Belgische Behörden können gegen DS-GVO-Verstöße von Facebook in Irland vorgehen

Nationale Datenschutzbehörden können in Ausnahmefällen gegen DS-GVO-Verstöße von Unternehmen vorgehen, auch wenn deren Hauptsitz in einem anderen Land liegt. Das geht aus einem am Dienstag veröffentlichten Urteil des Europäischen Gerichtshofs zuungunsten von Facebook hervor. Hintergrund ist ein Verfahren aus Belgien. 

Belgische Behörden und Gericht beanstandeten Datensammelpraxis von Facebook 

Im September 2015 klagte der Präsident des belgischen Ausschusses für den Schutz des Privatlebens (CBPL) gegen Facebook Ireland auf Unterlassung der Sammlung und Nutzung von Informationen über das Surfverhalten belgischer Internetnutzer mittels Cookies, Plugins oder Pixeln. Das mit der Klage befasste niederländisch-sprachige Gericht in Brüssel entschied in der Sache, dass Facebook die belgischen Internetnutzer nicht ausreichend über die Erhebung und Nutzung der betreffenden Informationen informiert habe und die eingeholten Einwilligungen unwirksam seien. Zwischenzeitlich wurde die belgische Datenschutzbehörde GBA in entsprechenden Aufsichtsangelegenheiten federführend.

Kann belgische Behörde gegen Facebook vorgehen?

Das von Facebook angerufene Berufungsgericht war sich unsicher, welche Auswirkung das in der DS-GVO vorgesehene Verfahren der Zusammenarbeit und Kohärenz auf die Befugnisse der GBA hat. Es warf die Frage auf, ob die GBA in Bezug auf Sachverhalte nach dem 25.05.2018 - ab dem die DS-GVO in Kraft trat - auch gegen Facebook Belgium vorgehen kann, da Facebook Ireland als für die Verarbeitung der betreffenden Daten Verantwortlicher festgestellt worden sei. Seit diesem Zeitpunkt und insbesondere gemäß dem in der DS-GVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz sei nämlich nur der irische Datenschutzbeauftragte befugt, unter der Kontrolle der irischen Gerichte eine Unterlassungsklage zu erheben.

EuGH präzisiert Befugnisse der nationalen Aufsichtsbehörden

Der Gerichtshof hat nunmehr die Befugnisse der nationalen Aufsichtsbehörden im Rahmen der DS-GVO präzisiert. Insbesondere hat er entschieden, dass die DS-GVO unter bestimmten Voraussetzungen einer Aufsichtsbehörde eines Mitgliedstaats gestattet, von ihrer Befugnis Gebrauch zu machen, vermeintliche Verstöße einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und in Bezug auf eine grenzüberschreitende Datenverarbeitung die Einleitung eines gerichtlichen Verfahrens zu betreiben, auch wenn sie für diese Verarbeitung nicht die federführende Behörde ist. Voraussetzung sei, dass sich die Zuständigkeit der Aufsichtsbehörde für solche Maßnahmen aus der DS-GVO ergebe und die Befugnis unter Beachtung der in der DS-GVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz ausgeübt werden. 

Zusammenarbeit und Kohärenz bei grenzüberschreitenden Verfahren

Für grenzüberschreitende Verarbeitungen sehe die DS-GVO ein Verfahren der Zusammenarbeit und Kohärenz vor, das auf einer Zuständigkeitsverteilung zwischen einer "federführenden Aufsichtsbehörde" und den anderen betroffenen nationalen Aufsichtsbehörden beruhe. Dieser Mechanismus erfordere eine enge, loyale und wirksame Zusammenarbeit zwischen den genannten Behörden. Die DS-GVO sehe insoweit vor, dass grundsätzlich die federführende Aufsichtsbehörde dafür zuständig sei, einen Beschluss zu erlassen, mit dem festgestellt wird, dass eine grenzüberschreitende Verarbeitung gegen die Vorschriften der Verordnung verstoße. Die federführende Aufsichtsbehörde dürfe aber die Ansichten der anderen betroffenen Aufsichtsbehörden nicht außer Acht lassen. Ein maßgeblicher und begründeter Einspruch, der von einer anderen betroffenen Aufsichtsbehörde eingelegt werde, habe zur Folge, dass die Annahme des Beschlussentwurfs der federführenden Aufsichtsbehörde zumindest vorübergehend blockiert werde.

