URTEIL DES GERICHTS (Sechste erweiterte Kammer)

8. Januar 2025(*)

„ Verarbeitung personenbezogener Daten – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union – Verordnung (EU) 2018/1725 – Begriff der Übermittlung personenbezogener Daten an ein Drittland – Übermittlung von Daten beim Besuch einer Website – EU Login – Nichtigkeitsklage – Nicht anfechtbare Handlung – Unzulässigkeit – Untätigkeitsklage – Stellungnahme, mit der die Untätigkeit beendet wird – Erledigung – Schadensersatzklage – Hinreichend qualifizierter Verstoß gegen eine Rechtsnorm, die dem Einzelnen Rechte verleiht – Kausalzusammenhang – Immaterieller Schaden “

In der Rechtssache T‑354/22,

Thomas Bindl, wohnhaft in München (Deutschland), vertreten durch Rechtsanwalt T. Herbrich,

Kläger,

gegen

Europäische Kommission, vertreten durch A. Bouchagiar, B. Hofstötter und H. Kranenborg als Bevollmächtigte,

Beklagte,

erlässt

DAS GERICHT (Sechste erweiterte Kammer)

unter Mitwirkung der Präsidentin M. J. Costeira (Berichterstatterin), der Richterin M. Kancheva, der Richter U. Öberg und P. Zilgalvis sowie der Richterin E. Tichy-Fisslberger,

Kanzler: S. Jund, Verwaltungsrätin,

aufgrund des schriftlichen Verfahrens,

in Anbetracht der prozessleitenden Maßnahme vom 21. Juli 2023 und der am 7. bzw. 8. September 2023 bei der Kanzlei des Gerichts eingegangenen Antworten der Kommission und des Klägers,

auf die mündliche Verhandlung vom 17. Oktober 2023,

in Anbetracht der prozessleitenden Maßnahme vom 9. Februar 2024 und der am 12. bzw. 13. März 2024 bei der Kanzlei des Gerichts eingegangenen Antworten der Kommission und des Klägers

folgendes

Urteil

1        Mit seiner Klage nach den Art. 263, 265 und 268 AEUV beantragt der Kläger, Herr Thomas Bindl, erstens, Übermittlungen der ihn betreffenden personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau für nichtig zu erklären, zweitens, festzustellen, dass die Europäische Kommission es rechtswidrig unterlassen habe, zu seinem Antrag auf Auskunft vom 1. April 2022 Stellung zu nehmen, und drittens, den durch die Verletzung seines Rechts auf Auskunft und die Übermittlungen der ihn betreffenden personenbezogenen Daten entstandenen immateriellen Schaden zu ersetzen.

 Vorgeschichte des Rechtsstreits und nach Klageerhebung eingetretene Umstände

2        Der Kläger ist ein deutscher Staatsbürger, der sich für Fragen der Informatik und des Schutzes personenbezogener Daten interessiert.

3        Die Generaldirektion Kommunikation der Kommission ist bei der Website der Konferenz zur Zukunft Europas (https://futureu.europa.eu) die Verantwortliche für die Verarbeitung personenbezogener Daten.

4        In den Jahren 2021 und 2022 besuchte der Kläger mehrmals die Website der Konferenz zur Zukunft Europas, so auch am 30. März 2022, als er sich über sein Facebook-Konto zu der auf der Website vorgestellten Veranstaltung „GoGreen“ anmeldete, und dann wieder am 8. Juni 2022.

5        Mit E‑Mail vom 9. November 2021 (im Folgenden: Antrag auf Auskunft vom 9. November 2021) bat der Kläger den Datenschutzbeauftragten der Kommission, ihm gemäß der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. 2018, L 295, S. 39) bestimmte Informationen zu erteilen.

6        In dieser E‑Mail wies der Kläger erstens darauf hin, dass ihm beim Aufruf der Website der Konferenz zur Zukunft Europas aufgefallen sei, dass auch Websites von Drittanbietern wie des amerikanischen Unternehmens Amazon Web Services aufgerufen worden seien. Zweitens bat er darum, ihm mitzuteilen, welche ihn betreffenden personenbezogenen Daten verarbeitet bzw. gespeichert und welche gegebenenfalls an Dritte weitergegeben worden seien. Drittens bat er darum, ihm die Rechtsgrundlage für diese Weitergabe und etwaige Garantien für die Übermittlung von Daten an Drittländer ohne angemessenes Schutzniveau mitzuteilen.

7        Mit E‑Mail vom 3. Dezember 2021 übermittelte die Generaldirektion Kommunikation der Kommission dem Kläger einen Hyperlink und wies ihn darauf hin, dass er damit unmittelbar einen Auszug der personenbezogenen Daten erstellen könne, die beim Besuch der Website der Konferenz zur Zukunft Europas verarbeitet worden seien. Außerdem wurde dem Kläger mitgeteilt, dass die ihn betreffenden personenbezogenen Daten nicht an Empfänger außerhalb der Europäischen Union übermittelt worden seien und nur auf der Website der Konferenz zur Zukunft Europas gespeichert und verarbeitet würden, die über ein Inhaltszustellnetz (Content Delivery Network, CDN) laufe, das von der Amazon Web Services EMEA SARL (im Folgenden: AWS EMEA) mit Sitz in Luxemburg (Luxemburg) betrieben werde. In der E‑Mail heißt es weiter, dass der Verantwortliche für die Datenverarbeitungstätigkeit auf der Grundlage der vertraglichen Vereinbarungen zwischen der Kommission und AWS EMEA nicht auf Dienste zurückgreife, die eine Datenübertragung an die US-amerikanischen Partner von AWS EMEA erforderten, und dass Übertragungen außerhalb des EU-Territoriums standardmäßig nicht gestattet seien.

8        Mit E‑Mail vom 1. April 2022 bat der Kläger die Kommission, ihm gemäß der Verordnung 2018/1725 bestimmte Informationen über die Verarbeitung der ihn betreffenden Daten zu erteilen (im Folgenden: Antrag auf Auskunft vom 1. April 2022). Erstens wies der Kläger darauf hin, dass ihm beim Abruf der Website der Konferenz zur Zukunft Europas aufgefallen sei, dass auch Drittanbieter wie AWS EMEA aufgerufen worden seien und dass, als er sich mit seinen Facebook-Daten auf der Website der Konferenz zur Zukunft Europas angemeldet habe, das Unternehmen Microsoft aufgerufen worden sei. Zweitens bat er, ihm mitzuteilen, welche ihn betreffenden personenbezogenen Daten verarbeitet bzw. gespeichert und welche gegebenenfalls an Dritte weitergegeben worden seien. Drittens bat er darum, ihm die Rechtsgrundlage für diese Weitergabe und etwaige Garantien für die Übermittlung von Daten an Drittländer ohne angemessenes Schutzniveau mitzuteilen. Viertens bat er um die Übermittlung einer Kopie der ihn betreffenden Daten, auch wenn diese bei Dritten wie Facebook gespeichert seien oder verarbeitet würden.

9        Mit E‑Mails vom 22. April und 2. Mai 2022 erinnerte der Kläger die Kommission an seinen Antrag auf Auskunft vom 1. April 2022 und dessen ausstehende Beantwortung.

10      Mit Klage, die am 9. Juni 2022 bei der Kanzlei des Gerichts eingegangen ist, hat der Kläger die vorliegende Klage erhoben.

11      Mit E‑Mail vom 30. Juni 2022 hat die Kommission dem Kläger mitgeteilt, dass der Antrag auf Auskunft vom 1. April 2022 annähernd denselben Wortlaut habe wie der vom 9. November 2021, den sie mit E‑Mail vom 3. Dezember 2021 beantwortet habe.

12      Amazon Web Services ist ein Unternehmen mit Sitz in den Vereinigten Staaten, AWS EMEA ein Unternehmen mit Sitz in Luxemburg. Beide sind Tochtergesellschaften der amerikanischen Gesellschaft Amazon.com, Inc.

 Anträge der Parteien

13      Der Kläger beantragt,

–        die am 30. März und am 8. Juni 2022 erfolgten Übermittlungen der ihn betreffenden personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau für nichtig zu erklären;

–        festzustellen, dass die Kommission es rechtswidrig unterlassen hat, zu seinem Antrag auf Auskunft vom 1. April 2022 Stellung zu nehmen;

–        die Kommission zu verurteilen, an ihn 1 200 Euro nebst Zinsen zu zahlen, und zwar 800 Euro als Ersatz des durch die Verletzung seines Auskunftsrechts entstandenen Schadens und 400 Euro als Ersatz des durch die Übermittlung der ihn betreffenden personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau entstandenen immateriellen Schadens;

–        der Kommission die Kosten aufzuerlegen.

14      Die Kommission beantragt,

–        den Antrag auf Nichtigerklärung und den Antrag auf Feststellung der Untätigkeit als unzulässig abzuweisen;

–        hilfsweise festzustellen, dass die Hauptsache, was den Antrag auf Feststellung der Untätigkeit angeht, erledigt ist;

–        die Schadensersatzanträge als unbegründet abzuweisen;

–        dem Kläger die Kosten aufzuerlegen.

 Rechtliche Würdigung

 Vorbemerkungen zum Schutz personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union

15      Nach Art. 16 Abs. 1 AEUV und Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

16      Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1) enthält allgemeine Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur Gewährleistung des freien Verkehrs solcher Daten (Art. 1 Abs. 1 der Verordnung 2016/679).

17      Die Verordnung 2018/1725 enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union sowie Vorschriften zum freien Verkehr personenbezogener Daten untereinander oder mit sonstigen Empfängern, die in der Union niedergelassen sind (Art. 1 Abs. 1 der Verordnung 2018/1725). Sie schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 der Verordnung 2018/1725). Sie gilt für die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Union (Art. 2 Abs. 1 der Verordnung 2018/1725).

18      Soweit die Bestimmungen der Verordnung 2018/1725 auf denselben Grundsätzen beruhen wie die der Verordnung 2016/679, sollten diese Bestimmungen der beiden Verordnungen unter Beachtung der Rechtsprechung des Gerichtshofs einheitlich ausgelegt werden, insbesondere da der Rahmen der Verordnung 2018/1725 als dem Rahmen der Verordnung 2016/679 gleichwertig verstanden werden sollte (fünfter Erwägungsgrund der Verordnung 2018/1725). Insoweit ergibt sich aus Art. 2 Abs. 3 der Verordnung 2016/679 in Verbindung mit Art. 99 der Verordnung 2018/1725, dass die Verordnung 2018/1725 an die Grundsätze und Vorschriften der Verordnung 2016/679 angepasst ist.

 Zur Zulässigkeit

 Zulässigkeit des Antrags auf Nichtigerklärung

19      Mit dem ersten Klageantrag begehrt der Kläger die Nichtigerklärung der Übermittlungen der ihn betreffenden personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau, die am 30. März und am 8. Juni 2022 erfolgt sein sollen (im Folgenden: streitige Datenübermittlungen).

20      Die Kommission erhebt in der Klagebeantwortung die Einrede, dass dieser Antrag auf Nichtigerklärung unzulässig sei. Denn er sei nicht gegen eine anfechtbare Handlung im Sinne von Art. 263 AEUV gerichtet, sondern ziele darauf ab, eine gerichtliche Anordnung gegen sie zu erwirken.

21      Der Kläger hält seinen Antrag auf Nichtigerklärung für zulässig. Er macht geltend, dass die streitigen Datenübermittlungen Handlungen darstellten, die verbindliche Rechtswirkungen erzeugten und in das in Art. 8 der Charta garantierte Grundrecht des Schutzes personenbezogener Daten und damit in seine Rechtsstellung eingriffen. Eine andere Auslegung wäre nicht mit dem Grundrecht auf wirksamen gerichtlichen Rechtsschutz vereinbar, und das obwohl dieses Grundrecht in Art. 64 Abs. 1 der Verordnung 2018/1725 ausdrücklich anerkannt werde.

22      Nach Art. 64 Abs. 1 und dem 79. Erwägungsgrund der Verordnung 2018/1725 hat jede Person das Recht, im Einklang mit den Verträgen einen wirksamen gerichtlichen Rechtsbehelf vor dem Gerichtshof der Europäischen Union einzulegen, wenn sie sich in ihren Rechten nach der Verordnung 2018/1725 verletzt sieht.

23      Demnach hat im Rahmen der Verordnung 2018/1725 jede betroffene Person insbesondere das Recht, eine Nichtigkeitsklage gemäß Art. 263 AEUV zu erheben.

24      Nach ständiger Rechtsprechung ist die Nichtigkeitsklage gemäß Art. 263 AEUV gegen alle Handlungen der Unionsorgane statthaft, die – unabhängig von ihrer Form – dazu bestimmt sind, verbindliche Rechtswirkungen zu erzeugen, die die Interessen des Klägers durch eine qualifizierte Änderung seiner Rechtsstellung berühren (vgl. Urteile vom 19. Januar 2017, Kommission/Total und Elf Aquitaine, C‑351/15 P, EU:C:2017:27, Rn. 35 und 36 sowie die dort angeführte Rechtsprechung, und vom 16. Juli 2020, Inclusion Alliance for Europe/Kommission, C‑378/16 P, EU:C:2020:575, Rn. 71 und die dort angeführte Rechtsprechung).

25      Um festzustellen, ob eine Handlung verbindliche Rechtswirkungen erzeugt, ist nach ständiger Rechtsprechung des Gerichtshofs auf ihr Wesen abzustellen und sind ihre Wirkungen anhand objektiver Kriterien wie z. B. des Inhalts der Handlung zu beurteilen, wobei gegebenenfalls der Kontext, in dem die Handlung vorgenommen wird, und die Befugnisse des Organs, der Einrichtung oder der sonstigen Stelle der Union, das bzw. die die Handlung vornimmt, zu berücksichtigen sind (vgl. Urteil vom 15. Juli 2021, FBF, C‑911/19, EU:C:2021:599, Rn. 38 und die dort angeführte Rechtsprechung).

26      Im vorliegenden Fall begehrt der Kläger die Nichtigerklärung der streitigen Datenübermittlungen, die dreimal erfolgt sein sollen. Erstens seien beim Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022 ihn betreffende personenbezogene Daten, insbesondere seine IP-Adresse und Browser- und Geräteinformationen, an das amerikanische Unternehmen Amazon Web Services übermittelt worden, die das Inhaltszustellnetz „Amazon CloudFront“ betreibe, über das die Website der Konferenz zur Zukunft Europas laufe (im Folgenden: streitige Datenübermittlung beim Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022).

