EuGH zur Zuständigkeit nicht-federführender Aufsichtsbehörden
Am heutigen 15. Juni 2021 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C-645-19 zur internationalen Zuständigkeit der Aufsicht geurteilt. Hintergrund des Urteils war ein Verfahren der belgischen Aufsichtsbehörde, die gegen Facebook vorging. Das Urteil beschert europäischen Aufsichtsbehörden erweiterte Befugnisse.
Hintergrund des Verfahrens
Ausgangspunkt des Verfahrens war eine Klage der belgischen Datenschutzaufsicht gegen Facebook. Das Verfahren vor dem belgischen Gericht betrifft angebliche Verstöße gegen Datenschutzvorschriften durch Facebook, die u. a. darin bestehen sollen, dass Daten über das private Surfverhalten von Internetnutzern in Belgien mittels Technologien wie „Cookies“, „Social Plugins“ und „Pixeln“ auf unrechtmäßige Weise erhoben und benutzt worden seien. Facebook unterhält zwar eine Dependance in Belgien, die europäische Hauptniederlassung ist jedoch im irischen Dublin belegen. Die irische Data Protection Commission ist – seit Geltung der DSGVO – damit die für Facebook federführende Aufsichtsbehörde.
Das von der belgischen Aufsicht bereits im Jahr 2015, also drei Jahre vor Geltung der DSGVO angerufene belgische Gericht erklärte sich für zuständig und verpflichtete Facebook, bestimmte Tätigkeiten bei im belgischen Hoheitsgebiet ansässigen Internetnutzern zu unterlassen. Gegen diesen Beschluss legte Facebook im März 2016 ein Rechtsmittel beim Berufungsgericht Brüssel ein. Dabei machte Facebook insbesondere geltend, dass die belgische Aufsicht nicht für Facebook zuständig sei. Das Gericht legte dem EuGH schließlich zahlreiche Fragen rund um Zuständigkeit und (Klage-)Befugnisse der Aufsichtsbehörden bei grenzüberschreitenden Datenverarbeitungsvorgängen zur Vorabentscheidung vor.
Das Verfahren erfuhr vor allem deshalb große Beachtung, weil die irische Datenschutzaufsicht aufgrund ihrer Untätigkeit stark in der Kritik steht, zugleich aber die für die meisten US-Tech-Konzerne die federführende Behörde ist. Erst kürzlich wurde publik, dass die irische Aufsicht über 99% aller eingegangenen Beschwerden nicht nachgeht. Nach dem heute geltenden, in Art. 56 DSGVO geregelten „One-Stop-Shop“-Mechanismus ist für jeden Konzern nur eine europäische Aufsichtsbehörde zuständig, den übrigen Aufsichtsbehörden sind grundsätzlich die Hände gebunden.
Entscheidung des EuGH
Der EuGH entschied, dass ein Tätigwerden der Aufsicht voraussetze, dass auf den angegriffenen Adressat die DSGVO Anwendung finde und dieser eine Niederlassung in der EU habe. Darüber hinaus müsse ein hinreichender Bezug der grenzüberschreitenden Verarbeitung zum Mitgliedstaat der agierenden, nationalen Behörde vorliegen. Ein Vorgehen der Behörde ist grundsätzlich sowohl gegen die Hauptniederlassung als auch gegen die lokale Niederlassung möglich. Voraussetzung ist jedoch, dass sich die Haupt- bzw. lokale Niederlassung im Mitgliedstaat der jeweiligen Behörde befindet, wobei auch eine Tochtergesellschaft als Niederlassung angesehen werden könne. Damit bestätigt der EuGH seine Linie zum weiten Niederlassungsbegriff im Datenschutzrecht.
Überraschend entschied der EuGH, dass eine Klage einer Aufsichtsbehörde nicht voraussetze, dass nationales Recht eine solche Klagebefugnis vorsieht. Vielmehr ergäben sich diese Befugnisse unmittelbar aus der DSGVO. Hierdurch werden die Möglichkeiten der Behörden gestärkt.
Leider finden sich kaum Hinweise des EuGH, unter welchen konkreten Voraussetzungen ein Vorgehen abseits des „One-Stop-Shop“-Grundsatzes möglich ist. Vielmehr verweist das Gericht auf die in Art. 60 ff. DSGVO geregelten Ausnahmen. Offenbar hat der Umstand, dass das Verfahren vor Geltung der DSGVO eingeleitet wurde, das Gericht dazu veranlasst, diese Fragen weitgehend offenzulassen.