Grenzübergreifende Verfahren wegen Verstößen gegen die DSGVO dürfen nicht nur von den jeweiligen nationalen Datenschutzbehörden eingeleitet werden, die dort ansässig sind, wo das betroffene Unternehmen seinen EU-Sitz hat. Gemäß der DSGVO dürfen nach Auffassung des EuGH auch die Behörden tätig werden, die nicht federführend sind. Eine herbe Niederlage für Facebook und ein Sieg für Millionen Nutzer und den europäischen Datenschutz.
Unter bestimmten Voraussetzungen kann eine nationale Aufsichtsbehörde ihre Befugnis,
vermeintliche Verstöße gegen die DSGVO vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben. Und dies gelte auch dann, wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist, entschied der EuGH nun. Der EuGH hat damit nationale Datenschutzbehörden beim Vorgehen gegen Internet-Konzerne wie Facebook gestärkt (Rechtssache C-645/19).
Hintergrund ist ein Verfahren gegen Facebook
Dem Verfahren liegt ein Rechtsstreit der belgischen Datenschutzbehörde gegen mehrere Unternehmen der Facebook-Gruppe zugrunde. Im September 2015 leitete die belgische Datenschutzbehörde vor den belgischen Gerichten ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe ein (im Folgenden Facebook), nämlich gegen Facebook Inc., Facebook Ireland Ltd, welches die Hauptniederlassung der Gruppe in der EU ist, und Facebook Belgium BVBA (im Folgenden: Facebook Belgium).
Die Datenschutzbehörde beantragte, Facebook zu verpflichten, das Platzieren von bestimmten Cookies auf Nutzer-Endgeräten in Belgien zu unterlassen, wenn sie hierein nicht eingewilligt haben. Darüber hinaus müsse Facebook es unterlassen, übermäßig Daten auf Webseiten Dritter über Social Plugins und Pixel zu erheben. Zudem beantragte die Behörde, alle personenbezogenen Daten, die mittels Cookies und Social Plugins über jeden in Belgien ansässigen Internetnutzer erlangt wurden, zu vernichten.
Riesiges Facebook-Datenleck – Checken Sie hier, ob Sie betroffen sind
Klicken Sie auf den folgenden Link und prüfen Sie dort zunächst ganz einfach, ob Sie betroffen sind:
Sie sind betroffen? So hilft Ihnen WBS
Unser erfahrenes Team aus Rechtsanwälten im Datenschutzrecht berät Sie gerne zu Ihren Ansprüchen und Handlungsmöglichkeiten. Zögern Sie nicht, uns zu kontaktieren. Füllen Sie hierzu einfach das folgende Formular aus. Die Erstberatung ist bei uns selbstverständlich KOSTENFREI!
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Sind nationale Datenschutzbehörden für Facebook zuständig?
Das Verfahren ist derzeit beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien) anhängig, betrifft aber nur noch Facebook Belgium, nachdem das Berufungsgericht zuvor befunden hatte, für Klagen gegen Facebook Inc. und Facebook Ireland Ltd nicht zuständig zu sein.
Facebook Belgium jedoch ist der Auffassung, dass die belgische Datenschutzbehörde ab dem Zeitpunkt, zu dem die Datenschutz-Grundverordnung (DSGVO) anwendbar geworden sei, die Zuständigkeit dafür verloren habe, das fragliche Gerichtsverfahren gegen Facebook überhaupt weiter zu betreiben. Nach der DSGVO sei lediglich die Datenschutzbehörde desjenigen Staates, in dem sich die Hauptniederlassung von Facebook in der EU befinde (die sogenannte „federführende“ Datenschutzbehörde in der EU für Facebook), nämlich die Irish Data Protection Commission, befugt, wegen Verstößen gegen die DSGVO im Zusammenhang mit grenzüberschreitender Datenverarbeitung ein gerichtliches Verfahren gegen Facebook zu betreiben.
Urteil des EUGH
Mit seinem Urteil präzisiert der EuGH nun die Befugnisse der nationalen
Aufsichtsbehörden im Rahmen der DSGVO. Insbesondere hat er entschieden, dass die genannte
Verordnung unter bestimmten Voraussetzungen einer Aufsichtsbehörde eines Mitgliedstaats
gestattet, von ihrer Befugnis Gebrauch zu machen, vermeintliche Verstöße gegen die DSGV
einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und in Bezug auf eine
grenzüberschreitende Datenverarbeitung die Einleitung eines gerichtlichen Verfahrens zu
betreiben, obgleich sie für diese Verarbeitung nicht die federführende Behörde ist.