27      Zweitens seien bei der Anmeldung bei dem Benutzerauthentifizierungsdienst „EU Login“ der Kommission, die er am 30. März 2022 über sein Facebook-Konto vorgenommen habe, um sich zu der Veranstaltung „GoGreen“ auf der Website der Konferenz zur Zukunft Europas anzumelden, ihn betreffende personenbezogene Daten, insbesondere seine IP-Adresse und Browser- und Geräteinformationen, an das amerikanische Unternehmen Meta Platforms, Inc. übermittelt worden (im Folgenden: streitige Datenübermittlung bei der Anmeldung auf „EU Login“ am 30. März 2022).

28      Drittens seien bei seinen Besuchen der Website der Konferenz zur Zukunft Europas am 8. Juni 2022 ihn betreffende personenbezogene Daten an einen Server von Amazon CloudFront mit Standort in Newark (New Jersey, Vereinigte Staaten) übermittelt worden (im Folgenden: streitige Datenübermittlung bei den Besuchen der Website der Konferenz zur Zukunft Europas am 8. Juni 2022).

29      In der Klageschrift ist auch davon die Rede, dass der Kläger am 9. November 2021 die Website der Konferenz zur Zukunft Europas besucht und sich dort an diesem Tag über sein Facebook-Konto angemeldet habe. Allerdings hat der Kläger nicht im Einzelnen dargetan, dass sich sein Antrag auf Nichtigerklärung der streitigen Datenübermittlungen auf diesen Sachverhalt bezöge. Es sind daher nur die streitigen Datenübermittlungen zu berücksichtigen, die oben in den Rn. 26 bis 28 genannt sind.

30      Bei den oben in den Rn. 26 bis 28 genannten streitigen Datenübermittlungen, deren Nichtigerklärung der Kläger begehrt, handelt es sich nach dem Vorbringen des Klägers um informationstechnische Vorgänge der Datenmigration, die von IT‑Systemen oder ‑diensten der Kommission, insbesondere von der Website der Konferenz zur Zukunft Europas, aus zu Servern von außerhalb des Hoheitsgebiets der Union ansässigen Drittunternehmen erfolgt sein sollen.

31      Zwar stellt die Übermittlung personenbezogener Daten von einem Organ oder einer Einrichtung der Union an ein Drittland als solche eine Verarbeitung personenbezogener Daten im Sinne von Art. 3 Nr. 3 der Verordnung 2018/1725 dar, die im Hoheitsgebiet der Union vorgenommen wird. Auf eine derartige Verarbeitung findet die Verordnung 2018/1725 gemäß ihrem Art. 2 Abs. 5 Anwendung (vgl. entsprechend Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C‑311/18, im Folgenden: Urteil Schrems II, EU:C:2020:559, Rn. 83).

32      Jedoch sind nicht alle in Art. 3 Nr. 3 der Verordnung 2018/1725 genannten Vorgänge, die zu einer Übermittlung personenbezogener Daten führen können, anfechtbare Handlungen im Sinne von Art. 263 AEUV in der Auslegung durch die oben in Rn. 24 dargestellte Rechtsprechung.

33      Im vorliegenden Fall ist festzustellen, dass es sich bei den streitigen Datenübermittlungen – einmal unterstellt, sie seien erwiesen – um Real‑, und nicht um Rechtsakte handelt. Der Klageschrift zufolge sind die streitigen Datenübermittlungen nämlich informationstechnische Vorgänge der Datenmigration von einem Gerät oder einem Server zu einem anderen Gerät oder Server, die auf Interaktionen zwischen dem Kläger und IT‑Systemen oder ‑Diensten der Kommission bei den Besuchen der Website der Konferenz zur Zukunft Europas bzw. des Dienstes „EU Login“ beruhen. Sie sind keine Handlungen der Kommission, die verbindliche Rechtswirkungen erzeugen, d. h., sie sind nicht dazu bestimmt, eine Rechtsstellung zu regeln, und, wie sich bereits aus ihrer Art ergibt, hat die Kommission auch in keiner Weise die Absicht gehabt, ihnen solche Wirkungen zu verleihen.

34      Die streitigen Datenübermittlungen sind mithin nicht im Sinne der oben in Rn. 24 dargestellten Rechtsprechung geeignet, verbindliche Rechtswirkungen zu erzeugen, die die Interessen des Klägers durch eine qualifizierte Änderung seiner Rechtsstellung berühren. Sie können daher nicht als anfechtbare Handlungen im Sinne von Art. 263 AEUV angesehen werden.

35      Somit ist der Antrag auf Nichtigerklärung, den der Kläger gestellt hat, als unzulässig abzuweisen.

 Zulässigkeit des Antrags auf Feststellung der Untätigkeit

36      Mit seinem zweiten Klageantrag begehrt der Kläger die Feststellung, dass die Kommission es rechtswidrig unterlassen habe, zu seinem Antrag auf Auskunft vom 1. April 2022 Stellung zu nehmen.

37      Die Kommission erhebt in der Klagebeantwortung die Einrede, dass dieser Antrag auf Feststellung der Untätigkeit unzulässig sei, da sie nicht nach Art. 265 Abs. 2 AEUV aufgefordert worden sei, tätig zu werden. Hilfsweise macht sie geltend, dass sich der Antrag auf Feststellung der Untätigkeit erledigt habe, da sie dem Kläger mit E‑Mail vom 30. Juni 2022 geantwortet habe.

38      Der Kläger macht im Wesentlichen geltend, dass die Kommission nach wie vor verpflichtet sei, auf den Antrag auf Auskunft vom 1. April 2022 zu antworten, da die Informationen, die sie mit der E‑Mail vom 30. Juni 2022 erteilt habe, unzureichend und unzutreffend seien.

39      Nach ständiger Rechtsprechung beruht die in Art. 265 AEUV eröffnete Klagemöglichkeit auf der Vorstellung, dass die rechtswidrige Untätigkeit des betreffenden Organs die Befassung der Unionsgerichte ermöglicht, um deren Feststellung zu erwirken, dass die Unterlassung – soweit das betroffene Organ sie nicht abgestellt hat – gegen den Vertrag verstößt (Urteil vom 12. Juli 1988, Parlament/Rat, 377/87, EU:C:1988:387, Rn. 9; vgl. auch Urteil vom 16. Dezember 2015, Schweden/Kommission, T‑521/14, nicht veröffentlicht, EU:T:2015:976, Rn. 33 und die dort angeführte Rechtsprechung).

40      Wurde die Handlung, deren Unterlassung Gegenstand des Rechtsstreits ist, nach Klageerhebung, aber vor Verkündung des Urteils vorgenommen, so könnte eine Entscheidung der Unionsgerichte, mit der die Rechtswidrigkeit der ursprünglichen Unterlassung festgestellt wird, die in Art. 266 AEUV bezeichneten Rechtsfolgen nicht mehr auslösen. In einem solchen Fall ist der Rechtsstreit daher gegenstandslos geworden, so dass er in der Hauptsache erledigt ist (Urteil vom 12. Juli 1988, Parlament/Rat, 377/87, EU:C:1988:387, Rn. 10 und 11; vgl. auch Beschluss vom 13. Dezember 2000, Sodima/Kommission, C‑44/00 P, EU:C:2000:686, Rn. 83 und die dort angeführte Rechtsprechung).

41      Im vorliegenden Fall ist festzustellen, dass die Kommission auf den Antrag auf Auskunft vom 1. April 2022 mit E‑Mail vom 30. Juni 2022 geantwortet hat (siehe oben, Rn. 11). Die Kommission hat die Untätigkeit, die der Kläger mit der vorliegenden Klage rügt, also nach deren Erhebung beendet. Der zweite Klageantrag, nämlich der Antrag gemäß Art. 265 AEUV auf Feststellung der Untätigkeit der Kommission wegen fehlender Stellungnahme zu dem Antrag auf Auskunft vom 1. April 2022, ist damit gegenstandslos geworden.

42      Dass die E‑Mail der Kommission vom 30. Juni 2022 inhaltlich nicht so ausgefallen ist, wie sich der Kläger dies gewünscht hätte, ist insoweit nicht von Belang. Der Umstand, dass diese Stellungnahme des Organs den Kläger nicht zufriedenstellt, ist insoweit unerheblich, denn in Art. 265 AEUV geht es um die Untätigkeit durch Nichtbescheidung oder Unterlassen einer Stellungnahme und nicht um den Erlass einer anderen als der vom Kläger gewünschten oder für notwendig erachteten Handlung (vgl. Beschluss vom 6. April 2017, Brancheforeningen for Regulerkraft i Danmark/Kommission, T‑203/16, nicht veröffentlicht, EU:T:2017:279, Rn. 22 und die dort angeführte Rechtsprechung).

43      Was den Antrag auf Feststellung der Untätigkeit angeht, ist der Rechtsstreit daher in der Hauptsache erledigt. Es kann deshalb dahinstehen, ob dieser Antrag unzulässig ist, wie die Kommission meint.

 Zu den Schadensersatzanträgen

44      Mit dem dritten Klageantrag macht der Kläger zwei Schadensersatzansprüche geltend. Zum einen begehrt er die Zahlung von 800 Euro als Ersatz des immateriellen Schadens, der ihm dadurch entstanden sei, dass die Kommission unter Verstoß gegen Art. 14 Abs. 3 und 4 und Art. 17 Abs. 1 und 2 der Verordnung 2018/1725 und gegen den Grundsatz der Transparenz gemäß Art. 4 Abs. 1 Buchst. a der Verordnung 2018/1725 sein Auskunftsrecht verletzt habe, zum anderen die Zahlung von 400 Euro als Ersatz des immateriellen Schadens, der ihm durch die streitigen Datenübermittlungen entstanden sei, die unter Verstoß gegen Art. 46 und Art. 48 Abs. 1 und Abs. 2 Buchst. b der Verordnung 2018/1725 erfolgt seien.

45      Die Kommission beantragt, die Schadensersatzanträge zurückzuweisen.

 Vorbemerkungen zu den Voraussetzungen der außervertraglichen Haftung der Union im Rahmen der Verordnung 2018/1725

46      Nach Art. 65 der Verordnung 2018/1725 hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, „unter den in den Verträgen vorgesehenen Voraussetzungen“ gegen das Organ oder die Einrichtung der Union einen Anspruch auf Ersatz des erlittenen Schadens.

47      Art. 65 der Verordnung 2018/1725 ist dahin auszulegen, dass für diesen Anspruch die Voraussetzungen von Art. 340 Abs. 2 AEUV gelten, wonach die Union den durch ihre Organe oder Bediensteten in Ausübung ihrer Amtstätigkeit verursachten Schaden nach den allgemeinen Rechtsgrundsätzen, die den Rechtsordnungen der Mitgliedstaaten gemeinsam sind, ersetzt.

48      Nach ständiger Rechtsprechung hat die außervertragliche Haftung der Union drei kumulative Voraussetzungen: Das dem Unionsorgan vorgeworfene Verhalten muss rechtswidrig sein, der Schaden muss tatsächlich entstanden sein, und zwischen dem Verhalten, das dem Unionsorgan vorgeworfen wird, und dem Schaden, der geltend gemacht wird, muss ein Kausalzusammenhang bestehen (vgl. in diesem Sinne Urteile vom 4. Juli 2000, Bergaderm und Goupil/Kommission, C‑352/98 P, EU:C:2000:361, Rn. 39 bis 42, und vom 28. Oktober 2021, Vialto Consulting/Kommission, C‑650/19 P, EU:C:2021:879, Rn. 138).

49      Wegen der Kumulativität dieser Voraussetzungen ist eine Schadensersatzklage, wenn eine dieser Voraussetzungen nicht erfüllt ist, insgesamt abzuweisen, ohne dass die übrigen Voraussetzungen geprüft zu werden brauchen (Urteil vom 9. September 1999, Lucaccioni/Kommission, C‑257/98 P, EU:C:1999:402, Rn. 14 und 63; vgl. auch Urteil vom 25. Februar 2021, Dalli/Kommission, C‑615/19 P, EU:C:2021:133, Rn. 42 und die dort angeführte Rechtsprechung).

50      Bei der ersten Voraussetzung muss nach der Rechtsprechung ein hinreichend qualifizierter Verstoß gegen eine Rechtsnorm, die bezweckt, dem Einzelnen Rechte zu verleihen, dargetan werden (vgl. Urteil vom 4. Juli 2000, Bergaderm und Goupil/Kommission, C‑352/98 P, EU:C:2000:361, Rn. 42 und die dort angeführte Rechtsprechung).

51      Mit dem Erfordernis eines hinreichend qualifizierten Verstoßes gegen das Unionsrecht soll unabhängig von der Art der beanstandeten rechtswidrigen Handlung verhindert werden, dass durch das Risiko, die von den betroffenen Personen behaupteten Schäden tragen zu müssen, die Fähigkeit des fraglichen Organs eingeschränkt wird, seine Befugnisse im Rahmen seiner normativen oder seiner wirtschaftliche Entscheidungen einschließenden Tätigkeit wie auch in der Sphäre seiner Verwaltungszuständigkeit in vollem Umfang im Allgemeininteresse auszuüben, ohne dass dabei allerdings die Folgen offenkundiger und unentschuldbarer Pflichtverletzungen Dritten aufgebürdet werden (vgl. in diesem Sinne Urteil vom 14. Dezember 2018, East West Consulting/Kommission, T‑298/16, EU:T:2018:967, Rn. 124 und die dort angeführte Rechtsprechung).

