EuGH zu den Befugnissen nationaler Aufsichtsbehörden bei grenzüberschreitender Datenverarbeitung

ESV-Redaktion Recht

EuGH: Tätigkeiten der Niederlassung von Facebook in Belgien sind untrennbar mit Datenverarbeitung der Hauptniederlassung in Irland verbunden (Foto: Gerichtshof der Europäischen Union und AllebaziB)

Der Europäische Gerichtshof (EuGH) hatte über die Frage zu entscheiden, inwieweit eine nationale Aufsichtsbehörde die Befugnis hat, Verstöße gegen die DSGVO vor einem nationalen Gericht zu rügen, wenn in Bezug auf die Datenverarbeitung prinzipiell die Behörde eines anderen Mitgliedstaats zuständig wäre.

In dem Streitfall ging es um eine Klage der belgischen Datenschutzbehörde gegen Facebook Irland sowie Facebook Belgien. Stein des Anstoßes war die Sammlung und Nutzung von Informationen über das Surfverhalten von belgischen Internetnutzern. Das angerufene Gericht in Belgien hatte Zweifel, ob die belgische Datenschutzbehörde überhaupt gegen Facebook Belgien vorgehen darf, weil die Hauptniederlassung von Facebook in Irland als „Verantwortliche Person“ für die Verarbeitung der betreffenden Daten festgestellt worden war.

Facebook: Klagebefugnis ausschließlich bei irischer Datenschutzbehörde

Facebook war der Ansicht, dass die belgische Datenschutzbehörde nicht klagebefugt ist. Die Begründung: Seit Geltung der DSGVO kann nur die federführende Datenschutzbehörde rechtliche Schritte einleiten, in deren Mitgliedsstaat Facebook seine Hauptniederlassung hat. Damit wäre nur die irische Datenschutzbehörde befugt, unter der Kontrolle der irischen Gerichte eine Unterlassungsklage zu erheben, so der Social-Media-Pionier weiter. Im Rahmen eines Vorabentscheidungsersuchens landete die Sache dann vor dem EuGH.

Der kostenlose Newsletter Recht – Hier können Sie sich anmelden!

Redaktionelle Meldungen zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps.

EuGH: Auch nicht federführende Behörden können gegen DSGVO-Verstöße klagen

Der EuGH folgte der Rechtsauffassung von Facebook nicht. Demnach sieht Artikel 56 Absatz 1 DSGVO für grenzüberschreitende Datenverarbeitungen ein Verfahren der Zusammenarbeit und Kohärenz vor. Dieses beruht auf einer Zuständigkeitsverteilung zwischen einer federführenden Aufsichtsbehörde und den anderen nationalen Aufsichtsbehörden. Die weiteren Erwägungen des EuGH:

Regel-Ausnahmeverhätlnis bei der Zuständigkeit: Laut EuGH darf zwar grundsätzlich nur die federführende Aufsichtsbehörde einen Beschluss erlassen, der feststellt, dass eine grenzüberschreitende Verarbeitung gegen die Vorschriften der DSGVO verstößt. Dies wäre vorliegend die Aufsichtsbehörde in Irland. Demgegenüber ist die Zuständigkeit einer anderen nationalen Aufsichtsbehörde für den Erlass eines solchen Beschlusses die Ausnahme.

Facebook Irland ist „Verantwortliche Person“ innerhalb der EU: Dem EuGH zufolge liegt aber eine Ausnahme im Sinne von Artikel 56 Absatz 2 DSGVO vor – denn die Tätigkeiten der Niederlassung von Facebook in Belgien sind untrennbar mit der Datenverarbeitung der Hauptniederlassung in Irland verbunden. Damit ist Facebook Irland innerhalb der EU als Hauptniederlassung die „Verantwortliche Person“ im genannten Sinne. Dies begründet nach EuGH-Auffassung auch die Zuständigkeit der belgischen Aufsichtsbehörde.
Klagebefugnis auch für nicht federführende Aufsichtsbehörden: Nach Art. 58 Absatz 5 DSGO dürfen jedoch auch Klagen von nicht federführenden Datenschutzbehörden auf Grundlage der Datenschutz-Richtlinie 95/46/EG – also dem Vorgänger der DSGVO – weiter aufrechterhalten werden. Somit dürfen auch nicht federführende Aufsichtsbehörden sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet, als auch gegenüber einer anderen Niederlassung des Verantwortlichen Klage erheben, wenn der Klagegegenstand eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt. Darüber hinaus, so der EuGH weiter, muss die genannte Behörde die Aufsicht ausüben dürfen, mit der Folge, dass die belgische Datenschutzbehörde auch klagebefugt ist.

Art. 56 DSGVO Absätze 1 und 2 DSGVO: Zuständigkeit der federführenden Aufsichtsbehörde

(1) Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung.

(2) Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt.

Quelle: Urteil des EuGH vom 15. Juni 2021 – C-645/19

Wo Datenschützer ihre Nase reinstecken

PinG Privacy in Germany

Die Zeitschrift für alle, die mit Datenschutz in Unternehmen zu tun haben und bei der regelkonformen Umsetzung stets auf der sicheren Seite sein wollen:

Privacy Topics – Spezialthemen und richtungweisende Beiträge aus dem In- und Ausland,

Privacy News – prägnante Artikel zu aktuellen rechtspolitischen Themen,

Privacy Compliance – Antworten auf alle drängenden Fragen aus dem betrieblichen Alltag.

PinG erscheint in enger Zusammenarbeit mit der Stiftung Datenschutz

Testen Sie PinG Privacy in Germany doch einmal kostenlos und unverbindlich

Verlagsprogramm

Weitere Nachrichten aus dem Bereich Recht

(ESV/cw)