Der EuGH hat mit Urteil die Voraussetzungen festgelegt, unter denen eine nationale
Aufsichtsbehörde, die nicht als federführende Behörde fungiert, vermeintliche Verstöße vor Gericht bringen kann.
Nach Einschätzung des EUGH müsse zum einen die DSGVO dieser Aufsichtsbehörde eine Zuständigkeit für den Erlass einer Entscheidung verleihen und zum anderen müsse diese Befugnis unter Beachtung der in der DSGVO vorgesehenen Verfahren der EU-Zusammenarbeit ausgeübt werden. Für grenzüberschreitende Verarbeitungen sehe die DSGVO nämlich ein Verfahren der
Zusammenarbeit vor, welches auf einer Zuständigkeitsverteilung zwischen einer
„federführenden Aufsichtsbehörde“ und den anderen betroffenen nationalen Aufsichtsbehörden beruhe. Dieser Mechanismus erfordere eine enge, loyale und wirksame Zusammenarbeit zwischen den genannten Behörden.
Die DSGVO sehe zwar insoweit vor, dass grundsätzlich die federführende Aufsichtsbehörde dafür zuständig sei, einen Verstoß festzustellen. Ein Beschluss anderer Aufsichtsbehörden sei allerdings eine rechtmäßige Ausnahme und stehe im Einklang mit Art. 7, 8 und 47 der Charta der
Grundrechte der Europäischen Union. Allerdings müsse in diesen Fällen im intensiven Dialog zusammengearbeitet werden. Ein maßgeblicher und begründeter Einspruch, der von einer anderen betroffenen Aufsichtsbehörde eingelegt werde, habe daher zur Folge, dass die Annahme des Beschlussentwurfs der federführenden Aufsichtsbehörde zumindest vorübergehend blockiert werde, so der EuGH.
Unternehmen wie Facebook müssen lediglich Niederlassung in Europa haben
Zudem entschied der EuGH, dass im Fall einer grenzüberschreitenden Datenverarbeitung die Ausübung der Befugnis zur Klageerhebung nicht voraussetze, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter, auf den sich diese Klage beziehe, über eine Hauptniederlassung oder eine andere Niederlassung im Hoheitsgebiet dieses Mitgliedstaats verfüge.
Die Ausübung dieser Befugnis müsse jedoch in den räumlichen Anwendungsbereich der DSGVO fallen, was voraussetze, dass der für die grenzüberschreitende Verarbeitung Verantwortliche oder der Auftragsverarbeiter über eine Niederlassung im Gebiet der EU verfüge.
Darüber hinaus hat der EuGH für Recht erkannt, dass die nicht federführende Aufsichtsbehörde eines Staates vermeintliche Verstöße gegen die DSGVO dem Gericht dieses Staates zur Kenntnis bringen- und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben habe. Dies gelte sowohl in Bezug auf die Hauptniederlassung des für die Verarbeitung Verantwortlichen, die sich in dem Mitgliedstaat, dem diese Behörde angehört, befindet, als auch gegenüber einer anderen Niederlassung dieses Verantwortlichen. Zumindest sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten dieser Niederlassung erfolgt, und die genannte Behörde dafür zuständig ist, die Befugnis auszuüben.
Hier stellte der EuGH nochmals klar, dass diese Befugnis aber nur ausgeübt werden könne, soweit die DSGVO gelte. Da im Fall Facebook die Tätigkeiten der Niederlassung des Facebook-Konzerns in Belgien untrennbar mit der Verarbeitung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten verbunden seien, für die Facebook Ireland hinsichtlich des Unionsgebiets der Verantwortliche sei, erfolge diese Verarbeitung „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen“ und falle daher in den Anwendungsbereich der DSGVO.
Damit ist klar: Auch deutsche Datenschutz-Behörden dürfen bei Verstößen gegen Facebook vorgehen, selbst wenn der Konzern seinen EU-Sitz in Irland hat und zuständige Behörde damit zuvorderst die Irische ist. Ein massiver Dämpfer für Facebook und ein Lichtblick für den europäischen Datenschutz und die Rechte von Millionen Nutzern.
Tobias Spies