52      Das entscheidende Kriterium für die Beurteilung der Frage, ob ein Verstoß gegen das Unionsrecht als hinreichend qualifiziert anzusehen ist, besteht darin, ob das betreffende Organ oder die betreffende Einrichtung der Union die Grenzen seines bzw. ihres Ermessen offenkundig und erheblich überschritten hat. Verfügt das betreffende Organ oder die betreffende Einrichtung der Union nur über ein erheblich verringertes oder gar auf null reduziertes Ermessen, kann die bloße Verletzung des Unionsrechts ausreichen, um einen hinreichend qualifizierten Verstoß anzunehmen (vgl. Urteil vom 10. Dezember 2002, Kommission/Camar und Tico, C‑312/00 P, EU:C:2002:736, Rn. 54 und die dort angeführte Rechtsprechung). Jedoch wird damit kein automatischer Zusammenhang zwischen dem fehlenden Ermessen des betreffenden Organs und der Qualifikation der Zuwiderhandlung als hinreichend qualifizierten Verstoß gegen das Unionsrecht hergestellt (Urteil vom 3. März 2010, Artegodan/Kommission, T‑429/05, EU:T:2010:60, Rn. 59). Denn der Umfang des Ermessens des betreffenden Organs ist zwar von entscheidender Bedeutung, stellt aber kein ausschließliches Kriterium dar. In diesem Zusammenhang hat der Gerichtshof in ständiger Rechtsprechung darauf hingewiesen, dass das von ihm nach Art. 340 Abs. 2 AEUV entwickelte System daneben u. a. der Komplexität der zu regelnden Sachverhalte und den Schwierigkeiten bei der Anwendung oder Auslegung der Vorschriften Rechnung trägt (vgl. Urteil vom 23. November 2011, Sison/Rat, T‑341/07, EU:T:2011:687, Rn. 36 und 37 sowie die dort angeführte Rechtsprechung) oder ganz allgemein der Frage, in welchem Bereich, unter welchen Umständen und in welchem Kontext das betreffende Organ bzw. die betreffende Einrichtung der Union die Vorschrift, gegen die verstoßen wurde, zu beachten hat (vgl. Urteil vom 4. April 2017, Bürgerbeauftragter/Staelen, C‑337/15 P, EU:C:2017:256, Rn. 40 die dort angeführte Rechtsprechung).

53      Daraus folgt, dass nur die Feststellung einer Unregelmäßigkeit, die eine durchschnittlich umsichtige und sorgfältige Verwaltung unter ähnlichen Umständen nicht begangen hätte, die Haftung der Union auslösen kann. Die Unionsgerichte haben daher zu prüfen, ob das betreffende Organ über ein Ermessen verfügt hat, und die Komplexität der zu regelnden Sachverhalte, die Schwierigkeiten bei der Anwendung oder Auslegung der Vorschriften, das Maß an Klarheit und Genauigkeit der verletzten Vorschrift und die Frage zu berücksichtigen, ob der Rechtsfehler vorsätzlich begangen wurde oder unentschuldbar ist (Urteil vom 3. März 2010, Artegodan/Kommission, T‑429/05, EU:T:2010:60, Rn. 62).

54      Zu der Voraussetzung, dass der Schaden tatsächlich entstanden sein muss, ist festzustellen, dass der Schaden tatsächlich und sicher sein muss und dass der Kläger insoweit beweispflichtig ist (vgl. Urteil vom 9. November 2006, Agraz u. a./Kommission, C‑243/05 P, EU:C:2006:708, Rn. 27 und die dort angeführte Rechtsprechung). Dagegen begründet ein rein hypothetischer und noch nicht feststehender Schaden kein Recht auf Schadensersatz (vgl. Urteil vom 26. Oktober 2011, Dufour/EZB, T‑436/09, EU:T:2011:634, Rn. 192 und die dort angeführte Rechtsprechung).

55      Zu der Voraussetzung des Kausalzusammenhangs ist festzustellen, dass danach zwischen dem Verhalten, das dem Organ vorgeworfen wird, und dem Schaden ein hinreichend unmittelbarer ursächlicher Zusammenhang bestehen muss, und zwar dergestalt, dass dieses Verhalten die entscheidende Ursache für den Schaden sein muss, wobei der Kläger insoweit die Beweislast trägt (vgl. Urteil vom 13. Dezember 2018, Europäische Union/ASPLA und Armando Álvarez, C‑174/17 P und C‑222/17 P, EU:C:2018:1015, Rn. 23 und die dort angeführte Rechtsprechung).

56      Außerdem ist darauf hinzuweisen, dass die Schadensersatzklage nach Art. 340 Abs. 2 AEUV als selbständiger Rechtsbehelf mit eigener Funktion im System der Klagemöglichkeiten geschaffen und von Voraussetzungen abhängig gemacht worden ist, die ihrem besonderen Zweck angepasst sind, so dass der Antrag auf Schadensersatz nicht automatisch deshalb für unzulässig zu erklären ist, weil der Antrag auf Nichtigerklärung für unzulässig erklärt wurde  (vgl. Urteil vom 5. September 2019, Europäische Union/Guardian Europe und Guardian Europe/Europäische Union, C‑447/17 P und C‑479/17 P, EU:C:2019:672, Rn. 49 und die dort angeführte Rechtsprechung).

57      Dass der Antrag auf Nichtigerklärung und der Antrag auf Feststellung der Untätigkeit wegen Unzulässigkeit bzw. Erledigung des Rechtsstreits in der Hauptsache zurückgewiesen worden sind (siehe oben, Rn. 35 und 43), heißt also noch nicht, dass deshalb auch die Schadensersatzanträge (siehe oben, Rn. 44) als unzulässig zurückzuweisen wären.

58      Das Vorbringen des Klägers zu seinen Schadensersatzanträgen ist nach Maßgabe dieser Vorbemerkungen zu prüfen.

 Zum ersten Schadensersatzantrag: Ersatz des durch die Verletzung des Auskunftsrechts entstandenen immateriellen Schadens

59      Mit dem ersten Schadensersatzantrag beantragt der Kläger, die Kommission zu verurteilen, als Ersatz des ihm durch die Verletzung seines Auskunftsrechts entstandenen immateriellen Schadens 800 Euro an ihn zu zahlen.

60      Der Kläger wirft der Kommission vor, dass sie auf seinen Antrag auf Auskunft vom 1. April 2022 nicht fristgemäß geantwortet und ihn nicht über die Gründe hierfür unterrichtet habe. Sie habe damit gegen Art. 14 Abs. 3 und 4 und Art. 17 Abs. 1 und 2 der Verordnung 2018/1725 und gegen den Grundsatz der Transparenz gemäß Art. 4 Abs. 1 Buchst. a der Verordnung 2018/1725 verstoßen. Sie habe auch gegen Art. 17 Abs. 1 Buchst. c und Abs. 2 der Verordnung 2018/1725 verstoßen. Die Datenschutzerklärung auf der Website der Konferenz zur Zukunft Europas enthalte nämlich keine Angaben zur Übermittlung personenbezogener Daten an Drittländer und zu etwaigen geeigneten Garantien hierfür, wie es Art. 48 der Verordnung 2018/1725 verlange. Zudem habe die Kommission in der E‑Mail von 3. Dezember 2021 unwahre Angaben gemacht. Sie habe nämlich die Übermittlung ihn betreffender personenbezogener Daten an Empfänger in den Vereinigten Staaten verneint.

61      Weiter macht der Kläger geltend, dass er wegen der schuldhaften Untätigkeit der Kommission daran gehindert gewesen sei, die Verarbeitung der ihn betreffenden personenbezogenen Daten zu kontrollieren, was einen immateriellen Schaden im Sinne des 46. Erwägungsgrundes der Verordnung 2018/1725 darstelle, und dass dieser immaterielle Schaden, den er mit 800 Euro beziffert, unmittelbar durch das schuldhafte Verhalten der Kommission verursacht worden sei.

62      Die Kommission tritt dem Vorbringen des Klägers entgegen. Sie macht im Wesentlichen geltend, dass die Voraussetzungen der außervertraglichen Haftung im vorliegenden Fall allesamt nicht erfüllt seien.

63      Was zunächst die Voraussetzung der Rechtswidrigkeit des vorgeworfenen Verhaltens angeht, ist zu prüfen, ob der Kläger einen Verstoß gegen eine Rechtsnorm, die bezweckt, dem Einzelnen Rechte zu verleihen, dargetan hat.

64      Insoweit ist festzustellen, dass die betroffene Person nach Art. 17 Abs. 1 Buchst. c der Verordnung 2018/1725 ein Recht auf Auskunft darüber hat, gegenüber welchen Empfängern die sie betreffenden personenbezogenen Daten offengelegt wurden, insbesondere bei Empfängern in Drittländern. Diese Bestimmung stellt mithin eine Konkretisierung des in Art. 4 Abs. 1 Buchst. a der Verordnung 2018/1725 verbürgten Grundsatzes dar, wonach alle Informationen und Mitteilungen zur Verarbeitung der personenbezogenen Daten leicht zugänglich sein müssen.

65      Art. 14 Abs. 3 der Verordnung 2018/1725 setzt für die Beantwortung von Anträgen auf Auskunft durch den Verantwortlichen eine Frist von einem Monat fest. Und nach Art. 14 Abs. 4 der Verordnung 2018/1725 ist der Verantwortliche der Verarbeitung personenbezogener Daten, wenn er sich dafür entscheidet, auf den Antrag hin nicht tätig zu werden, verpflichtet, den Antragsteller innerhalb eines Monats über die Gründe hierfür und über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten (im Folgenden: EDSB) und einen gerichtlichen Rechtsbehelf einzulegen, zu unterrichten. Bei diesen Bestimmungen handelt es sich also um Vorschriften, die das Verwaltungsverfahren regeln und mit denen das Recht der betroffenen Person auf Auskunft über personenbezogene Daten umgesetzt wird, indem es konkretisiert und ausgestaltet wird. Darüber hinaus wird mit diesen Bestimmungen auch das in Art. 41 der Charta verankerte Recht einer jeden Person darauf, dass ihre Angelegenheiten von den Organen und Einrichtungen der Union innerhalb einer angemessenen Frist behandelt werden, konkretisiert.

66      Somit handelt es sich bei den Bestimmungen von Art. 4 Abs. 1 Buchst. a, Art. 14 Abs. 3 und 4 und Art. 17 Abs. 1 Buchst. c der Verordnung 2018/1725 insgesamt betrachtet um Rechtsnormen im Sinne der oben in Rn. 50 dargestellten Rechtsprechung, die bezwecken, dem Einzelnen Rechte zu verleihen.

67      Sodann ist zu prüfen, ob im vorliegenden Fall erwiesen ist, dass die Kommission gegen diese Bestimmungen verstoßen hat.

68      Der Kläger macht zum einen geltend, dass die Kommission gegen Art. 17 Abs. 1 Buchst. c und Abs. 2 der Verordnung 2018/1725 verstoßen habe, da die Datenschutzerklärung auf der Website der Konferenz zur Zukunft Europas keine Angaben zu der Übermittlung personenbezogener Daten an Empfänger in Drittändern, zu etwaigen geeigneten Schutzmaßnahmen hierfür und zu der Identität der Auftragnehmer als Empfänger personenbezogener Daten enthalte.

69      Wie bereits ausgeführt (siehe oben, Rn. 64), hat die betroffene Person nach Art. 17 Abs. 1 Buchst. c und Abs. 2 der Verordnung 2018/1725 u. a. ein Recht auf Auskunft über die Empfänger in Drittländern, gegenüber denen die personenbezogenen Daten offengelegt wurden, und über die geeigneten Schutzmaßnahmen im Zusammenhang mit den Übermittlungen von Daten an diese Empfänger.

70      Diese Bestimmungen begründen demnach ein Recht der betroffenen Person auf Erteilung bestimmter Informationen, sehen aber nicht vor, dass diese zwingend in einem ganz bestimmten Dokument oder gar in einer Datenschutzerklärung wie der der Website der Konferenz zur Zukunft Europas enthalten sein müssten. Aus ihnen ergibt sich also nicht, dass die betreffenden Informationen mit einer solchen Erklärung offengelegt werden müssten. Wie jede betroffene Person hat der Kläger aber ein Recht darauf, dass ihm diese Informationen erteilt werden, wenn er von seinem Auskunftsrecht gemäß Art. 17 Abs. 1 Buchst. c und Abs. 2 der Verordnung 2018/1725 Gebrauch macht, wobei diese Frage weiter geht als der auf den Inhalt der Datenschutzerklärung beschränkte Verstoß, den der Kläger der Kommission vorwirft (siehe oben, Rn. 68).

71      Jedenfalls geht im vorliegenden Fall aus der Datenschutzerklärung, die der Klageschrift als Anlage beigefügt ist, wortwörtlich hervor, dass diese Informationen zu den Empfängern oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden, enthält. So heißt es etwa in Abschnitt 7 der Datenschutzerklärung, dass „für die Verarbeitung zuständige Bedienstete der [Kommission] und – nach dem Prinzip der erforderlichen Kenntnisnahme – ermächtigte Mitarbeiter ihrer Auftragnehmer“ Zugang zu den Daten erhalten. Das Vorbringen des Klägers, dass die Datenschutzerklärung keine Angaben zu der Übermittlung personenbezogener Daten an Empfänger in Drittändern enthalte, beruht auf der Annahme, dass beim Besuch der Website der Konferenz zur Zukunft Europas personenbezogene Daten der Nutzer an ein Drittland übertragen werden. Der vorliegende Schadensersatzantrag wird aber auf die Verletzung des Auskunftsrechts gestützt und nicht auf die Verletzung der Bestimmungen über die Übermittlung personenbezogener Daten an Drittländer, auf die der zweite Schadensersatzantrag gestützt wird.

72      Somit hat der Kläger im vorliegenden Fall nicht dargetan, dass die Kommission, was die Datenschutzerklärung auf der Website der Konferenz zur Zukunft Europas angeht, gegen Art. 17 Abs. 1 Buchst. c und Abs. 2 der Verordnung 2018/1725 verstoßen hätte.

73      Zum anderen wirft der Kläger der Kommission vor, dass sie auf seinen Antrag auf Auskunft vom 1. April 2022 nicht fristgemäß geantwortet und ihn nicht über die Gründe hierfür unterrichtet habe. Sie habe damit gegen Art. 14 Abs. 3 und 4 und Art. 17 Abs. 1 und 2 der Verordnung 2018/1725 und gegen den Grundsatz der Transparenz verstoßen. Außerdem habe die Kommission in der E‑Mail vom 3. Dezember 2021 unzutreffende Angaben gemacht.

74      Der Kläger trägt zu einem Verstoß gegen den Grundsatz der Transparenz nichts weiter vor. Diese Rüge hat deshalb gegenüber dem Vorbringen, dass die Kommission die Frist für die Beantwortung des Antrags auf Auskunft nicht eingehalten und gegen ihre Verpflichtung, die Gründe hierfür mitzuteilen, verstoßen habe, keinen eigenständigen Gehalt.

