Der Europäische Gerichtshof (EuGH) hat in seinem Urteil entschieden (Urt. v. 15.06.2021, Rs. C-645/19), dass nicht nur die sog. federführende Datenschutzbehörde ihre Befugnis, vermeintliche Verstöße gegen die DSGVO vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben kann. Vielmehr kann unter bestimmten Voraussetzungen auch eine andere nationale Aufsichtsbehörde wegen Datenschutzverstößen ein Verfahren in die Wege leiten.
Zum Hintergrund:
Belgische Datenschutzbehörden hatten eine Unterlassungsklage gegen Facebook Ireland, Facebook Inc. und Facebook Belgium erhoben, in der es um Verstöße gegen die Datenschutzvorschriften ging. Die vermeintlichen Verstöße bestanden u. a. in der Sammlung und Nutzung von Informationen über das Surfverhalten von belgischen Internetnutzern, von denen nicht alle über ein Facebook-Konto verfügen, mittels verschiedener Technologien wie Cookies, Social Plugins oder Pixeln.
Facebook legte jedoch Berufung ein und vertrat die Auffassung, die belgische Datenschutzbehörde könne gegen Facebook Belgium gar nicht vorgehen, da Facebook Ireland als für die Verarbeitung der betreffenden Daten Verantwortlicher festgestellt worden ist. Seit Inkrafttreten der DSGVO könne nur diejenige Datenschutzbehörde ein gerichtliches Verfahren einleiten, in deren Mitgliedsstaat Facebook seine Hauptniederlassung hat. Diese sog. federführende Datenschutzbehörde im Sinne des Art. 56 DSGVO wäre im konkreten Fall also die irische Aufsichtsbehörde. Nur der irische Datenschutzbeauftragte habe aufgrund des in der DSGVO verankerten Verfahrens der Zusammenarbeit und Kohärenz (Art. 60 ff. DSGVO) die Befugnis, auf Unterlassung zu klagen unter der Kontrolle der irischen Gerichte.
Ob dies der Fall ist, wurde nun durch den EuGH im Rahmen eines Vorabentscheidungsersuchens des belgischen Gerichts geklärt.
Die Ansicht des europäischen Gerichtshofs
Der EuGH entschied nun, dass im Grundsatz die federführende Aufsichtsbehörde im Falle von grenzüberschreitenden DSGVO-Verstößen einzuschreiten hat. Doch die DSGVO lasse es unter bestimmten Voraussetzungen zu, dass auch eine andere Aufsichtsbehörde eines Mitgliedstaats vermeintliche Verstöße zur Kenntnis bringen und ggf. die Einleitung eines gerichtlichen Verfahrens betreiben kann, obgleich sie für diese Verarbeitung nicht die federführende Behörde ist.
Die Wahrnehmung der Zuständigkeit der anderen nationalen Aufsichtsbehörde stellt also die Ausnahme dar. Diese greift dann, wenn zum einen die Art 56 Abs. 2 und Art. 66 DSGVO dieser Aufsichtsbehörde eine Zuständigkeit für den Erlass einer Entscheidung, mit der festgestellt wird, dass die fragliche Verarbeitung gegen die in dieser Verordnung vorgesehenen Regeln verstößt, verleihen, und zum anderen muss diese Befugnis unter Beachtung der in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz ausgeübt werden.
Dabei darf die notwendige enge, loyale und wirksame Zusammenarbeit zwischen der „federführenden Aufsichtsbehörde“ und den anderen betroffenen nationalen Aufsichtsbehörden nicht außer Acht gelassen werden, um zu gewährleisten, dass die Vorschriften über den Schutz personenbezogener Daten kohärent und einheitlich geschützt werden, und um somit die praktische Wirksamkeit dieses Mechanismus zu wahren. Dies könnte dann beispielsweise zur Folge haben, dass eine gegenüber der federführenden Behörde gegenläufige Ansicht einer anderen Aufsichtsbehörde die Annahme eines Beschlussentwurfs blockieren könnte – wenn auch nur vorläufig.
Auch die Beachtung der Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union, die das Recht auf den Schutz der personenbezogenen Daten einer Person bzw. auf einen wirksamen Rechtsbehelf garantieren, wurde auch bei einem Einschreiten der nicht federführenden Aufsichtsbehörde ausdrücklich festgestellt.
Außerdem wird vorausgesetzt, dass der für die grenzüberschreitende Verarbeitung Verantwortliche oder der Auftragsverarbeiter über eine Niederlassung im Gebiet der Union verfügt, denn nur dann falle die Ausübung dieser Befugnis überhaupt in den räumlichen Anwendungsbereich der DSGVO.
Damit folgt der EuGH überwiegend der Rechtsauffassung des EuGH-Generalanwalts, der schon im Januar in seinen Schlussanträgen für das Vorabentscheidungsersuchen des belgischen Gerichts (Rs. C-645/19) eine enge Zusammenarbeit der federführenden Aufsichtsbehörde mit anderen betroffenen Datenschutzbehörden als bedeutsam sah.
Unschädlich sei übrigens im vorliegenden Fall auch die Tatsache, dass die Klage vor Geltung der DSGVO erhoben wurde.
Für Datenschutzbeauftragte in Deutschland eröffnet das richtungsweisende Urteil vor allem die Möglichkeit, gegen Aktivitäten großer Internet-Konzerne wie Facebook oder Google vorgehen zu können, da sich diese nun nicht mehr so leicht einer Kontrolle entziehen können. Einer geschickten Verortung ihrer Niederlassung in bewusst gewählte Länder, die mit der Durchführung von datenschutzrechtlichen Verfahren nicht hinterherkommen, wird jetzt wohl zunächst der Weg versperrt sein. Jedenfalls dürfte dadurch schon bald eine Stärkung nationaler Aufsichtsbehörden zu erkennen sein.
Autoren: Olivia Wykretowicz und Lasse Konrad