14.01.2021

Nationale Datenschutzbehörden dürfen Verfahren wegen Verstößen gegen die DSGVO bei grenzüberschreitender Datenverarbeitung im jeweiligen Mitgliedstaat einleiten

Die Datenschutzbehörde des Staates, in dem sich die Hauptniederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU befindet, hat eine allgemeine Zuständigkeit, um gerichtliche Verfahren wegen Verstößen gegen die DSGVO in Bezug auf grenzüberschreitende Datenverarbeitung einzuleiten. Die anderen betroffenen nationalen Datenschutzbehörden sind gleichwohl befugt, in Situationen, in denen es ihnen die DSGVO spezifisch gestattet, derartige Verfahren in ihren jeweiligen Mitgliedstaaten einzuleiten.

EuGH, C-645/19: Schlussanträge des Generalanwalts vom 13.1.2021
Der Sachverhalt:
Im September 2015 leitete die belgische Datenschutzbehörde vor den belgischen Gerichten ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe (im Folgenden: Facebook) ein, nämlich gegen Facebook Inc., Facebook Ireland Ltd, das die Hauptniederlassung der Gruppe in der EU ist, und Facebook Belgium BVBA (im Folgenden: Facebook Belgium). In diesem Verfahren beantragte die Datenschutzbehörde, Facebook zu verpflichten es zu unterlassen, bestimmte Cookies auf den Geräten von in Belgien ansässigen Internetnutzern ohne deren vorherige Einwilligung zu platzieren, wenn sie auf eine Website der Domain Facebook.com oder auf eine Website eines Dritten gelangen, sowie Facebook zu verpflichten, die übermäßige Erhebung von Daten durch Social Plugins und Pixels auf Websites Dritter zu unterlassen. Weiterhin beantragte die Behörde, alle personenbezogenen Daten, die mittels Cookies und Social Plugins über jeden in Belgien ansässigen Internetnutzer erlangt worden sind, zu vernichten.

Das fragliche Verfahren ist derzeit beim Berufungsgericht in Brüssel anhängig, betrifft aber nur noch Facebook Belgium, nachdem das genannte Gericht zuvor befunden hat, für Klagen gegen Facebook Inc. und Facebook Ireland Ltd nicht zuständig zu sein. In diesem Zusammenhang trägt Facebook Belgium vor, dass die belgische Datenschutzbehörde ab dem Zeitpunkt, zu dem die DSGVO anwendbar geworden sei, die Zuständigkeit dafür verloren habe, das fragliche Gerichtsverfahren gegen Facebook weiter zu betreiben. Nach der DSGVO sei lediglich die Datenschutzbehörde desjenigen Staates, in dem sich die Hauptniederlassung von Facebook in der EU befinde (die sog. "federführende" Datenschutzbehörde in der EU für Facebook), nämlich die Irish Data Protection Commission, befugt, wegen Verstößen gegen die DSGVO im Zusammenhang mit grenzüberschreitender Datenverarbeitung ein gerichtliches Verfahren gegen Facebook zu betreiben.

Unter diesen Umständen möchte das belgische Gericht vom EuGH wissen, ob die DSGVO tatsächlich andere Datenschutzbehörden als die federführende daran hindert, in ihrem jeweiligen Mitgliedstaat gerichtliche Verfahren wegen Verstößen gegen die Vorschriften der DSGVO in Bezug auf grenzüberschreitende Datenverarbeitung zu betreiben.

Die Gründe:
Die Datenschutzbehörde eines Mitgliedstaats ist nach den Bestimmungen der DSGVO befugt, vor einem Gericht ihres Staates ein Verfahren wegen eines angeblichen Verstoßes gegen die DSGVO im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung einzuleiten, auch wenn sie nicht die federführende Datenschutzbehörde ist, der für die Einleitung solcher Verfahren eine allgemeine Befugnis verliehen worden ist. Voraussetzung ist, dass die erstgenannte Datenschutzbehörde in Situationen tätig wird, in denen ihr die DSGVO spezifisch hierzu Befugnisse verleiht, und die in der DSGVO vorgesehenen entsprechenden Verfahren beachtet.

Aus dem Wortlaut der DSGVO ergibt sich, dass die federführende Datenschutzbehörde für grenzüberschreitende Datenverarbeitung eine allgemeine Zuständigkeit hat, wozu auch die Einleitung gerichtlicher Verfahren wegen Verstößen gegen die DSGVO gehört; folglich sind die diesbezüglichen Handlungsbefugnisse der übrigen betroffenen Datenschutzbehörden weniger umfassend. Die Befugnis, die die DSGVO jeder Datenschutzbehörde verleiht, gerichtliche Verfahren gegen mögliche Verstöße einzuleiten, die ihr Hoheitsgebiet betreffen, ist ausdrücklich beschränkt, soweit es um grenzüberschreitende Datenverarbeitung geht, insbesondere um es der federführenden Datenschutzbehörde zu ermöglichen, insoweit ihre Aufgaben wahrzunehmen. 

Mit der DSGVO wurde der sog. "One-Stop-Shop"-Mechanismus eingeführt; der federführenden Datenschutzbehörde wurde damit eine bedeutende Rolle zugewiesen, während zur Beteiligung anderer Datenschutzbehörden Kooperationsmechanismen geschaffen wurden. Damit wollte der Gesetzgeber bestimmte Unzulänglichkeiten beseitigen, die sich aus den früheren Rechtsvorschriften ergaben. Wirtschaftsteilnehmer mussten nämlich die verschiedenen nationalen Regelwerke einhalten, mit denen diese Rechtsvorschriften umgesetzt wurden, und zugleich mit allen nationalen Datenschutzbehörden in Verbindung treten. Dies hat sich für die Wirtschaftsteilnehmer als kostspielig, belastend und zeitaufwändig erwiesen, und es ergaben sich daraus immer wieder Unsicherheiten und Konflikte.

Dennoch kann die federführende Datenschutzbehörde bei grenzüberschreitenden Sachverhalten nicht als alleinige Stelle zur Durchsetzung der DSGVO angesehen werden. Sie muss im Einklang mit den einschlägigen Vorschriften und Fristen, die sich aus der DSGVO ergeben, eng mit den anderen betroffenen Datenschutzbehörden zusammenarbeiten, deren Beiträge auf diesem Gebiet äußerst wichtig sind.

Nationale Datenschutzbehörden können zudem, selbst wenn sie nicht als federführende Behörde fungieren, unter bestimmten Umständen vor den Gerichten ihres jeweiligen Mitgliedstaats Verfahren wegen grenzüberschreitender Verarbeitung einleiten. Dies ist insbesondere dann möglich, wenn sie außerhalb des sachlichen Anwendungsbereichs der DSGVO tätig werden, sie Untersuchungen zu grenzüberschreitender Datenverarbeitung anstellen, die durch Behörden, im öffentlichen Interesse, in Ausübung öffentlicher Gewalt oder durch Verantwortliche erfolgt, die keine Niederlassung in der Union haben, bei Dringlichkeit Maßnahmen ergreifen oder tätig werden, nachdem die federführende Datenschutzbehörde beschlossen hat, sich nicht selbst mit dem Fall zu befassen.
EuGH PM Nr. 1 vom 13.1.2021
Zurück