75      Das Vorbringen des Klägers, dass die Kommission gegen Art. 17 Abs. 1 und 2 der Verordnung 2018/1725 verstoßen und in der E‑Mail vom 3. Dezember 2021 unzutreffende Angaben gemacht habe, beruht auf der Annahme, dass beim Besuch der Website der Konferenz zur Zukunft Europas personenbezogene Daten der Nutzer an ein Drittland übertragen werden. Wie bereits ausgeführt (siehe oben, Rn. 71), wird der vorliegende Schadensersatzantrag aber auf die Verletzung des Auskunftsrechts gestützt und nicht auf die Verletzung der Bestimmungen über die Übermittlung personenbezogener Daten an Drittländer, auf die der zweite Schadensersatzantrag gestützt wird.

76      Somit hat der Kläger im vorliegenden Fall nicht dargetan, dass die Kommission gegen Art. 17 Abs. 1 und 2 der Verordnung 2018/1725 verstoßen hätte.

77      Zu dem Vorbringen des Klägers, dass die Kommission gegen Art. 14 Abs. 3 und 4 der Verordnung 2018/1725 verstoßen habe, ist festzustellen, dass aus den Akten hervorgeht, dass die Kommission auf den Antrag auf Auskunft vom 9. November 2021 innerhalb der Frist von einem Monat gemäß Art. 14 Abs. 3 der Verordnung 2018/1725 geantwortet hat (siehe oben, Rn. 5 und 7). Was den Antrag auf Auskunft vom 1. April 2022 angeht, hat die Kommission dem Kläger mit E‑Mail vom 30. Juni 2022 mitgeteilt, dass dieser annähernd denselben Wortlaut habe wie der Antrag auf Auskunft vom 9. November 2021, den sie mit E‑Mail vom 3. Dezember 2021 beantwortet habe (siehe oben, Rn. 11).

78      Bei dem Antrag auf Auskunft vom 1. April 2022 hat die Kommission also die Frist von einem Monat gemäß Art. 14 Abs. 4 der Verordnung 2018/1725 (siehe oben, Rn. 65) nicht beachtet.

79      Aus den vorstehenden Rn. 68 bis 78 ergibt sich, dass von den Verstößen, die der Kommission vorgeworfen werden, im vorliegenden Fall allein der der Nichteinhaltung der Frist gemäß Art. 14 Abs. 4 der Verordnung 2018/1725 erwiesen ist.

80      Unabhängig von der Frage, ob die Nichteinhaltung dieser Frist seitens der Kommission einen hinreichend qualifizierten Verstoß gegen eine Rechtsnorm darstellt, ist daher zunächst zu prüfen, ob dem Kläger durch sie ein tatsächlicher und sicherer immaterieller Schaden im Sinne der oben in Rn. 54 dargestellten Rechtsprechung entstanden ist.

81      Zu der Frage, ob der geltend gemachte immaterielle Schaden tatsächlich entstanden ist, ist festzustellen, dass die Vorlage von Beweisangeboten zwar keine zwingende Voraussetzung für die Anerkennung eines immateriellen Schadens ist, der Kläger aber zumindest nachzuweisen hat, dass das dem betreffenden Organ vorgeworfene Verhalten geeignet war, ihm einen solchen Schaden zuzufügen (Urteil vom 16. Juli 2009, SELEX Sistemi Integrati/Kommission, C‑481/07 P, nicht veröffentlicht, EU:C:2009:461, Rn. 38; vgl. auch Urteil vom 2. Juli 2019, Fulmen/Rat, T‑405/15, EU:T:2019:469, Rn. 188 und die dort angeführte Rechtsprechung).

82      Im vorliegenden Fall verlangt der Kläger Ersatz eines immateriellen Schadens in Höhe von 800 Euro. Er macht geltend, dass er aufgrund des der Kommission vorgeworfenen Verhaltens daran gehindert gewesen sei, die Verarbeitung der ihn betreffenden personenbezogenen Daten zu kontrollieren.

83      Hier ist ein solcher immaterieller Schaden aber nicht dargetan. Denn der einzige Verstoß, der im vorliegenden Fall erwiesen ist, ist die Nichteinhaltung der Frist gemäß Art. 14 Abs. 4 der Verordnung 2018/1725 durch die Kommission (siehe oben, Rn. 79). Diese Frist ist aber nicht um mehr als zwei Monate überschritten worden (siehe oben, Rn. 77). Im Übrigen waren die Anträge auf Auskunft vom 9. November 2021 und vom 1. April 2022 im Grunde identisch (siehe oben, Rn. 5 und 8), so dass der Kläger auf seinen Antrag auf Auskunft am 3. Dezember 2021 – dem Tag, an dem die Kommission auf den Antrag auf Auskunft vom 9. November 2021 geantwortet hat (siehe oben, Rn. 7) – zumindest teilweise eine Antwort erhalten hat.

84      Das Vorbringen des Klägers, dass die Kommission unzutreffende Angaben gemacht habe (siehe oben, Rn. 75), betrifft die Richtigkeit der Informationen und nicht die Beachtung der Verfahrensregel, gegen die, wie oben in Rn. 78 festgestellt, verstoßen wurde, und ist daher für den Nachweis des geltend gemachten immateriellen Schadens nicht relevant.

85      Somit hat der Kläger nicht dargetan, dass die Nichteinhaltung der Frist gemäß Art. 14 Abs. 4 der Verordnung 2018/1725 durch die Kommission geeignet gewesen wäre, ihm den behaupteten immateriellen Schaden zuzufügen.

86      Da von den kumulativen Voraussetzungen der außervertraglichen Haftung der Union gemäß Art. 340 Abs. 2 AEUV eine mithin nicht erfüllt ist, ist der erste Schadensersatzantrag des Klägers zurückzuweisen.

 Zum zweiten Schadensersatzantrag: Ersatz des durch die streitigen Datenübermittlungen entstandenen immateriellen Schadens

87      Mit dem zweiten Schadensersatzantrag begeht der Kläger die Zahlung von 400 Euro als Ersatz des immateriellen Schadens, der ihm durch die streitigen Datenübermittlungen (streitige Datenübermittlung beim Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022, streitige Datenübermittlung bei der Anmeldung bei „EU Login“ am 30. März 2022 und streitige Datenübermittlung bei den Besuchen der Website der Konferenz zur Zukunft Europas am 8. Juni 2022, siehe oben, Rn. 26 bis 28) entstanden sei.

88      Der Kläger macht im Wesentlichen geltend, dass die streitigen Datenübermittlungen an Empfänger in den Vereinigten Staaten erfolgt seien. Dieses Land biete kein angemessenes Schutzniveau. Die Kommission habe keine geeigneten Schutzmaßnahmen gemäß Kapitel V der Verordnung 2018/1725 genannt, die diese Übermittlungen rechtfertigen könnten, und damit gegen Art. 46 und Art. 48 Abs. 1 und Abs. 2 Buchst. b der Verordnung 2018/1725 und gegen die Art. 7, 8 und 47 der Charta verstoßen. Die ihn betreffenden Daten seien aufgrund der streitigen Datenübermittlungen der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt gewesen. Dadurch sei ihm im Sinne des 46. Erwägungsgrundes der Verordnung 2018/1725 ein immaterieller Schaden entstanden. Er sei nämlich um seine Rechte und Freiheiten gebracht und daran gehindert worden, die ihn betreffenden Daten zu kontrollieren.

89      Die Kommission tritt dem Vorbringen des Klägers entgegen. Sie macht im Wesentlichen geltend, dass die Voraussetzungen der außervertraglichen Haftung im vorliegenden Fall nicht erfüllt seien.

–       Vorbemerkungen zu den Bestimmungen über die Übermittlung personenbezogener Daten an Drittländer

90      Erstens ist festzustellen, dass die Verordnung 2018/1725 nach ihrem Art. 2 Abs. 5 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, gilt.

91      Zweitens sind unter „personenbezogenen Daten“ nach Art. 3 Nr. 1 der Verordnung 2018/1725 alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

92      Drittens stellt die Übermittlung von Daten eine „Verarbeitung“ von Daten im Sinne von Art. 3 Nr. 3 der Verordnung 2018/1725 dar.

93      Viertens sind die „Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen“ in Kapitel V der Verordnung 2018/1725 geregelt, werden dort aber nicht definiert.

94      Allerdings geht aus dem 63. Erwägungsgrund der Verordnung 2018/1725 hervor, dass die Übermittlungen, auf die sich die Bestimmungen des Kapitels V der Verordnung beziehen, personenbezogene Daten betreffen, die von Organen und Einrichtungen der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen übermittelt werden.

95      Zudem ergibt eine systematische Auslegung der Verordnung 2018/1725, dass die Übermittlung personenbezogener Daten an Drittländer im Sinne von Art. 46 als Erstes voraussetzt, dass der für die Verarbeitung der betreffenden Daten Verantwortliche zu einem Organ oder einer Einrichtung der Union gehört und damit der Verordnung unterliegt (Art. 1 der Verordnung 2018/1725), als Zweites, dass der Verantwortliche personenbezogene Daten durch Übermittlung oder auf sonstige Weise einem Empfänger, insbesondere einer natürlichen oder juristischen Person, bereitstellt (Art. 3 Nrn. 3 und 13 der Verordnung 2018/1725), und als Drittes, dass der Empfänger in einem Drittland ansässig ist (Art. 46 der Verordnung 2018/1725), also einem Land, das weder Mitglied der Union noch des Europäischen Wirtschaftsraums (EWR) ist.

96      Fünftens dienen die Bestimmungen des Kapitels V der Verordnung 2018/1725 nach dem in deren 63. Erwägungsgrund genannten Ziel dazu, bei der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen das unionsweit gewährleistete Schutzniveau für natürliche Personen zu gewährleisten.

97      Sechstens enthält Art. 46 der Verordnung 2018/1725 den allgemeinen Grundsatz, dass jedwede Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation nur zulässig ist, wenn der Verantwortliche und der Auftragsverarbeiter die in Kapitel V der Verordnung niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden.

98      Siebtens ist zu den in Kapitel V der Verordnung 2018/1725 aufgestellten Bedingungen festzustellen, dass eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation nach Art. 47 Abs. 1 der Verordnung vorgenommen werden darf, wenn die Kommission mit einem Angemessenheitsbeschluss – u. a. gemäß Art. 45 Abs. 3 der Verordnung 2016/679 – beschlossen hat, dass das betreffende Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet, und wenn die personenbezogenen Daten ausschließlich übermittelt werden, um die Erfüllung von Aufgaben zu ermöglichen, die in die Zuständigkeit des Verantwortlichen fallen.

99      Insoweit ist zu beachten, dass die beiden Angemessenheitsbeschlüsse der Kommission, die die Vereinigten Staaten betrafen, für ungültig erklärt worden sind. Die Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (ABl. 2000, L 215, S. 7) ist vom Gerichtshof mit dem Urteil vom 6. Oktober 2015, Schrems (C‑362/14, EU:C:2015:650), für ungültig erklärt worden, der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (ABl. 2016, L 207, S. 1) mit dem Urteil Schrems II.

100    Zu der Zeit, als die streitigen Datenübermittlungen erfolgten, gab es für die Vereinigten Staaten somit keinen Angemessenheitsbeschluss gemäß Art. 47 der Verordnung 2018/1725.

101    Da für die Vereinigten Staaten kein Angemessenheitsbeschluss der Kommission vorliegt, kommt Art. 48 Abs. 1 der Verordnung 2018/1725 zum Tragen, wonach die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation nur zulässig ist, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

102    Die geeigneten Garantien gemäß Art. 48 Abs. 1 der Verordnung 2018/1725, die in Art. 48 Abs. 2 und 3 der Verordnung angeführt sind, können insbesondere in Standarddatenschutzklauseln bestehen, die von der Kommission erlassen werden (Art. 48 Abs. 2 Buchst. b der Verordnung 2018/1725).

103    Bei Standarddatenschutzklauseln gemäß Art. 48 Abs. 2 Buchst. b der Verordnung 2018/1725 können aber zusätzliche Maßnahmen erforderlich sein, um im Hinblick auf das Unionsrecht die Einhaltung eines angemessenen Schutzniveaus zu gewährleisten (vgl. entsprechend Urteil Schrems II, Rn. 133 und 134).

104    Die geeigneten Garantien gemäß Art. 48 Abs. 1 der Verordnung 2018/1725 können vorbehaltlich der Genehmigung durch den EDSB auch insbesondere in Vertragsklauseln bestehen, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland vereinbart wurden (Art. 48 Abs. 3 Buchst. a der Verordnung 2018/1725).

105    Im Übrigen ist zu beachten, dass in der Charta das Recht auf Achtung des Privat- und Familienlebens (Art. 7), das Recht auf Schutz personenbezogener Daten (Art. 8) und das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht (Art. 47) verbürgt sind.

106    Im vorliegenden Fall ist zunächst festzustellen, dass der zweite Schadensersatzantrag des Klägers darauf gestützt wird, dass die Kommission gegen Art. 46 und Art. 48 Abs. 1 und Abs. 2 Buchst. b der Verordnung 2018/1725 und gegen die Art. 7, 8 und 47 der Charta verstoßen habe. Wie bereits ausgeführt (siehe oben, Rn. 91 bis 105), werden mit diesen Bestimmungen der Verordnung 2018/1725 Grundrechte wie die in den Art. 7 und 8 der Charta verbürgten konkretisiert. Die Bestimmungen zielen insgesamt darauf ab, bei der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation das Fortbestehen des hohen Niveaus des Schutzes der Daten zu gewährleisten.

107    Die Bestimmungen, auf deren Verletzung der zweite Schadensersatzantrag gestützt wird, dienen demnach dem Schutz des Individualinteresses der betroffenen Personen und stellen damit im Sinne der oben in Rn. 50 dargestellten Rechtsprechung Rechtsnormen dar, die bezwecken, dem Einzelnen Rechte zu verleihen.

108    Bei den streitigen Datenübermittlungen, die oben in Rn. 87 genannt sind, ist nun jeweils zu prüfen, ob die Voraussetzungen der außervertraglichen Haftung der Kommission erfüllt sind.

