Auf den ersten Blick lässt mich die Lektüre des Urteils des Gerichts der Europäischen Union vom 8. Januar 2025 (Rs. T-354/22) ratlos zurück. In dem Verfahren ging es darum, dass die Europäische Kommission auf einer ihrer Websites die Möglichkeit integriert hatte, sich als Nutzer mit einem Facebook-Acccount anzumelden. Diese Integration führte zu einer Übermittlung personenbezogener Daten von Nutzern der Kommissions-Website an Facebook, die datenschutzrechtlich unzulässig war. Nun schreibt das Gericht in Rn. 173ff. seines Urteils:
[173] Mit dem Anklicken des Hyperlinks „Sign in with Facebook“ auf der Website „EU Login“ [..] hat sich der Kläger dafür entschieden, sich auf „EU Login“ mit seinem Facebook-Konto anzumelden.
[174] Der Hyperlink [..] enthält einen Link zu einer externen Website. Wird der Hyperlink durch Anklicken geöffnet, wird eine URL-Adresse der Website von Facebook, d. h. eine individuelle Adresse dieser Website, aufgerufen.
[175] Beim Aufruf der URL-Adresse der Website von Facebook kommt es zu einer Kommunikation zwischen dem Browser des Nutzers und der Website von Facebook, bei der die IP-Adresse des Nutzers übermittelt wird.
Die hier beschriebene Handlung, nämlich das Anklicken des Facebook-Links auf der Kommissions-Website durch den Nutzer und die damit einhergehende Übermittlung der IP-Adresse des Nutzers an Facebook, soll aus Sicht des Gerichts datenschutzrechtlich unzulässig sein und eine aus Art. 82 DSGVO folgende Haftung der Europäischen Kommission auf Schadensersatz auslösen, weil Facebook seinen Sitz in einem Drittland (nämlich den USA) hat und die in Art. 46 DSGVO geregelten Voraussetzungen für eine Datenübermittlung nicht erfüllt waren.
Wenn das richtig wäre, dann dürften innerhalb der EU angebotene Websites Links auf Websites in Drittländern nur noch dann enthalten, wenn der Betreiber der EU-Website die (nicht trivialen) Anforderungen der DSGVO für eine Drittlandsübermittlung von personenbezogenen Daten (nämlich der IP-Adresse des Nutzers) erfüllen könnte. Mit anderen Worten: Das Internet wäre kaputt.
Es ist vermutlich einfach der technische Sachverstand, der dem Gericht gefehlt hat. Im Ergebnis ist das Urteil richtig, weil der „Hyperlink“ kein bloßer Hyperlink ist, sondern per JavaScript eingebunden wird, das schon beim Aufruf der Website von einem Facebook-Server geladen wird (worauf hier bereits hingewiesen wurde). Die Übermittlung der IP-Adresse des Nutzers an Facebook findet also unabhängig von einer Entscheidung des Nutzers statt, und darauf kommt es an, und insofern bringt das Urteil eigentlich nichts Neues (außer Verwirrung): Wir hatten das so in ähnlichen Konstellationen etwa schon beim Fashion-ID-Urteil des Europäischen Gerichtshofs von 2019 oder beim Münchener Urteil zur Google-Fonts-Integration von 2022.