Voraussetzungen für Ausübung der Befugnisse nationaler Aufsichtsbehörden bei grenzüberschreitender Datenverarbeitung

Unter bestimmten Voraussetzungen kann eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben, auch wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist, so der EUGH (C-645/19).

Sachverhalt

Am 11. September 2015 erhob der Präsident des belgischen Ausschusses für den Schutz des Privatlebens (im Folgenden: CBPL) bei der Nederlandstalige rechtbank van eerste aanleg Brussel (niederländischsprachiges Gericht erster Instanz Brüssel, Belgien) eine Unterlassungsklage gegen Facebook Ireland, Facebook Inc. und Facebook Belgium mit dem Ziel, Verstöße gegen Datenschutzvorschriften, die Facebook angeblich begangen hat, abzustellen.

Diese Verstöße bestanden u. a. in der Sammlung und Nutzung von Informationen über das Surfverhalten von belgischen Internetnutzern, von denen nicht alle über ein Facebook-Konto verfügen, mittels verschiedener Technologien wie Cookies, Social Plugins oder Pixeln. Am 16. Februar 2018 erklärte sich dieses Gericht für zuständig, über diese zu befinden, und entschied in der Sache, dass das soziale Netzwerk Facebook die belgischen Internetnutzer nicht ausreichend über die Erhebung und Nutzung der betreffenden Informationen informiert habe.

Im Übrigen wurde die Einwilligung der Internetnutzer zur Sammlung und Verarbeitung dieser Informationen als nicht wirksam angesehen. Am 2. März 2018 legten Facebook Ireland, Facebook Inc. und Facebook Belgium gegen dieses Urteil Berufung beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien), dem vorlegenden Gericht in der vorliegenden Rechtssache, ein. Vor diesem Gericht trat die belgische Datenschutzbehörde (im Folgenden: GBA) als Rechtsnachfolgerin des Präsidenten der CBLP auf. Das vorlegende Gericht erklärte sich lediglich für die Entscheidung über die von Facebook Belgium eingelegte Berufung für zuständig.

Beim vorlegenden Gericht bestehen Zweifel, welche Auswirkung das in der DSGVO vorgesehene Verfahren der Zusammenarbeit und Kohärenz auf die Befugnisse der GBA hat, und es wirft insbesondere die Frage auf, ob die GBA in Bezug auf Sachverhalte nach dem 25. Mai 2018, ab dem die DSGVO gilt, gegen Facebook Belgium vorgehen kann, da Facebook Ireland als für die Verarbeitung der betreffenden Daten Verantwortlicher festgestellt worden ist. Seit diesem Zeitpunkt und insbesondere gemäß dem in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz sei nämlich nur der irische Datenschutzbeauftragte befugt, unter der Kontrolle der irischen Gerichte eine Unterlassungsklage zu erheben.

Die Entscheidung des EUGH

In seinem Urteil der Großen Kammer präzisiert der Gerichtshof die Befugnisse der nationalen Aufsichtsbehörden im Rahmen der DSGVO. Insbesondere hat er entschieden, dass die genannte Verordnung unter bestimmten Voraussetzungen einer Aufsichtsbehörde eines Mitgliedstaats
gestattet, von ihrer Befugnis Gebrauch zu machen, vermeintliche Verstöße gegen die DSGV einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und in Bezug auf eine grenzüberschreitende Datenverarbeitung die Einleitung eines gerichtlichen Verfahrens zu betreiben, obgleich sie für diese Verarbeitung nicht die federführende Behörde ist.

Würdigung durch den Gerichtshof

Erstens hat der Gerichtshof die Voraussetzungen festgelegt, unter denen eine nationale Aufsichtsbehörde, die hinsichtlich einer grenzüberschreitenden Verarbeitung nicht als federführende Behörde fungiert, ihre Befugnis auszuüben hat, vermeintliche Verstöße gegen die DSGVO einem Gericht eines Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben. So muss zum einen die DSGVO dieser Aufsichtsbehörde eine Zuständigkeit für den Erlass einer Entscheidung, mit der festgestellt wird,
dass die fragliche Verarbeitung gegen die in dieser Verordnung vorgesehenen Regeln verstößt, verleihen, und zum anderen muss diese Befugnis unter Beachtung der in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz ausgeübt werden
.
Für grenzüberschreitende Verarbeitungen sieht die DSGVO nämlich ein Verfahren der Zusammenarbeit und Kohärenz vor, das auf einer Zuständigkeitsverteilung zwischen einer „federführenden Aufsichtsbehörde“ und den anderen betroffenen nationalen Aufsichtsbehörden beruht. Dieser Mechanismus erfordert eine enge, loyale und wirksame Zusammenarbeit zwischen den genannten Behörden, um zu gewährleisten, dass die Vorschriften über den Schutz personenbezogener Daten kohärent und einheitlich geschützt werden, und um somit die praktische Wirksamkeit dieses Mechanismus zu wahren.