109    Da die oben in den Rn. 26 und 28 genannten streitigen Datenübermittlungen erfolgt sein sollen, weil die Website der Konferenz zur Zukunft Europas über das Inhaltszustellnetz (Content Delivery Network, CDN) „Amazon CloudFront“ (im Folgenden: Dienst „Amazon CloudFront“) laufe, ist zunächst zu ermitteln, wie dieser Dienst im Rahmen der Website der Konferenz zur Zukunft Europas genau funktioniert.

–       Zur Funktionsweise des Dienstes „Amazon CloudFront“ im Rahmen der Website der Konferenz zur Zukunft Europas

110    Im vorliegenden Fall ist unstreitig, dass die Website der Konferenz zur Zukunft Europas über das Inhaltszustellnetz „Amazon CloudFront“ läuft und dieses bei einem Besuch der Website durch einen Nutzer stets aktiviert wird.

111    Aus den Akten – insbesondere aus den Antworten der Parteien auf die prozessleitende Maßnahme vom 21. Juli 2023 und aus den mündlichen Ausführungen und Antworten der Parteien in der mündlichen Verhandlung vom 17. Oktober 2023 – ergibt sich erstens, dass der Dienst „Amazon CloudFront“ ein Internetdienst ist, mit dem die Verbreitung von Internet‑Inhalten – im vorliegenden Fall des Inhalts der Website der Konferenz zur Zukunft Europas – an die Nutzer beschleunigt wird. Mit ihm werden Inhalte über ein globales Netzwerk aus Servern oder Rechenzentren (sogenannte „Edge locations“) bereitgestellt.

112    Zweitens basiert der Dienst „Amazon CloudFront“ auf einem Routing-Mechanismus, mit dem die Anforderung der Website der Konferenz zur Zukunft Europas durch einen Nutzer nach dem Prinzip der Proximität in Bezug auf das Gerät des Nutzers zu der Edge location mit der geringsten Latenz weitergeleitet wird, so dass dem Nutzer die Inhalte unter den bestmöglichen Bedingungen bereitgestellt werden. Steht die Edge location mit der geringsten Latenz – z. B. aufgrund technischer Schwierigkeiten – nicht zur Verfügung, wird die Edge location mit der zweitgeringsten Latenz angewählt usw.

113    Drittens läuft die Website der Konferenz zur Zukunft Europas auf der Grundlage des Vertrags Nr. 2020-1742, den die Kommission mit AWS EMEA, einer Tochtergesellschaft mit Sitz in Luxemburg der Gesellschaft amerikanischen Rechts Amazon.com (siehe oben, Rn. 12), geschlossen hat, über den Dienst „Amazon CloudFront“.

114    Viertens hat sich die Kommission im Rahmen dieses Vertrags bei der Website der Konferenz zur Zukunft Europas in räumlicher Hinsicht für die Konfiguration „Nordamerika (Vereinigte Staaten, Mexiko, Kanada), Europa und Israel“ entschieden. Die Inhalte dieser Website werden also nicht über das globale Netz von Edge locations von Amazon CloudFront bereitgestellt, sondern nur über die Edge locations, die sich in den genannten Gebieten (Vereinigte Staaten, Mexiko, Kanada, Europa und Israel) befinden.

115    Fünftens werden bei der Website der Konferenz zur Zukunft Europas Abrufanfragen von Nutzern aus der Union wegen des Prinzips der Proximität (siehe oben, Rn. 112) normalerweise auf Edge locations der Amazon CloudFront weitergeleitet, die sich in der Union befinden. Fälle, in denen Nutzer aus der Union auf Server außerhalb der Union weitergeleitet werden, sind hingegen selten.

116    Sechstens wird die Infrastruktur des Netzes der Edge locations der Amazon CloudFront, wie sich aus den Akten ergibt, von einer Vielzahl von Unternehmen bereitgestellt. Einige davon gehören zum Amazon-Konzern, bei den übrigen handelt es sich um Drittunternehmen. Sie sind in einer nach Gebieten aufgeschlüsselten Liste aufgeführt, die auf der Website von Amazon Web Services eingesehen werden kann. Bei dem Gebiet „Nordamerika (Vereinigte Staaten, Mexiko, Kanada), Europa und Israel“ sind die betreffenden Unternehmen sowohl in Mitgliedstaaten der Union als auch außerhalb der Union ansässig, insbesondere in den Vereinigten Staaten, in Israel, in Mexiko, in der Schweiz und im Vereinigten Königreich. Jedes Unternehmen betreibt Server in dem Land, in dem es ansässig ist, so dass der Ort, an dem sich die Server befinden, auf die bei der Erbringung des Dienstes „Amazon CloudFront“ zurückgegriffen wird, auch von dem Ort abhängt, an dem die betreffenden Unternehmen ansässig sind.

117    Siebtens enthält der Vertrag zwischen der Kommission und AWS EMEA u. a. folgende Bestimmungen:

–        AWS EMEA muss in der Lage sein, zu gewährleisten, dass die Daten im Ruhezustand und bei der Übermittlung im Hoheitsgebiet des EWR bleiben (Abschnitt 11.2 des Vertrags).

–        AWS EMEA ist nicht befugt, den Ort der Datenverarbeitung ohne vorherige Zustimmung der Kommission zu ändern (Abschnitt 12.2.3[a] des Vertrags).

–        Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, die gemäß dem Vertrag erfolgt, muss den Anforderungen gemäß Kapitel V der Verordnung 2018/1725 entsprechen (Abschnitt 12.2.3[b] des Vertrags).

–        AWS EMEA darf personenbezogene Daten nicht an ein Land außerhalb des EWR übermitteln, es sei denn, die Kommission hat dem zuvor schriftlich zugestimmt und bei der Übermittlung werden die in Kapitel V der Verordnung 2018/1725 niedergelegten Bedingungen eingehalten (Abschnitt 1.8.9 des Vertrags).

–        AWS EMEA übermittelt der Kommission alle Anträge auf Auskunft über die personenbezogenen Daten und hat bei diesen von allen Rechtsbehelfen, die statthaft sind, Gebrauch zu machen (Abschnitte 1.8.3, 1.8.4 und 1.8.5 des Vertrags).

–        AWS EMEA sorgt dafür, dass diese Maßnahmen auch dann ergriffen werden, wenn mit Auftragsverarbeitern zusammengearbeitet wird (Abschnitt 1.8.8 des Vertrags).

118    Achtens hat die Kommission zu den genannten Vertragsklauseln die Meinung des EDSB eingeholt. Die Vertragsklauseln wurden vom EDSB aber nicht formal gemäß Art. 48 Abs. 3 Buchst. a der Verordnung 2018/1725 genehmigt.

–       Streitige Datenübermittlung beim Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022

119    Der Kläger macht im Wesentlichen geltend, dass ihm beim Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022 aufgefallen sei, dass bestimmte ihn betreffende personenbezogene Daten, insbesondere seine IP-Adresse und Browser- und Geräteinformationen, an die Vereinigten Staaten übermittelt worden seien. Erstens laufe die Website der Konferenz zur Zukunft Europas über das Inhaltszustellnetz „Amazon CloudFront“, das von Amazon Web Services, einer amerikanischen Tochtergesellschaft der amerikanischen Gesellschaft Amazon.com, betrieben werde. Zweitens seien bei dem betreffenden Besuch der Website ihn betreffende personenbezogene Daten an den Dienst „Amazon CloudFront“ übermittelt worden, und zwar an einen Server von Amazon.com in Seattle (Washington, USA) mit der IP-Adresse 18.66.192.74. Drittens sei der Sicherheitsschlüssel, der von der Website der Konferenz zur Zukunft Europas verwendet werde (sogenanntes SSL-Zertifikat), von Amazon ausgestellt worden, weshalb davon auszugehen sei, dass Amazon die Möglichkeit gehabt habe, sämtliche ihn betreffenden personenbezogenen Daten, die an ihre Server übermittelt worden seien, zu entschlüsseln, auch seine Meinungen zur Zukunft Europas. Viertens unterliege das Unternehmen, das den Dienst „Amazon CloudFront“ erbringe, amerikanischem Recht und sei daher verpflichtet, den Sicherheits- und Nachrichtendiensten der Vereinigten Staaten Auskünfte zu erteilen, und zwar auch dann, wenn sich seine Server im Ausland befänden. Die Kommission habe auch keine „zusätzliche[n] Maßnahmen“ im Sinne des Urteils Schrems II getroffen, um bei den an die Vereinigten Staaten übermittelten Daten die Einhaltung eines angemessenen Schutzniveaus zu gewährleisten.

120    Die Kommission tritt dem Vorbringen des Klägers entgegen.

121    Was den Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022 anbelangt, geht aus den Akten hervor, dass der Kläger diese Website an diesem Tag besucht hat (siehe oben, Rn. 3) und dabei seine IP-Adresse und Browser- und Geräteinformationen übermittelt wurden.

122    Insoweit ist festzustellen, dass die IP-Adresse zu den personenbezogenen Daten im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 gehört, da sie die beiden dort genannten Voraussetzungen erfüllt. Zum einen bezieht sich diese Information auf eine natürliche Person, und zum anderen betrifft sie eine identifizierte oder identifizierbare Person, hier den Kläger (Urteil vom 26. April 2023, SRB/EDSB, T‑557/20, Rechtsmittel anhängig, EU:T:2023:219, Rn. 59; vgl. in diesem Sinne entsprechend auch Urteile vom 24. November 2011, Scarlet Extended, C‑70/10, EU:C:2011:771, Rn. 51, und vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 49). Denn selbst sogenannte „dynamische“ IP-Adressen, die wesensbedingt ständig wechseln, sind zu einem bestimmten Zeitpunkt – hier dem Zeitpunkt des Besuchs der Website der Konferenz zur Zukunft Europas – einer ganz bestimmten Person zugewiesen.

123    Ebenfalls ist erwiesen, dass die oben in Rn. 121 genannte Datenübermittlung von der Website der Konferenz zur Zukunft Europas aus an einen Server mit der IP-Adresse 18.66.192.74 erfolgt ist, und zwar über den Dienst „Amazon CloudFront“.

124    Erwiesen ist auch, dass die IP-Adresse 18.66.192.74 zu dem betreffenden Zeitpunkt einem Server in München (Deutschland) zugewiesen war, der der A 100 ROW GmbH, einer in der oben in Rn. 116 genannten Liste mit Unternehmen aufgeführten Gesellschaft mit Sitz in Deutschland, gehörte.

125    Somit ist festzustellen, dass beim Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022 eine Übermittlung von den Kläger betreffenden personenbezogenen Daten im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725, insbesondere seiner IP-Adresse, erfolgt ist.

126    Der Kläger hat aber nicht dargetan, dass beim Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022 ihn betreffende personenbezogene Daten an ein Drittland, insbesondere an die Vereinigten Staaten, übermittelt worden wären.

127    Wie bereits ausgeführt (siehe oben, Rn. 121 bis 124), erfolgte die Übermittlung von den Kläger betreffenden personenbezogenen Daten beim Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022 über den Dienst „Amazon CloudFront“ von der Website aus an einen Server in München. Dieser gehörte einer Gesellschaft mit Sitz in Deutschland, die zu dem Netz der Bereitsteller der Infrastruktur des Dienstes „Amazon CloudFront“ gehörte, der für die Kommission auf der Grundlage eines mit AWS EMEA, einer Gesellschaft mit Sitz in Luxemburg, geschlossenen Vertrags erbracht wird.

128    Beim Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022 sind die den Kläger betreffenden personenbezogenen Daten also an einen in der Union ansässigen Empfänger übermittelt worden.

129    Allerdings wurden die den Kläger betreffenden personenbezogenen Daten, selbst wenn man davon ausgeht, dass sie das Hoheitsgebiet der Union nicht verlassen haben, an einen Server übermittelt, der zu dem Netz von Edge locations des Dienstes „Amazon CloudFront“ gehört, das bei der Bereitstellung der Inhalte der Website der Konferenz zur Zukunft Europas ein Netz von Edge locations umfasst, das nicht auf das Hoheitsgebiet des EWR beschränkt ist, sondern darüber hinausgeht (siehe oben, Rn. 116).

130    Die konkreten Umstände, die oben in Rn. 127 beschrieben sind, beweisen aber nicht, dass personenbezogene Daten an außerhalb des Hoheitsgebiets des EWR, insbesondere in den Vereinigten Staaten, ansässige Empfänger übermittelt worden wären.

131    Die streitige Datenübermittlung beim Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022 stellt daher keine Übermittlung personenbezogener Daten an ein Drittland im Sinne von Art. 46 der Verordnung 2018/1725 dar. Denn eine Übermittlung an ein Drittland setzt begrifflich voraus, dass die personenbezogenen Daten einem außerhalb des EWR ansässigen Empfänger zur Verfügung gestellt werden (siehe oben, Rn. 93).

132    Etwas anderes ergibt sich auch nicht aus dem Vorbringen des Klägers, dass AWS EMEA als Tochtergesellschaft einer amerikanischen Gesellschaft verpflichtet sei, personenbezogene Daten an die amerikanischen Behörden zu übermitteln, und zwar auch dann, wenn diese im Hoheitsgebiet der Union gespeichert seien.

133    Zwar stellt es eine Übermittlung personenbezogener Daten an ein Drittland im Sinne von Art. 46 der Verordnung 2018/1725 dar, wenn einem Drittland nach dessen Recht Auskunft über personenbezogenen Daten erteilt wird, die im EWR verarbeitet werden. Im vorliegenden Fall hat der Kläger jedoch nicht dargetan, dass ein solcher Zugang bestanden hätte. Der Kläger hat nämlich weder dargetan oder behauptet, dass irgendwelche ihn betreffenden personenbezogenen Daten an die amerikanischen Behörden übermittelt worden wären, noch, dass die amerikanischen Behörden die Daten, die an den Server von „Amazon CloudFront“ in München übermittelt wurden, angefordert hätten.

134    Das Vorbringen des Klägers betrifft somit nicht einen unmittelbaren Verstoß gegen die Vorschriften von Kapitel V der Verordnung 2018/1725, sondern lediglich die Gefahr eines solchen Verstoßes, falls sich AWS EMEA als Tochtergesellschaft einer amerikanischen Gesellschaft einer Anfrage der amerikanischen Behörden nach Daten, die auf im Hoheitsgebiet des EWR befindlichen Servern gespeichert sind, nicht widersetzen könnte.

