Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/25

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
31. Oktober 2025

Kein Schadensersatz für Übermittlungen in die USA

Kein Schadensersatz für Übermittlungen in die USA
Bild: Chinnapong / iStock Editorial / Getty Images Plus
5,00 (2)
drucken
Inhalte in diesem Beitrag
Ausreißer-Urteil oder Vorbote für mehr?
Ein Nutzer von Facebook verlangt Schadensersatz, weil die Betreiberin dieses sozialen Netzwerks Daten des Nutzers angeblich ohne Rechtsgrundlage in die USA übermittelt hat. Das Landgericht München I erteilt ihm jedoch eine herbe Abfuhr.

Konkret geht es um Datenübermittlungen im Zeitraum vom 16.7.2020 bis 11.7.2023. Diese beiden Eckdaten haben folgenden Hintergrund:

  • Am 16.7.2020 erklärte der Europäische Gerichtshof (EuGH) das „Privacy Shield“ für ungültig.
  • Am 11.7.2023 wiederum trat mit dem EU-U.S. Data Privacy Framework ein neues Datenschutzabkommen zwischen der EU und den USA in Kraft.

Damit gab es in der Zwischenzeit von fast drei Jahren kein Datenschutzabkommen zwischen der EU und den USA. Dennoch übermittelte die Betreiberin von Facebook weiterhin Daten des Klägers an ihre Konzernmutter in den USA. Der Kläger meint, dass ihm deshalb Schadensersatz gemäß Art. 82 DSGVO zusteht. Denn die Beklagte stützte sich bei ihren Datentransfers in die USA auf die jeweils geltenden Datenschutzabkommen zwischen der EU und den USA.

Standarddatenschutzklauseln (SCC) reichen aus

Nach Auffassung des Landgerichts München I war die Fortführung der Datenübermittlungen in die USA auch nach dem 16.7.2020 weiterhin rechtmäßig. Die Betreiberin von Facebook hatte mit dem Mutterkonzern in den USA – offensichtlich vorsichtshalber – Standarddatenschutzklauseln vereinbart. Sie bilden nach Auffassung des Gerichts eine ausreichende Rechtsgrundlage für Datenübermittlungen in die USA. Denn solche „Standard Contractual Clauses“ (SCC) lässt Art. 46 Abs. 2 Buchstabe c DSGVO als mögliche Rechtsgrundlage ausdrücklich zu.

Das Thema „TIA“ wird nur knapp gestreift

Nach Auffassung des Klägers hatte die Beklagte die bei der Verwendung von SCC zusätzlich nötige „Transfer-Folgenabschätzung“ gar nicht oder jedenfalls nicht in der nötigen Art und Weise durchgeführt. Dem trat die Betreiberin von Facebook jedoch entschieden entgegen. Sie versicherte, ein „Transfer Impact Assessment“ (TIA) sei durchaus erfolgt. Auf die offensichtliche Meinungsdifferenz geht das Gericht in seiner Begründung nicht weiter ein. Vermutlich ließen beide Prozessparteien diesen an sich wichtigen Aspekt letztlich dahinstehen.

Internationale Datenübermittlungen sind nötig

Datenübermittlungen können parallel auf mehrere Rechtsgrundlagen gestützt werden. Ein solcher Fall liegt nach Auffassung des Gerichts hier vor. Zwischen dem Kläger und der Beklagten besteht ein Vertrag über die Nutzung des sozialen Netzwerks Facebook. Zur Erfüllung dieses Vertrages ist es nach Meinung des Gerichts erforderlich, dass die Beklagte Daten an ihre Konzernmutter in die USA transferiert (Art. 49 Abs. 1 Buchstabe c DSGVO).

Schon die weltweite Suche nach Nutzern, die Facebook anbietet, setze einen grenzüberschreitenden Datenaustausch voraus. Dies sei jedem Nutzer, auch dem Kläger, hinlänglich bekannt. Es sei die freie unternehmerische Entscheidung der Beklagten sowie ihrer Konzernmutter, ob sie die dafür nötige Datenverarbeitung in den USA oder in einem anderen Land durchführen.

Der Kläger verstößt gegen Treu und Glauben

An sich hätte das Gericht die Schadensersatzforderung des Klägers schon mit der Begründung ablehnen können, dass die Verarbeitung seiner Daten durch die Beklagte rechtmäßig war. Denn ein Anspruch auf Schadensersatz nach Art. 82 DSGVO setzt einen Verstoß gegen die DSGVO voraus. Damit lässt es das Gericht jedoch nicht bewenden. Vielmehr hält sie dem Kläger zusätzlich noch folgendes vor:

  • Seine Schadensersatzforderung verstößt gegen das Gebot von Treu und Glauben.
  • Es ist allgemein bekannt, dass die Beklagte einen Dienst zur weltweiten Kommunikation anbietet und Tochter eines US-amerikanischen Unternehmens ist.
  • Der Kläger hat diesen Dienst genutzt, obwohl ihm bewusst war, dass seine Daten auch in die USA übertragen werden.
  • Dieses Verhalten ist widersprüchlich. Wenn sich der Kläger durch den Datentransfer in die USA tatsächlich schwer beeinträchtigt fühlte, hätte er die Nutzung des Dienstes beenden können. Dies hat er aber erst im Jahr 2024 getan, also nach dem hier relevanten Zeitraum.
  • Insgesamt hat das Gericht den Eindruck, dass es dem Kläger nicht um den Ersatz tatsächlich erlittener Schäden geht. Die Datenübermittlungen die USA sei ein Vorgang, der ihn nur sehr eingeschränkt betreffe. Dennoch wolle er dafür Schadensersatz verlangen.