Niederlassung im Hoheitsgebiet nicht Voraussetzung für Klageerhebung

Der Gerichtshof hat ferner klargestellt, dass es mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union, die das Recht auf den Schutz der personenbezogenen Daten einer Person beziehungsweise auf einen wirksamen Rechtsbehelf garantieren, in Einklang steht, dass eine Aufsichtsbehörde eines anderen Mitgliedstaats von der Befugnis zur Geltendmachung eines vermeintlichen Verstoßes gegen die DS-GVO vor einem Gericht dieses Staates nur unter Beachtung der Regeln über die Verteilung der Entscheidungsbefugnisse zwischen der federführenden Aufsichtsbehörde und den anderen Aufsichtsbehörden Gebrauch machen kann. Eine Klageerhebung setze nicht voraus, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter, auf den sich diese Klage bezieht, über eine Hauptniederlassung oder eine andere Niederlassung im Hoheitsgebiet dieses Mitgliedstaats verfügt. Die Ausübung dieser Befugnis müsse jedoch in den räumlichen Anwendungsbereich der DS-GVO fallen, was voraussetze, dass der für die grenzüberschreitende Verarbeitung Verantwortliche oder der Auftragsverarbeiter über eine Niederlassung im Gebiet der Union verfügt. 

Befugnisse gelten aber nur im Rahmen der DS-GVO

Der Gerichtshof hat jedoch klargestellt, dass diese Befugnis nur ausgeübt werden kann, soweit die DS-GVO gilt. Da im vorliegenden Fall die Tätigkeiten der Niederlassung des Facebook-Konzerns in Belgien untrennbar mit der Verarbeitung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten verbunden seien, für die Facebook Ireland hinsichtlich des Unionsgebiets der Verantwortliche sei, erfolge diese Verarbeitung "im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen" und falle daher in den Anwendungsbereich der DS-GVO. Zudem hat der Gerichtshof entschieden, dass eine Klageerhebung der nicht federführenden Aufsichtsbehörde wegen grenzüberschreitender Verarbeitung personenbezogener Daten vor Geltung der DS-GVO aufrechterhalten werden könne. Darüber hinaus könne eine solche Klage von einer solchen Aufsichtsbehörde wegen Verstößen erhoben werden, die begangen worden seien, nachdem die DS-GVO Geltung erfahren habe, sofern es sich dabei um einen derjenigen Fälle handele, in denen diese Aufsichtsbehörde nach der Verordnung ausnahmsweise befugt sei, einen Beschluss zu erlassen, mit dem festgestellt werde, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften verstoße, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit eingehalten werden.

Handeln auch bei fehlender Umsetzung der DS-GVO in nationales Recht

Der Gerichtshof hat die unmittelbare Wirkung der Bestimmung der DS-GVO betont, wonach jeder Mitgliedstaat durch Rechtsvorschriften vorsieht, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben. Folglich könne sich eine Aufsichtsbehörde auf diese Vorschrift berufen, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die genannte Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden sei.

Eisenreich: Effektive Kontrolle wird leichter

"Die Internet-Riesen werden es künftig schwerer haben, sich durch eine geschickte Standortwahl einer effektiven Kontrolle zu entziehen", teilte Bayerns Justizminister Georg Eisenreich (CSU) mit. Das stärke die Rechte der Verbraucherinnen und Verbraucher, die einen Anspruch auf transparente Regeln und sichere Verfahren zum Schutz ihrer persönlichen Daten hätten.

zu EuGH, Urteil vom 15.06.2021 - C-645/19

Redaktion beck-aktuell, 15. Jun 2021 (ergänzt durch Material der dpa).