135    Die bloße Gefahr des Zugangs eines Drittlands zu personenbezogenen Daten stellt aber keine Datenübermittlung im Sinne von Art. 46 der Verordnung 2018/1725, wie er oben in Rn. 93 ausgelegt wurde, dar. Der Kläger hat nämlich nicht dargetan, dass die ihn betreffenden personenbezogenen Daten an ein Drittland übermittelt oder einem Empfänger in einem Drittland auf sonstige Weise zur Verfügung gestellt worden wären. Mit anderen Worten: Die Gefahr eines Verstoßes gegen Art. 46 der Verordnung 2018/1725 kann nicht mit einem unmittelbaren Verstoß gegen diese Bestimmung gleichgesetzt werden.

136    Außerdem ist zu beachten, dass das Gericht beim zweiten Schadensersatzantrag prüft, ob die Voraussetzungen der außervertraglichen Haftung der Kommission erfüllt sind, insbesondere die Voraussetzung der Rechtswidrigkeit des Verhaltens der Kommission, wonach ein hinreichend qualifizierter Verstoß gegen die Bestimmungen der Verordnung 2018/1725 und der Charta, auf die sich der Kläger beruft, vorliegen muss.

137    Insoweit ist festzustellen, dass die bloße Gefahr eines Verstoßes gegen die Bestimmungen von Kapitel V der Verordnung 2018/1725 jedenfalls nicht genügt, um ein Fehlverhalten der Kommission nachzuweisen, das einen hinreichend qualifizierten Verstoß gegen diese Bestimmungen darstellen würde.

138    Etwas anderes ergibt sich auch nicht aus dem Vorbringen des Klägers zum Urteil Schrems II. In diesem Urteil hat der Gerichtshof nämlich über einige der Voraussetzungen entschieden, unter denen Übermittlungen von personenbezogenen Daten an die Vereinigten Staaten erfolgen dürfen, nicht aber darüber, unter welchen Voraussetzungen personenbezogene Daten im Hoheitsgebiet des EWR durch Tochtergesellschaften von Gesellschaften amerikanischen Rechts wie AWS EMEA verarbeitet werden dürfen.

139    Somit ist festzustellen, dass der Kläger, was die streitige Datenübermittlung beim Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022 angeht, nicht dargetan hat, dass die Kommission im Sinne der oben in Rn. 50 dargestellten Rechtsprechung einen hinreichend qualifizierten Verstoß gegen Art. 46 und Art. 48 Abs. 1 und Abs. 2 Buchst. b der Verordnung 2018/1725 und gegen die Art. 7, 8 und 47 der Charta begangen hätte.

140    Da von den kumulativen Voraussetzungen der außervertraglichen Haftung der Union gemäß Art. 340 Abs. 2 AEUV eine mithin nicht erfüllt ist, ist der zweite Schadensersatzantrag des Klägers, soweit er die streitige Datenübermittlung beim Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022 betrifft, zurückzuweisen, ohne dass auf das übrige Vorbringen des Klägers eingegangen zu werden braucht.

–       Streitige Datenübermittlung bei den Besuchen der Website der Konferenz zur Zukunft Europas am 8. Juni 2022

141    Der Kläger macht geltend, dass bei den Besuchen der Website der Konferenz zur Zukunft Europas am 8. Juni 2022 ihn betreffende personenbezogenen Daten, insbesondere seine IP-Adresse, an Server der „Amazon CloudFront“ in den Vereinigten Staaten übermittelt worden seien. Dies sei nicht auf seine Tätigkeit als Nutzer der Website, sondern auf die Funktionsweise des Dienstes „Amazon CloudFront“ zurückzuführen, bei dem die globale Infrastruktur, über die er erbracht werde, die Gefahr der Übermittlung von Daten an die Vereinigten Staaten in sich berge. Sein Fall unterscheide sich nicht von dem eines Unionsbürgers, der die Website der Konferenz zur Zukunft Europas etwa bei einem geschäftlichen oder dienstlichen Aufenthalt in den Vereinigten Staaten besuche. Die Kommission habe nicht alle Sorgfalt walten lassen, um die Übermittlung von Daten an die Vereinigten Staaten zu verhindern. Anstatt eine rein europäische Hosting-Lösung zu wählen, habe sie sich für ein Inhaltszustellnetz entschieden, das auf einer globalen Infrastruktur basiere.

142    Durch die betreffende Übermittlung personenbezogener Daten sei ihm im Sinne des 46. Erwägungsgrundes der Verordnung 2018/1725 ein immaterieller Schaden entstanden. Er habe nämlich die Kontrolle über seine Daten verloren, die an die Vereinigten Staaten übermittelt und einer rechtswidrigen Überwachung durch die amerikanischen Behörden ausgesetzt worden seien, und sei um seine Rechte und Freiheiten gebracht worden.

143    Die Kommission tritt dem Vorbringen des Klägers entgegen.

144    Zunächst ist im Hinblick auf das Vorbringen des Klägers klarzustellen, dass das Gericht bei dem zweiten Schadensersatzantrag nicht unmittelbar prüft, ob die Entscheidung der Kommission, für die Bereitstellung der Inhalte der Website der Konferenz zur Zukunft Europas auf den Dienst „Amazon CloudFront“ zurückzugreifen, rechtmäßig ist, sondern ob bei der streitigen Datenübermittlung bei den Besuchen der Website der Konferenz zur Zukunft Europas am 8. Juni 2022 die Voraussetzungen der außervertraglichen Haftung der Kommission erfüllt sind.

145    Im vorliegenden Fall hält das Gericht es für zweckmäßig, zunächst auf die Voraussetzung einzugehen, dass zwischen dem rechtswidrigen Verhalten, das der Kommission vorgeworfen wird, und dem immateriellen Schaden, der geltend gemacht wird, ein Kausalzusammenhang bestehen muss.

146    Nach der oben in Rn. 55 dargestellten Rechtsprechung besteht die Voraussetzung des Kausalzusammenhangs darin, dass zwischen dem Verhalten, das dem Organ vorgeworfen wird, und dem Schaden ein hinreichend unmittelbarer ursächlicher Zusammenhang bestehen muss, und zwar dergestalt, dass dieses Verhalten die entscheidende Ursache für den Schaden sein muss, wobei der Kläger insoweit die Beweislast trägt.

147    Der Kausalzusammenhang, den die außervertragliche Haftung der Union gemäß Art. 340 Abs. 2 AEUV voraussetzt, liegt vor, wenn der Schaden die unmittelbare Folge der in Rede stehenden rechtswidrigen Handlung ist (Urteil vom 28. Juni 2007, Internationaler Hilfsfonds/Kommission, C‑331/05 P, EU:C:2007:390, Rn. 23).

148    Was die Unmittelbarkeit des Kausalzusammenhangs angeht, hat das Gericht bereits entschieden, dass sich der Schaden unmittelbar aus dem gerügten Verstoß ergeben muss und sich nicht danach richten kann, wie nach Auffassung des Klägers auf die seiner Ansicht nach rechtswidrige Handlung zu reagieren ist. So ist entschieden worden, dass der bloße Umstand, dass das rechtswidrige Verhalten eine notwendige Bedingung (conditio sine qua non) für die Entstehung des Schadens darstellt, dass dieser also nicht entstanden wäre, wenn das Verhalten nicht vorgelegen hätte, zum Nachweis eines hinreichend unmittelbaren Kausalzusammenhangs im Sinne der Rechtsprechung der Unionsgerichte nicht ausreicht (vgl. in diesem Sinne entsprechend Urteile vom 30. November 2011, Transnational Company „Kazchrome“ und ENRC Marketing/Rat und Kommission, T‑107/08, EU:T:2011:704, Rn. 80 und die dort angeführte Rechtsprechung, und vom 23. Mai 2019, Remag Metallhandel und Jaschinsky/Kommission, T‑631/16, nicht veröffentlicht, EU:T:2019:352, Rn. 52 und die dort angeführte Rechtsprechung).

149    Nach der Rechtsprechung ist ein unmittelbarer Kausalzusammenhang demnach zu verneinen, wenn der geltend gemachte Schaden unmittelbar auf die eigene Entscheidung oder die freie Wahl des Klägers zurückzuführen ist und daher nicht dem betreffenden Organ bzw. der betreffenden Einrichtung zugerechnet werden kann (vgl. in diesem Sinne entsprechend Urteile vom 28. Juni 2007, Internationaler Hilfsfonds/Kommission, C‑331/05 P, EU:C:2007:390, Rn. 22 bis 29, vom 17. Februar 2017, Novar/EUIPO, T‑726/14, EU:T:2017:99, Rn. 31 und 32, und vom 28. Februar 2018, Vakakis kai Synergates/Kommission, T‑292/15, EU:T:2018:103, Rn. 173 und die dort angeführte Rechtsprechung).

150    Im vorliegenden Fall ist daher zu prüfen, ob das der Kommission vorgeworfene Verhalten – Rückgriff auf den Dienst „Amazon CloudFront“ als Inhaltszustellnetz für die Bereitstellung der Inhalte der Website der Konferenz zur Zukunft Europas – die unmittelbare Ursache des geltend gemachten immateriellen Schadens – Verlust der Kontrolle über die den Kläger betreffenden personenbezogenen Daten, die bei den Besuchen der Website am 8. Juni 2022 an die Vereinigten Staaten übermittelt worden seien – ist.

151    Erstens ergibt sich aus den Akten und den Antworten der Parteien auf die in der mündlichen Verhandlung gestellten Fragen, dass der Kläger am 8. Juni 2022 in München war und die Website der Konferenz zur Zukunft Europas mehrmals besucht hat. Dabei wurden von der IP-Adresse des Klägers aus nacheinander Verbindungen zu verschiedenen Servern des Dienstes „Amazon CloudFront“ hergestellt, die räumlich sehr weit auseinanderliegen. So wurde um 07.13 Uhr eine Verbindung zu einem Server in München, um 11.13 Uhr eine Verbindung zu einem Server in London (Vereinigtes Königreich), um 12.56 Uhr eine Verbindung zu einem Server in Hillsboro (Oregon, Vereinigte Staaten), um 13.05 Uhr eine Verbindung zu einem Server in Newark und um 19.12 Uhr eine Verbindung zu einem Server in Frankfurt am Main (Deutschland) hergestellt.

152    Zweitens geht aus den Akten hervor, dass die IP-Adresse des Klägers jeweils an die oben in Rn. 151 genannten Server des Dienstes „Amazon CloudFront“ übermittelt wurde, auch an die Server in den Vereinigten Staaten.

153    Drittens ist festzustellen, dass die IP-Adresse des Klägers zu den personenbezogenen Daten gehört.

154    Viertens ist festzustellen, dass die Website der Konferenz zur Zukunft Europas am 8. Juni 2022 4 548 Zugriffe und 18 verschiedene IP-Adressen zu verzeichnen hatte. Von einer einzigen dieser IP-Adressen aus, nämlich der des Klägers, wurde eine Verbindung zu Servern außerhalb der Union, nämlich in den Vereinigten Staaten und dem Vereinigten Königreich, hergestellt. Insoweit ist festzustellen, dass der Kläger nicht dargetan, ja nicht einmal behauptet hat, dass es bei dem für die Website der Konferenz zur Zukunft Europas erbrachten Dienst „Amazon CloudFront“ am 8. Juni 2022 zu technischen oder andersartigen Problemen gekommen wäre, durch die das normale Funktionieren seines auf dem Prinzip der Proximität beruhenden Routing-Mechanismus, mit dem die Anforderung der Website der Konferenz zur Zukunft Europas durch einen Nutzer je nach dessen Standort zu der Edge location mit der geringsten Latenz weitergeleitet wird, gestört worden wäre (siehe oben, Rn. 112).

155    Was fünftens die Umstände der Verbindungen angeht, die von der IP-Adresse des Klägers aus zu Servern in den Vereinigten Staaten hergestellt wurden, ergibt sich aus den Akten und den Antworten, die die Parteien in der mündlichen Verhandlung gegeben haben, dass der Kläger geltend macht, dass diese Verbindungen auf das Funktionieren von „Amazon CloudFront“ und nicht auf irgendwelche Manipulationen seinerseits zurückzuführen seien. Die Kommission meint hingegen, dass diese Verbindungen atypisch seien und sich nur durch eine technische Manipulation seitens des Klägers erklären ließen.

156    Insoweit ist festzustellen, dass die verschiedenen Orte der Server, zu denen von der IP-Adresse des Klägers aus eine Verbindung hergestellt wurde, in Anbetracht der oben in Rn. 151 beschriebenen Umstände nicht darauf zurückzuführen sein können, dass sich der Kläger an ein und demselben Tag physisch von einem Ort zu einem anderen begeben hat, was wegen der betreffenden Entfernungen und Zeitabstände unmöglich gewesen wäre. Außerdem hat der Kläger nicht dargetan, ja nicht einmal behauptet, dass der Dienst „Amazon CloudFront“ nicht richtig funktioniert hätte, so das festzustellen ist, dass dieser Dienst am 8. Juni 2022 nach dem Prinzip der Proximität in Bezug auf das Gerät des Nutzers funktionierte, wobei die Anforderung eines Nutzers der Website der Konferenz zur Zukunft Europas durch den Routing-Mechanismus zu der Edge location mit der geringsten Latenz weitergeleitet wurde (siehe oben, Rn. 154).

157    Die Verbindungen, die von der IP-Adresse des Klägers aus zu Servern in den Vereinigten Staaten hergestellt wurden, obwohl sich der Kläger in Deutschland aufhielt, sind daher nicht auf das normale Funktionieren des Dienstes „Amazon CloudFront“ zurückzuführen, sondern auf technische Einstellungen, die der Kläger vorgenommen hat, um seinen angezeigten Standort zu ändern, indem er sich online für jemanden ausgab, der sich an ein und demselben Tag nacheinander an Orten in der Nähe von München, London, Hillsboro, Newark und Frankfurt am Main befand.

158    Dass bei den Besuchen der Website der Konferenz zur Zukunft Europas von der IP-Adresse des Klägers aus Verbindungen zu Servern von „Amazon CloudFront“ in den Vereinigten Staaten hergestellt wurden, wurde demnach zwar durch die Funktionsweise des Dienstes „Amazon CloudFront“ mit dem nach dem Prinzip der Proximität funktionierenden Routing-Mechanismus, der ein größeres Gebiet als das Gebiet des EWR abdeckt, das insbesondere die Vereinigten Staaten umfasst (siehe oben, Rn. 112 und 114), ermöglicht.