Manchen Gerichten scheint es zu reichen

Wie in Urteilen üblich, schildert das Gericht auch in diesem Fall, welche Argumente der Kläger vorträgt. Demnach hat der Kläger das Vorliegen eines Schadens unter anderem damit begründet, dass er wegen der illegalen Übermittlung seiner Daten in die USA unter körperlichen Beschwerden wie „Kälteschauer, Schwitzen und Schwindel“ leide. In diesem Zusammenhang vermerkt das Gericht sachlich-nüchtern folgendes: „Nach Auffassung des Gerichts dürfte es sich [bei der Argumentation] um einen nicht passenden Textbaustein aus einem Scraping-Verfahren handeln.“

Vor diesem Hintergrund überrascht es dann nicht mehr, dass das Gericht die geschilderten körperlichen Beschwerden als „zumindest sehr ungewöhnlich“ bezeichnet. Letztlich lässt es diesen Aspekt aber dahinstehen, weil ein Anspruch des Klägers auf Schadensersatz schon aus anderen Gründen scheitert. Dennoch liegt die Interpretation nahe, dass das Gericht die Darstellung des Klägers schlicht für nicht glaubwürdig hält.

„Scraping“ war ein anderes Thema

Bei den kurz angesprochenen „Scraping-Verfahren“ ging es um folgenden Vorfall:

  • Im Jahr 2021 wurden Daten von rund 533 Millionen Facebook-Nutzern im Internet veröffentlicht. Unbekannte konnten die Daten abgreifen, weil es je nach Einstellung des Nutzerprofils möglich war, ein Profil über die Angabe der dazugehörigen Telefonnummer zu finden.
  • Die Unbekannten haben automatisiert und in großem Umfang Telefonnummern über die Kontakt-Import-Funktion hochgeladen.
  • Wenn eine Telefonnummer mit einem Profil verknüpft war, wurden die öffentlichen Informationen des Profils und die Telefonnummer zusammengeführt, abgegriffen und schließlich veröffentlicht.

Nach Auffassung des Bundesgerichtshofs stand den Betroffenen in diesem Fall wegen des Verlusts der Kontrolle über ihre Daten ein Anspruch auf Schadensersatz zu (siehe die Schilderung der Entscheidung bei https://www.datenschutz-praxis.de/pleiten-pech-pannen/kontrollverlust-als-schaden/).

Ob der Kläger selbst den vom Gericht beanstandeten Textbaustein entworfen hatte oder ob er von dem Rechtsanwalt stammt, der ihn vertreten hat, ist dem Urteil nicht zu entnehmen.

Das Urteil ist ein möglicher Vorbote für mehr

Im Augenblick handelt es sich bei dem vorliegenden Urteil um eine Einzelfallentscheidung. Falls jedoch vermehrt derartige Urteile ergehen sollten, würde dies das Thema „Datenübermittlungen in die USA“ möglicherweise entschärfen. Denn dass es widersprüchlich ist, einerseits einen Dienst zu nutzen, andererseits die bekanntermaßen damit verbundenen Datenübermittlungen beanstanden zu wollen, lässt sich in vielen Zusammenhängen als Argument verwenden.

Hier finden Sie das Urteil

Bei Eingabe des Aktenzeichens 33 O 635/25 ist das Endurteil des Landgerichts München I vom 27.8.2025 leicht im Internet zu finden, beispielsweise in der Rechtsdatenbank des Freistaats Bayern unter https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2025-N-25358?hl=true.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Drittland
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Verwandte Beiträge
25. August 2025
DP+
Der lokale Betrieb von KI-Umgebungen löst einige datenschutzrechtliche Probleme des KI-Einsatzes, aber nicht alle
Bild: iStock.com/gorodenkoff

Lokale KI-Lösungen und der Datenschutz

Ratgeber
Drittland KI
20. August 2025
DP+
Bei Online-Videokonferenzen wie auch bei Tools für deren KI-gestützte Protokollierung kann die Datenübertragung in Drittländer datenschutzrechtliche Probleme aufwerfen
Bild: iStock.com/iLexx

KI-Protokolle von Videokonferenzen

Ratgeber
Drittland KI
13. März 2025
DP+
Datenschutzrahmen EU-USA: Hier zu sehen, die Flagge der USA und der EU, die ineinander geblendet sind
Bild: STILLFX / iStock / Getty Images Plus

Der Datenschutzrahmen EU–USA: in Gefahr oder nicht?

Hintergrund
Drittland
24. Januar 2025
DP+
Unternehmen müssen ihre Beschäftigten mittels einer Datenschutzerklärung über den Umgang mit deren personenbezogenen Daten informieren. Diese Pflicht beginnt schon beim Bewerbungsprozess.
Bild: iStock.com/Maxime Horlaville

Auskunftspflicht gemäß ­­DSGVO gilt auch hausintern

News
Drittland
17. Januar 2025
Datentransfer in die USA hier symbolisiert durch ein Kabel in dem bunte Streifen und Code zu sehen sind
Bild: style-photography / iStock / Getty Images Plus

Rechtswidrige Datentransfers in die USA

Urteil
Drittland Urteil
weitere Beiträge laden

Kommentar abgeben

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.