Die DSGVO sieht insoweit vor, dass grundsätzlich die
federführende Aufsichtsbehörde dafür zuständig ist, einen Beschluss zu erlassen, mit dem festgestellt wird, dass eine grenzüberschreitende Verarbeitung gegen die Vorschriften der Verordnung verstößt, wohingegen die Zuständigkeit der anderen nationalen Aufsichtsbehörden für den Erlass eines solchen, wenn auch nur vorläufigen, Beschlusses die Ausnahme darstellt.

Indessen muss die federführende Aufsichtsbehörde bei der Wahrnehmung ihrer Zuständigkeiten insbesondere den gebotenen Dialog führen und loyal und wirksam mit den anderen betroffenen Aufsichtsbehörden zusammenarbeiten. Bei dieser Zusammenarbeit kann daher die federführende Aufsichtsbehörde die Ansichten der anderen betroffenen Aufsichtsbehörden nicht außer Acht lassen und hat ein maßgeblicher und begründeter Einspruch, der von einer anderen betroffenen Aufsichtsbehörde eingelegt wird, zur Folge, dass die Annahme des Beschlussentwurfs der federführenden Aufsichtsbehörde zumindest vorübergehend blockiert wird.

Der Gerichtshof hat ferner klargestellt, dass es mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union, die das Recht auf den Schutz der personenbezogenen Daten einer Person bzw. auf einen wirksamen Rechtsbehelf garantieren, in Einklang steht, dass eine Aufsichtsbehörde eines Mitgliedstaats, die in Bezug auf eine grenzüberschreitende Datenverarbeitung nicht die federführende Aufsichtsbehörde ist, von der Befugnis zur Geltendmachung eines vermeintlichen Verstoßes gegen die DSGVO vor einem Gericht dieses Staates nur unter Beachtung der Regeln über die Verteilung der Entscheidungsbefugnisse zwischen der federführenden Aufsichtsbehörde und den anderen Aufsichtsbehörden Gebrauch machen kann

Zweitens hat der Gerichtshof entschieden, dass im Fall einer grenzüberschreitenden Datenverarbeitung die Ausübung der Befugnis zur Klageerhebung, die einer Aufsichtsbehörde eines Mitgliedstaats zusteht, die nicht die federführende Aufsichtsbehörde ist, nicht voraussetzt, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter, auf den sich diese Klage bezieht, über eine Hauptniederlassung oder eine andere Niederlassung im Hoheitsgebiet dieses Mitgliedstaats verfügt. Die Ausübung dieser Befugnis muss jedoch in den räumlichen Anwendungsbereich der DSGVO fallen, was voraussetzt, dass der für die grenzüberschreitende Verarbeitung Verantwortliche oder der Auftragsverarbeiter über eine Niederlassung im Gebiet der
Union verfügt.

Drittens hat der Gerichtshof für Recht erkannt, dass im Fall einer grenzüberschreitenden Datenverarbeitung die Befugnis einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, vermeintliche Verstöße gegen die DSGVO dem Gericht dieses Staates zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrtens zu betreiben, sowohl in Bezug auf die Hauptniederlassung des für die Verarbeitung Verantwortlichen, die sich in dem Mitgliedstaat, dem diese Behörde angehört, befindet, als auch
gegenüber einer anderen Niederlassung dieses Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten dieser Niederlassung erfolgt, und die genannte Behörde dafür zuständig ist, die Befugnis auszuüben.

Der Gerichtshof hat jedoch klargestellt, dass diese Befugnis nur ausgeübt werden kann, soweit die DSGVO gilt. Da im vorliegenden Fall die Tätigkeiten der Niederlassung des Facebook-Konzerns in Belgien untrennbar mit der Verarbeitung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten verbunden sind, für die Facebook Ireland hinsichtlich des Unionsgebiets der Verantwortliche ist, erfolgt diese Verarbeitung „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen“ und fällt daher in den Anwendungsbereich der DSGVO.

Viertens hat der Gerichtshof entschieden, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten, bevor die DSGVO galt, eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten aufrechterhalten werden kann, die für
Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der genannten Aufsichtsbehörde wegen Verstößen erhoben werden, die begangen wurden,
nachdem die DSGVO anwendbar wurde, sofern es sich dabei um einen derjenigen Fälle handelt, in denen diese Aufsichtsbehörde nach der Verordnung ausnahmsweise befugt ist, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit eingehalten werden.

Fünftens erkennt der Gerichtshof die unmittelbare Wirkung der Bestimmung der DSGVO an, wonach jeder Mitgliedstaat durch Rechtsvorschriften vorsieht, dass seine Aufsichtsbehörde befugt
ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben. Folglich kann sich eine Aufsichtsbehörde auf diese Vorschrift berufen, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die genannte Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist. (Quelle: Pressemitteilung des Gerichts)

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.