159    Aber auch wenn die Verwendung des Dienstes „Amazon CloudFront“ durch die Kommission eine notwendige Bedingung für die oben in Rn. 152 genannten Übermittlungen von personenbezogenen Daten an die Vereinigten Staaten war, liegt deshalb unter den Umständen des vorliegenden Falles zwischen dem immateriellen Schaden, den der Kläger geltend macht, und dem Verhalten der Kommission, das der Kläger für rechtswidrig hält, nämlich der Verwendung eines solchen Dienstes unter Verstoß gegen die Bestimmungen von Kapitel V der Verordnung 2018/1725, noch kein hinreichend unmittelbarer Kausalzusammenhang vor.

160    Die direkte und unmittelbare Ursache des geltend gemachten immateriellen Schadens ist nämlich nicht der Fehler, den die Kommission dadurch begangen haben soll, dass sie auf den Dienst „Amazon CloudFront“ zurückgegriffen hat, sondern das Verhalten des Klägers.

161    So sind die notwendigen Bedingungen dafür, dass über den Dienst „Amazon CloudFront“ Verbindungen mit Servern in den Vereinigten Staaten hergestellt wurden, vom Kläger geschaffen worden. Dass bei der Website der Konferenz zur Zukunft Europas die Abrufanfragen des Klägers durch den Routing-Mechanismus des Dienstes „Amazon CloudFront“ an Server in den Vereinigten Staaten weitergeleitet wurden, weil diese in Bezug auf den online angezeigten Standort des Klägers – der nicht dem Standort entsprach, an dem sich der Kläger tatsächlich befand – die geringste Latenz hatten, ist auf das Verhalten des Klägers zurückzuführen.

162    Es kann nicht angehen, dass der Kläger ein Verhalten zeigt, das darauf abzielt, ein bestimmtes Ergebnis (Übermittlung der ihn betreffenden personenbezogenen Daten an ein Drittland) zu erreichen, und dann in der Folge Ersatz des Schadens verlangt, der durch dieses unmittelbar auf sein Verhalten zurückzuführende Ergebnis entstanden sein soll. Bei einer Schadensersatzklage wie der hier vorliegenden kann die Situation des Klägers – anders als dieser geltend macht – daher nicht ebenso beurteilt werden wie die eines Nutzers, der sich tatsächlich in die Vereinigten Staaten begeben und die Website der Konferenz zur Zukunft Europas deshalb von dort aus besucht hat

163    Somit ist festzustellen, dass der Kläger in Bezug auf die streitige Datenübermittlung bei den Besuchen der Website der Konferenz zur Zukunft Europas am 8. Juni 2022 nicht dargetan hat, dass zwischen dem Verhalten der Kommission, das er für rechtswidrig hält, und dem immateriellen Schaden, den er geltend macht, ein hinreichend unmittelbarer Kausalzusammenhang bestünde.

164    Da von den kumulativen Voraussetzungen der außervertraglichen Haftung der Union eine nicht erfüllt ist, ist der Schadensersatzantrag, soweit er die streitige Datenübermittlung bei den Besuchen der Website der Konferenz zur Zukunft Europas am 8. Juni 2022 betrifft, zurückzuweisen, ohne dass auf die übrigen Voraussetzungen der außervertraglichen Haftung der Union eingegangen zu werden braucht.

–       Streitige Datenübermittlung bei der Anmeldung auf „EU Login“ am 30. März 2022

165    Der Kläger macht geltend, dass am 30. März 2022 bei seiner Anmeldung zu der auf der Website der Konferenz zur Zukunft Europas angebotenen Veranstaltung „GoGreen“ seine IP-Adresse und Browser- und Geräteinformationen an das Unternehmen Meta Platforms mit Sitz in den Vereinigten Staaten, dem Eigentümer des sozialen Netzwerks „Facebook“, übermittelt worden seien. Bei der Anmeldung für die Veranstaltung sei er nämlich zu dem Authentifizierungsdienst „EU Login“ der Union weitgeleitet worden, wo u. a. eine Anmeldung über verschiedene soziale Netzwerke angeboten werde. Er habe sich dafür entschieden, sich über sein Facebook-Konto anzumelden, und als er den Hyperlink angeklickt habe, mit dem er zu Facebook weitergeleitet worden sei, habe dieser Hyperlink zu einer Übermittlung seiner IP-Adresse an Facebook geführt. Er habe lediglich die „notwendigen Cookies“ von Facebook akzeptiert. Weitere ihn betreffende personenbezogene Daten, nämlich seine E‑Mail-Adresse, sein Name, sein Vorname und sein Profilbild, seien von Facebook über Cookies, insbesondere über das Cookie „sb“, erhoben und an die Server von Meta Platforms übermittelt worden. Nach der Rechtsprechung seien Betreiber von Websites, wenn sie wie die Kommission Facebook auf ihren Websites verwendeten, gemeinsam mit Facebook für die Einhaltung des EU-Datenschutzrechts verantwortlich. Die Kommission sei demnach für das Setzen der von Facebook gespeicherten Cookies mitverantwortlich. Er habe die Kontrolle über die ihn betreffenden personenbezogenen Daten, die an Facebook übermittelt worden seien, verloren und sei um seine Rechte und Freiheiten gebracht worden, was einen immateriellen Schaden im Sinne des 46. Erwägungsgrundes der Verordnung 2018/1725 darstelle.

166    Die Kommission tritt dem Vorbringen des Klägers entgegen. Sie macht im Wesentlichen geltend, dass sie keine Datenübermittlungen an Meta Platforms getätigt oder veranlasst habe. Um an der Veranstaltung „GoGreen“ teilzunehmen, sei es nicht erforderlich, sich über „EU Login“ anzumelden. Und selbst bei Verwendung von „EU Login“ hätte der Kläger verschiedene Möglichkeiten der Authentifizierung gehabt, auch solche, bei denen die Authentifizierung nicht über ein Konto in sozialen Netzwerken erfolge. Wenn sich der Kläger auf „EU Login“ über sein Facebook-Konto angemeldet habe, so sei dies also seine eigene Entscheidung gewesen. Damit habe er und nicht sie den Zugang zur Website von Facebook ausgelöst. Im Übrigen erfolge die Authentifizierung über Facebook technisch über einen Hyperlink auf der Website „EU Login“, der keine personenbezogenen Daten des Nutzers enthalte. Anders als der Kläger geltend mache, würden die von Cookies, die Facebook verwende, erhobenen Daten bei der Anmeldung auf „EU Login“ nicht an sie übertragen, und sie sei für diese nicht verantwortlich. Diese Cookies seien das Ergebnis des mit Zustimmung des Klägers erfolgenden Austauschs zwischen Facebook und dem Kläger. Sie selbst sei daran nicht beteiligt. Im Übrigen sei die Rechtsprechung, auf die sich der Kläger berufe, im vorliegenden Fall nicht einschlägig. Abgesehen davon handele es sich bei dem Vorbringen des Klägers, dass sie und Meta Platforms gemeinsam verantwortlich seien, um einen neuen Klagegrund, der erstmals im Stadium der Erwiderung vorgebracht worden und damit unzulässig sei.

167    Im vorliegenden Fall ist zunächst auf der Grundlage der Informationen, die sich aus den Akten ergeben, und der Antworten, die Parteien auf die Fragen gegeben haben, die das Gericht in der mündlichen Verhandlung und mit der prozessleitenden Maßnahme vom 9. Februar 2024 gestellt hat, zu ermitteln, in welchem faktischen Kontext die streitige Datenübertragung bei der Anmeldung auf „EU Login“ am 30. März 2022 erfolgt ist.

168    Insoweit ist festzustellen, dass die Veranstaltung „GoGreen“, die von einer in den Niederlanden ansässigen Organisation durchgeführt wurde, auf der Website der Konferenz zur Zukunft Europas angekündigt wurde. Die Anmeldung zu dieser Veranstaltung konnte u. a. auf der Website der Konferenz zur Zukunft Europas erfolgen, und zwar über den Dienst „EU Login“.

169    Der Kläger entschied sich dafür, sich auf der Website der Konferenz zur Zukunft Europas über „EU Login“ anzumelden.

170    „EU Login“ ist der Benutzerauthentifizierungsdienst der Kommission, mit dem mehrere Hundert Websites und Anwendungen mit EU-Bezug geschützt werden. Im vorliegenden Fall sollte mit der Anmeldung auf „EU Login“ zur Anmeldung für die Veranstaltung „GoGreen“ sichergestellt werden, dass Letztere mit einer überprüften E‑Mail-Adresse erfolgt, und damit die Gefahr der Anmeldung unechter Nutzer und des Identitätsdiebstahls verringert werden.

171    Auf der Website von „EU Login“ werden mehrere Anmeldeoptionen angeboten. Erstens kann sich der Nutzer unmittelbar über „EU Login“ anmelden, entweder indem er die entsprechenden Daten eines bereits bestehenden EU-Login-Kontos eingibt oder indem er ein neues EU-Login-Konto erstellt. Zweitens kann der Nutzer eine Karte zum elektronischen Identitätsnachweis (eID-Karte) verwenden, die für die Bürger bestimmter Mitgliedstaaten verfügbar ist. Drittens kann der Nutzer bei einer begrenzten Zahl von Diensten ein bereits existierendes Facebook‑, Twitter- oder Google-Konto verwenden, indem er den entsprechenden Hyperlink auf der Website von „EU Login“ anklickt.

172    Die Möglichkeit der Anmeldung auf „EU Login“ mit einem Facebook-Konto geht darauf zurück, dass die Kommission es für zweckmäßig gehalten hat, den Nutzern die Möglichkeit einzuräumen, sich auf „EU Login“ einfacher und schneller mit bereits auf Plattformen bestehenden Konten anzumelden und sich, ohne ein EU-Login-Konto erstellen zu müssen, zu authentifizieren und damit eine Vervielfachung der Zahl von Konten und Einrichtungen, denen die Nutzer ihre personenbezogenen Daten mitteilen müssen, zu vermeiden. Im Übrigen ging die Kommission wegen der von Facebook getroffenen Maßnahmen davon aus, dass Facebook zuverlässig sei, um die E‑Mail-Adressen der Nutzer zu überprüfen. Der Hyperlink, mit dem sich der Nutzer über ein bereits bestehendes Facebook-Konto anmelden kann, ist auf „EU Login“ aber nur für Websites oder Anwendungen verfügbar, die lediglich ein elementares Sicherheitsniveau erfordern.

173    Mit dem Anklicken des Hyperlinks „Sign in with Facebook“ auf der Website „EU Login“ (im Folgenden: Hyperlink „Sign in with Facebook“) hat sich der Kläger dafür entschieden, sich auf „EU Login“ mit seinem Facebook-Konto anzumelden.

174    Der Hyperlink „Sign in with Facebook“ enthält einen Link zu einer externen Website. Wird der Hyperlink durch Anklicken geöffnet, wird eine URL-Adresse der Website von Facebook, d. h. eine individuelle Adresse dieser Website, aufgerufen.

175    Beim Aufruf der URL-Adresse der Website von Facebook kommt es zu einer Kommunikation zwischen dem Browser des Nutzers und der Website von Facebook, bei der die IP-Adresse des Nutzers übermittelt wird. Diese Übermittlung ist vergleichbar mit der, die erfolgt, wenn der Nutzer die URL-Adresse einer beliebigen Website unmittelbar in seinen Browser eingibt. Jeder Internetnutzer, der Zugang zu einer Website erhalten möchte, muss nämlich zwingend seine IP-Adresse mitteilen.

176    Über den Hyperlink „Sign in with Facebook“ werden von „EU Login“ bestimmte Informationen an Facebook übermittelt, die für den Authentifizierungsvorgang erforderlich sind und z. B. wie folgt aussehen:

177    Im Einzelnen sind in dem Hyperlink „Sign in with Facebook“ folgende Informationen enthalten:

–        Erstens enthält der Teil „client_id=1200572836629487“ einen „eindeutigen Identifikationscode“, mit dem „EU Login“ als Anwendung identifiziert wird. Dieser ID-Code ist für alle Nutzer, die sich auf „EU Login“ über Facebook authentifizieren wollen, derselbe.

–        Zweitens enthält der Teil „redirect_uri=https%3A%2F%2Fecas.ec.europa.eu%2Fcas%2FoAuthCallback“ die allgemeine URL-Adresse von „EU Login“. Dies ist die Adresse, an die Facebook den Nutzer weiterzuleiten hat, nachdem dieser der Übermittlung der ihn betreffenden personenbezogenen Daten an „EU Login“ zugestimmt hat.

–        Drittens enthält der Teil „scope=email“ die Angaben, die Facebook an „EU Login“ senden muss, um eine erfolgreiche Authentifizierung des Nutzers zu gewährleisten, insbesondere die E‑Mail-Adresse des Nutzers sowie den Vor- und den Familiennamen, wie sie auf der Website von Facebook bei der Erstellung des Facebook-Kontos angegeben wurden.

–        Viertens bedeutet der Teil „state=useFacebook“, dass es sich bei der langen nachfolgenden Zeichenfolge um einen zufälligen Sicherheitswert handelt, der zur Vermeidung von Sicherheitsangriffen verwendet wird. Dieser ist nur eine begrenzte Zeit lang gültig. Er wird von „EU Login“ nach dem Zufallsprinzip generiert und hat die Funktion einer Passphrase, die Facebook bei der Übermittlung von Daten an „EU Login“ wiederholen muss, damit „EU Login“ weiß, dass die E‑Mail-Adresse, der Vorname und der Familienname, die übermittelt werden, den Nutzer betreffen, von dem das Authentifizierungsverfahren ausgegangen ist. Wenn die Frist abgelaufen ist oder der Nutzer bereits authentifiziert ist, kann der zufällige Sicherheitswert nicht mehr verwendet werden.

–        Fünftens bedeutet der Teil „response_type=code“, dass den von Facebook an „EU Login“ übermittelten Daten ein einmaliger Code beigefügt wird, der den zufälligen Sicherheitswert (siehe oben) einschließt. Der einmalige Code entspricht einer eindeutigen Registrierungsnummer oder einer Seriennummer, mit der die Daten, die Facebook an „EU Login“ übermittelt, authentifiziert werden.

