Eine Vorschrift taugt nur so viel wie ihre Umsetzung, und gerade in Bezug auf datenschutzrechtliche Verfahren der mitgliedstaatlichen Aufsichtsbehörden wurde an der – unter anderem für Facebook zuständigen – irischen Behörde immer wieder Kritik geübt. Eine harmonisierte Durchsetzung der DSGVO besonders gegen die großen Digitalkonzerne scheitere an zu langen Verfahren und zu wenig Nachdruck.[1] Das komplizierte irische Verfahrensrecht sorge für eine schleppende Vorgehensweise, doch es mangle auch an dem entsprechenden Willen, scharf gegen die „großen Player“ wie Facebook oder Twitter vorzugehen. Doch auch die Kooperation der einzelnen Behörden sei zu langsam und unzureichend, sowohl beispielsweise auf Ebene der Bundesländer, aber insbesondere auch hinsichtlich der nationalen mitgliedstaatlichen Behörden. Die Festlegung des Untersuchungsgegenstandes und die Führung der Untersuchungen obliegt generell der jeweils federführenden Behörde.
EuGH erweitert Zuständigkeit der nationalen Behörden
Der EuGH hat nun am 15. Juni ein für den Zuständigkeitsbereich der mitgliedstaatlichen Datenschutzaufsichtsbehörden wegweisendes Urteil[2] gefällt: Unter bestimmten Voraussetzungen können nationale Behörden auch dann gegen DSGVO-Verstöße vorgehen, wenn sie nicht die federführende Behörde sind.[3]
Das Verfahren drehte sich um eine Unterlassungsklage, die der Präsident des belgischen Ausschusses für den Schutz des Privatlebens (CBPL) im September 2015 vor einem erstinstanzlichen Brüsseler Gericht wegen angeblicher DSGVO-Verstöße gegen Facebook erhoben hatte. Das Gericht hatte sich für zuständig erklärt und im Sinne der Behörde entschieden.
Das von Facebook angerufene Berufungsgericht legte dem EuGH die Frage vor, ob die belgische Behörde in Bezug auf Sachverhalte nach Inkrafttreten der DSGVO gegen Facebook Belgium vorgehen kann, obwohl Facebook Ireland als für die Datenverarbeitung Verantwortlicher festgestellt worden ist und die Zuständigkeit damit grundsätzlich an irische Behörden fällt, oder ob (ausschließlich) der irische Datenschutzbeauftragte zur Erhebung einer Unterlassungsklage befugt ist.
Der EuGH bejahte dies grundsätzlich und legte zunächst die Voraussetzungen für ein Einschreiten einer nationalen, im konkreten Fall nicht federführenden Aufsichtsbehörde bei einer grenzüberschreitenden Datenverarbeitung fest: Zum einen muss die DSGVO der Behörde die Zuständigkeit für die betreffende Entscheidung, dass die Verarbeitung datenschutzrechtswidrig ist, verleihen. Zum anderen muss diese Befugnis unter Beachtung der in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz ausgeübt werden.
Der Gerichtshof schloss sich damit dem EuGH-Generalanwalt Michal Bobek an, der in seiner Stellungnahme befand: „Die anderen betroffenen nationalen Datenschutzbehörden seien gleichwohl befugt, in Situationen, in denen es ihnen die Datenschutz-Grundverordnung spezifisch gestatte, derartige Verfahren in ihren jeweiligen Mitgliedstaaten einzuleiten“.[4]
Nicht nur die federführende Behörde ist zuständig
Das in der DSGVO niedergelegte Verfahren der Zusammenarbeit und Kohärenz beruht auf einer Zuständigkeitsverteilung zwischen einer „federführenden Aufsichtsbehörde“ und den anderen betroffenen nationalen Aufsichtsbehörden.[5] Die federführende Behörde ist dabei grundsätzlich unter anderem dafür zuständig, einen Beschluss zu fassen, dass eine grenzüberschreitende Verarbeitung gegen die Vorgaben der DSGVO verstößt. Bei der Wahrnehmung ihrer Zuständigkeiten müsse sie jedoch „insbesondere den gebotenen Dialog führen und loyal und wirksam mit den anderen betroffenen Aufsichtsbehörden zusammenarbeiten“ und dürfe deren Ansichten nicht außer Acht lassen. Ausnahmsweise dürfen nationale Behörden daher auch dann einschreiten, wenn sie nicht federführend sind.
Eine (Haupt-)Niederlassung des für die Verarbeitung Verantwortlichen oder des betreffenden Auftragsverarbeiters in jenem Mitgliedstaat ist explizit nicht vorauszusetzen, solange die Ausübung der Befugnis in den räumlichen Anwendungsbereich der DSGVO fällt, d.h. wenn der Verantwortliche über eine Niederlassung im Gebiet der Union verfügt. Die Zuständigkeit neben derjenigen der federführenden Behörde kann sich aus Art. 65 Abs. 2, Art. 66 DSGVO ergeben und umfasst entgegen der Ansicht von Facebook auch die Befugnis, Gerichtsverfahren einzuleiten. Damit können nun beispielsweise auch Datenschutzbeauftragte aus Deutschland gegen Facebook, Google oder Amazon vorgehen.[6]
Fazit
Die Verteilung der Zuständigkeiten und Befugnisse (auch) in Bezug auf den Datenschutz in der Europäischen Union ist ein sensibles Konstrukt. Doch gerade, wenn eine mitgliedstaatliche Aufsichtsbehörde nicht angemessen einschreiten kann – etwa aufgrund fehlender Ressourcen – oder will, bietet die Entscheidung des EuGH eine zu begrüßende Möglichkeit für andere nationale Datenschutzbehörden.
Damit könnte es künftig Konzernen wie Facebook erschwert werden, sich auf dem gemächlichen irischen Verfahren „auszuruhen“. Auch die Anordnung, mit welcher der Hamburger Datenschutzbeauftragte Johannes Caspar WhatsApp die Datenweitergabe untersagt hatte, wird durch diese Klarstellung in puncto Zuständigkeit gerechtfertigt.[7]
Es bleibt abzuwarten, inwieweit die Datenschutzbehörden der Mitgliedstaaten die Möglichkeit nutzen werden – und welcher Anwendungsbereich für diese Ausnahmeregelung verbleibt.
[1] Vgl. hierzu und zum Folgenden das Interview mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz Prof. Dr. Dieter Kugelmann: Dachwitz, Datenschutzwüste Irland – „So langsam müssen die mal in die Pötte kommen“, Netzpolitik.org, 22.05.2021.
[2] EuGH, Urt. v. 15.06.2021 – C-645/19 – ECLI:EU:C:2021:483.
[3] Vgl. Gerichtshof der Europäischen Union, Pressemitteilung Nr. 103/21, 15.06.2021, dort auch zum Folgenden.
[4] Vgl. Gerichtshof der Europäischen Union, Pressemitteilung Nr. 1/21, 13.01.2021.
[5] Vgl. Gerichtshof der Europäischen Union, Pressemitteilung Nr. 103/21, 15.06.2021, dort auch zum Folgenden.
[6] Vgl. Weiß, EuGH: Nationale Datenschutzbehörden haben DSGVO-Befugnisse in Irland, Heise Online, 15.06.2021.
[7] Vgl. Weiß, EuGH: Nationale Datenschutzbehörden haben DSGVO-Befugnisse in Irland, Heise Online, 15.06.2021; siehe auch Weiß, WhatsApp und Facebook: Keine Zustimmungspflicht zu neuen Nutzungsbedingungen, Heise Online, 11.05.2021.
Sämtliche Links wurden zuletzt am 16.06.2021 abgerufen.