Gericht wies Teile der Klage ab, die Datenübermittlungen über „Amazon CloudFront“ betrafen. Hier begründete es die Entscheidung damit, dass entweder kein Schaden nachweisbar war oder die Daten innerhalb europäischer Rechenzentren verarbeitet wurden. Dies unterstreicht - und das ist zunehmend wichtig in einer Cloudwelt, in der wir zunehmend agieren: Nicht jede Datenübermittlung zu einem US-Unternehmen ist automatisch rechtswidrig - entscheidend ist die konkrete Prüfung der Umstände.

Fazit: Proaktiver Datenschutz als Investition in die Rechtssicherheit

Nun hat auch die EU-Kommission erfahren dürfen: Datenschutz ist keine Formalie, sondern eine operative Pflicht, die direkte finanzielle Folgen haben kann. Unternehmen sollten daher:

  • Regelmäßig prüfen, welche Tools auf ihrer Website Daten sammeln.
  • Bei Drittstaaten-Übermittlungen aktiv Schutzmechanismen einfordern.
  • Nutzer klar und konkret über Datenflüsse informieren.

Mit diesen Maßnahmen schützen Sie nicht nur sich vor Bußgeldern, sondern stärken auch das Vertrauen Ihrer Kunden - ein Wettbewerbsvorteil in Zeiten sensibilisierter Verbraucher.

Ralf
...schreibt immer wieder zu Themen, die ihm in der Beratung begegnen und die schreibenswert sind.
Veröffentlicht
02. Februar 2025
Kategorie
Datenschutz
Tags

Weitere Beiträge

Kümmern Sie sich um Ihre wertvolle Arbeit
Das mit dem Datenschutz erledigen wir. Eine kurze E-Mail oder ein Anruf 0 62 45 - 9 94 55 72 genügt.
E-Mail schreiben