178    Sobald der Nutzer Zugang zu der URL-Adresse von Facebook erhält, befindet er sich auf der Website von Facebook, wo sich zunächst ein Fenster öffnet, in dem er aufgefordert wird, der Verwendung von Cookies durch Facebook zuzustimmen. Tut er dies, öffnet sich ein weiteres Fenster, in dem der Benutzername und das Passwort des Facebook-Benutzerkontos eingegeben werden können. Ist er bei Facebook angemeldet, kann der Nutzer, indem er auf die Frage „Allow Facebook to use cookies and similar technologies placed on other apps and websites?“ antwortet, Facebook erlauben, Cookies auf anderen Anwendungen und Websites zu verwenden. Tut er dies, wird er aufgefordert, dem zuzustimmen, dass Facebook „EU Login“ folgende mit seinem Facebook-Konto verknüpften Informationen mitteilt: Vorname, Familienname, Profilbild und E‑Mail-Adresse. Während des gesamten Vorgangs kann der Nutzer die Authentifizierung über sein Facebook-Konto abbrechen, indem er die Option „Cancel“ wählt. Er wird dann auf die Website von „EU Login“ zurückgeleitet, wo erneut die Seite mit den Anmeldeoptionen erscheint.

179    Im vorliegenden Fall rief der Browser des Klägers, als dieser den Hyperlink „Sign in with Facebook“ anklickte, die URL-Adresse der Website von Facebook auf und teilte dieser deshalb die IP-Adresse des Klägers mit. Als er sich auf der Website von Facebook befand, wählte der Kläger die Option, nach der Facebook nur die notwendigen Cookies verwenden darf, meldete sich über Facebook an und erteilte Facebook die Zustimmung dazu, „EU Login“ seinen Vornamen, seinen Familiennamen, sein Profilbild und seine E‑Mail-Adresse, wie er sie in seinem Facebook-Konto angegeben hatte, mitzuteilen.

180    Nachdem er diese Zustimmungen erteilt hatte, wurde der Kläger von Facebook gemäß den in dem Hyperlink „Sign in with Facebook“ enthaltenen Angaben (siehe oben, Rn. 177, erster und zweiter Gedankenstrich) auf die Website „EU Login“ zurückgeleitet.

181    Gleichzeitig übermittelte Facebook „EU Login“ den zufälligen Sicherheitswert und den einmaligen Code (siehe oben, Rn. 177, vierter und fünfter Gedankenstrich). Zum einen konnte „EU Login“ aufgrund der Übermittlung dieser Daten durch Facebook wissen, dass die personenbezogenen Daten, die Facebook zur Verfügung stellte, den Nutzer betrafen, der den Authentifizierungsprozess in Gang gesetzt hatte, nämlich den Kläger. Zum anderen konnte „EU Login“ aufgrund der Übermittlung dieser Daten während eines begrenzten Zeitraums auf die oben in Rn. 177, dritter Gedankenstrich, genannten personenbezogenen Daten zugreifen, nämlich u. a. den Vornamen, den Familiennamen und die E‑Mail-Adresse des Klägers, wie dieser sie in seinem Facebook-Konto angegeben hatte. Die Übermittlung dieser Daten von Facebook an „EU Login“ erfolgte über eine verschlüsselte Verbindung. „EU Login“ authentifizierte die E‑Mail-Adresse des Klägers anhand der von Facebook zur Verfügung gestellten Daten.

182    Das soziale Netzwerk „Facebook“ gehört Meta Platforms, einer Gesellschaft mit Sitz in den Vereinigten Staaten.

183    Für die Anzeige des Hyperlinks „Sign in with Facebook“ auf der Website von „EU Login“ gelten die Nutzungsbedingungen von Facebook, die auf der Website „https://developers.facebook.com/terms“ abrufbar sind.

184    Vor diesem Hintergrund ist nun zu prüfen, ob die Voraussetzungen der außervertraglichen Haftung der Kommission erfüllt sind.

185    Der Kläger macht im Wesentlichen geltend, dass bei seiner Anmeldung auf „EU Login“ am 30. März 2022 ihn betreffende personenbezogene Daten, insbesondere seine IP-Adresse, an Server des sozialen Netzwerks Facebook, dessen Eigentümer seinen Sitz in den Vereinigten Staaten habe, übermittelt worden seien. Die Übermittlung dieser Daten sei unter Verstoß gegen Art. 46 der Verordnung 2018/1725 erfolgt, und ihm sei dadurch ein immaterieller Schaden entstanden, der darin bestehe, dass er die Kontrolle über seine Daten verloren habe und um seine Rechte und Freiheiten gebracht worden sei.

186    Wie bereits ausgeführt (siehe oben, Rn. 95), setzt eine Übermittlung personenbezogener Daten an ein Drittland im Sinne von Art. 46 der Verordnung 2018/1725 voraus, dass ein Organ, eine Einrichtung oder eine Stelle der Union einem Empfänger, der in einem Drittland, also einem Land, das weder Mitglied der Union noch des EWR ist, ansässig ist, durch Übermittlung oder auf sonstige Weise personenbezogene Daten bereitstellt.

187    Im vorliegenden Fall ist erstens erwiesen, dass der Kläger von den auf „EU Login“ zur Verfügung stehenden Anmeldeoptionen die der Anmeldung über sein Facebook-Konto gewählt hat. Zweitens enthält der Hyperlink „Sign in with Facebook“ einen Link zu einer URL-Adresse der Website von Facebook. Drittens wurde, als der Kläger diesen Hyperlink durch Anklicken geöffnet hat, durch seinen Browser die URL-Adresse der Website von Facebook aufgerufen und seine IP-Adresse an Facebook übermittelt (siehe oben, Rn. 173 bis 175).

188    Somit hat die Kommission mit dem Hyperlink „Sign in with Facebook“, der auf der Website von „EU Login“ angezeigt wird, die Voraussetzungen für die Übermittlung der IP-Adresse des Klägers an Facebook geschaffen. Die IP-Adresse des Klägers gehört aber zu den diesen betreffenden personenbezogenen Daten (siehe oben, Rn. 122) und wurde mit dem Hyperlink „Sign in with Facebook“ an Meta Platforms, eine Gesellschaft mit Sitz in den Vereinigten Staaten, übermittelt. Diese Übermittlung stellt mithin eine Übermittlung personenbezogener Daten an ein Drittland im Sinne von Art. 46 der Verordnung 2018/1725 dar.

189    Außerdem ist im vorliegenden Fall erwiesen, dass es zum Zeitpunkt der Übermittlung der Daten (30. März 2022) für die Vereinigten Staaten keinen Angemessenheitsbeschluss gemäß Art. 47 der Verordnung 2018/1725 gab (siehe oben, Rn. 100).

190    Da für die Vereinigten Staaten kein Angemessenheitsbeschluss der Kommission vorliegt, ist die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation nach Art. 48 Abs. 1 der Verordnung 2018/1725 nur zulässig, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (siehe oben, Rn. 101).

191    Im vorliegenden Fall hat die Kommission nicht dargetan, ja nicht einmal behauptet, dass es eine geeignete Garantie gäbe, etwa eine Standarddatenschutzklausel oder eine Vertragsklausel gemäß Art. 48 Abs. 2 und 3 der Verordnung 2018/1725 (siehe oben, Rn. 102 bis 104). Für die Anzeige des Hyperlinks „Sign in with Facebook“ auf der Website von „EU Login“ gelten erwiesenermaßen schlicht und einfach die Nutzungsbedingungen von Facebook (siehe oben, Rn. 183).

192    Die Kommission hat also die Voraussetzungen dafür geschaffen, dass eine Übermittlung von den Kläger betreffenden personenbezogenen Daten an ein Drittland stattfinden konnte, ohne die Voraussetzungen gemäß Art. 46 der Verordnung 2018/1725 zu beachten.

193    Somit ist, ohne dass auf das übrige Vorbringen des Klägers eingegangen zu werden braucht, festzustellen, dass die Kommission in Bezug auf die streitige Datenübermittlung bei der Anmeldung auf „EU Login“ am 30. März 2022 im Sinne der oben in Rn. 50 dargestellten Rechtsprechung einen hinreichend qualifizierten Verstoß gegen Art. 46 der Verordnung 2018/1725 begangen hat.

194    Es ist daher zu prüfen, ob im vorliegenden Fall die übrigen Voraussetzungen der außervertraglichen Haftung der Kommission betreffend den Schaden und den Kausalzusammenhang erfüllt sind.

195    Der Kläger macht geltend, dass ihm durch die rechtswidrige Übermittlung seiner IP-Adresse an ein in den Vereinigten Staaten ansässiges Unternehmen ein immaterieller Schaden entstanden sei, der darin bestehe, dass er die Kontrolle über seine Daten verloren habe und um seine Rechte und Freiheiten gebracht worden sei.

196    Insoweit ist festzustellen, dass Art. 65 der Verordnung 2018/1725 einen Anspruch auf Ersatz nicht nur des materiellen, sondern auch des immateriellen Schadens, der wegen eines Verstoßes gegen diese Verordnung entstanden ist, begründet, ohne dass nachgewiesen werden müsste, dass der Schaden von einer gewissen Erheblichkeit ist (vgl. in diesem Sinne entsprechend Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 45 und 51).

197    Im vorliegenden Fall ist der immaterielle Schaden, den der Kläger geltend macht, tatsächlich und sicher im Sinne der oben in Rn. 54 dargestellten Rechtsprechung. Die oben in Rn. 188 beschriebene Datenübermittlung, die unter Verstoß gegen Art. 46 der Verordnung 2018/1725 erfolgt ist, hat den Kläger nämlich in eine Lage gebracht, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden.

198    Zwischen dem von der Kommission begangenen Verstoß gegen Art. 46 der Verordnung 2018/1725 und dem immateriellen Schaden, der dem Kläger entstanden ist, besteht auch ein hinreichend unmittelbarer Kausalzusammenhang im Sinne der oben in Rn. 55 dargestellten Rechtsprechung.

199    Unter den Umständen des vorliegenden Falles hält das Gericht wegen des immateriellen Schadens, den die Kommission verursacht hat, eine Entschädigung in Höhe von 400 Euro für angemessen.

200    Entsprechend ist die Kommission zu verurteilen, an den Kläger als Ersatz des immateriellen Schadens, der ihm wegen der streitigen Datenübermittlung bei der Anmeldung auf „EU Login“ am 30. März 2022 entstanden ist, 400 Euro zu zahlen.

 Kosten

201    Wenn jede Partei teils obsiegt, teils unterliegt, trägt jede Partei ihre eigenen Kosten. Das Gericht kann jedoch entscheiden, dass eine Partei außer ihren eigenen Kosten einen Teil der Kosten der Gegenpartei trägt, wenn dies in Anbetracht der Umstände des Einzelfalls gerechtfertigt erscheint (Art. 134 Abs. 3 der Verfahrensordnung des Gerichts).

202    Im vorliegenden Fall ist der Kläger mit dem ersten und dem zweiten Klageantrag und teilweise auch mit dem dritten Klageantrag unterlegen. Dem dritten Klageantrag wurde jedoch teilweise stattgegeben, und die Kommission wird verurteilt, den Betrag zu zahlen, den der Kläger als Ersatz des immateriellen Schadens verlangt hat, der ihm wegen der streitigen Datenübermittlung bei der Anmeldung auf „EU Login“ am 30. März 2022 entstanden ist. Daher sind der Kommission ihre eigenen Kosten und die Hälfte der Kosten des Klägers aufzuerlegen. Dem Kläger ist die Hälfte seiner eigenen Kosten aufzuerlegen.

Aus diesen Gründen hat

DAS GERICHT (Sechste erweiterte Kammer)

für Recht erkannt und entschieden:

1.      Die Klage wird, was den Antrag auf Nichtigerklärung angeht, als unzulässig abgewiesen.

2.      Was den Antrag auf Feststellung angeht, dass die Europäische Kommission es rechtswidrig unterlassen hat, zu dem Antrag auf Auskunft von Herrn Thomas Bindl vom 1. April 2022 Stellung zu nehmen, hat sich der Rechtsstreit in der Hauptsache erledigt.

3.      Die Kommission wird verurteilt, an Herrn Bindl 400 Euro als Ersatz des entstandenen immateriellen Schadens zu zahlen.

4.      Im Übrigen werden die Schadensersatzanträge zurückgewiesen.

5.      Die Kommission trägt ihre eigenen Kosten und die Hälfte der Kosten von Herrn Bindl.

6.      Herr Bindl trägt die Hälfte seiner eigenen Kosten.

Costeira

Kancheva

Öberg

Zilgalvis

Tichy-Fisslberger

Verkündet in öffentlicher Sitzung in Luxemburg am 8. Januar 2025.

Der Kanzler

Der Präsident

V. Di Bucci

M. van der Woude

Inhaltsverzeichnis

Vorgeschichte des Rechtsstreits und nach Klageerhebung eingetretene Umstände

Anträge der Parteien

Rechtliche Würdigung

Vorbemerkungen zum Schutz personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union

Zur Zulässigkeit

Zulässigkeit des Antrags auf Nichtigerklärung

Zulässigkeit des Antrags auf Feststellung der Untätigkeit

Zu den Schadensersatzanträgen

Vorbemerkungen zu den Voraussetzungen der außervertraglichen Haftung der Union im Rahmen der Verordnung 2018/1725

Zum ersten Schadensersatzantrag: Ersatz des durch die Verletzung des Auskunftsrechts entstandenen immateriellen Schadens

Zum zweiten Schadensersatzantrag: Ersatz des durch die streitigen Datenübermittlungen entstandenen immateriellen Schadens

– Vorbemerkungen zu den Bestimmungen über die Übermittlung personenbezogener Daten an Drittländer

– Zur Funktionsweise des Dienstes „Amazon CloudFront“ im Rahmen der Website der Konferenz zur Zukunft Europas

– Streitige Datenübermittlung beim Besuch der Website der Konferenz zur Zukunft Europas am 30. März 2022

– Streitige Datenübermittlung bei den Besuchen der Website der Konferenz zur Zukunft Europas am 8. Juni 2022

– Streitige Datenübermittlung bei der Anmeldung auf „EU Login“ am 30. März 2022

Kosten

---