Nicht nur die sog. federführende Datenschutzbehörde ist für Verstöße bei der grenzüberschreitenden Datenverarbeitung zuständig.
Ein belgisches Gericht hat dem Gerichtshof der Europäischen Union (EuGH, Rs. C-645/19) im Zusammenhang mit einem Verfahren gegen Facebook die Frage vorgelegt, ob die Datenschutz-Grundverordnung (DSGVO) andere Datenschutzbehörden als die federführende Datenschutzbehörde daran hindert, in ihrem jeweiligen Mitgliedstaat gerichtliche Verfahren wegen DSGVO-Verstößen in Bezug auf grenzüberschreitende Datenverarbeitung zu betreiben.
Der EuGH folgte den Ausführungen des Generalanwalts nur teilweise und entschied mit Urteil vom 15. Juni 2021, dass unter bestimmten Umständen neben der federführenden Behörde auch Raum für andere nationale Aufsichtsbehörden besteht, Verstöße gegen die DSGVO im Zusammenhang mit grenzüberschreitender Datenverarbeitung vor einem Gericht eines Mitgliedstaats geltend zu machen.
In Frage stand ausschließliche Zuständigkeit der irischen Datenschutzbehörde
Noch vor Anwendbarkeit der DSGVO erhob die Vorgängerbehörde der heutigen belgischen Datenschutzbehörde, Gegevensbeschermingsautoriteit (GBA), vor einem erstinstanzlichen Gericht in Brüssel eine Unterlassungsklage gegen Facebook Inc., Facebook Ireland Ltd, das die Hauptniederlassung der Gruppe in der EU ist, und Facebook Belgium BVBA (Facebook Belgium) mit dem Ziel, angebliche Datenschutzverstöße von Facebook zu beenden. Die GBA sah insbesondere in der Sammlung und Nutzung von Informationen über das Surfverhalten belgischer Internetnutzerinnen und Internetnutzer, die teilweise nicht über ein Facebook-Konto verfügten, mittels Cookies, Social Plugins oder Pixeln Verstöße gegen Datenschutzvorgaben.
Das belgische Gericht gab der GBA grundsätzlich Recht, woraufhin Facebook gegen dieses Urteil beim Hof van beroep te Brussel, dem Berufungsgericht Brüssel, Berufung einlegte. Währenddessen wurde die DSGVO anwendbar. Das in der DSGVO vorgesehene Verfahren der Zusammenarbeit und Kohärenz mit einer sogenannten „federführenden″ Aufsichtsbehörde an der Spitze warf nun Fragen hinsichtlich der Befugnisse anderer nationaler Aufsichtsbehörden auf. Konkret ging es darum, ob die belgische Aufsichtsbehörde (weiter) gegen Facebook Belgium vorgehen darf, da Facebook Ireland als Verantwortlicher für die Verarbeitung der betreffenden Daten festgestellt worden ist.
Diese Fragen legte das belgische Gericht dem EuGH vor, um zu klären, ob nach dem in der DSGVO festgelegten Verfahren bei grenzüberschreitender Datenverarbeitung eine ausschließliche Zuständigkeit der irischen Datenschutzbehörde – und damit auch der irischen Gerichte – für entsprechende Unterlassungsklagen besteht.
Befugnisse der federführenden Behörde bei grenzüberschreitender Datenverarbeitung
Mit der DSGVO wurde die sogenannte „One-Stop-Shop“-Lösung eingeführt, um eine zentrale Anlaufstelle für Unternehmen zu schaffen. Demnach ist bei grenzüberschreitender Datenverarbeitung die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters die zuständige federführende Aufsichtsbehörde (Art. 56 Abs. 1 DSGVO). Art. 56 Abs. 6 DSGVO stellt klar, dass die federführende Aufsichtsbehörde die einzige Ansprechpartnerin der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von ihnen durchgeführten grenzüberschreitenden Datenverarbeitung ist.
Die federführende Aufsichtsbehörde tritt nicht nur nach außen als zentrale Kontaktstelle in Erscheinung, sondern koordiniert nach Art. 60 Abs. 1 DSGVO auch die anderen betroffenen Aufsichtsbehörden und arbeitet mit diesen zusammen. Außerdem muss sie den anderen betroffenen Aufsichtsbehörden ihren Beschlussentwurf zur Stellungnahme vorlegen und kann nicht einfach im Alleingang entscheiden (Art. 60 Abs. 3 DSGVO).
Daneben gilt der Grundsatz nach Art. 55 Abs. 1 i.V.m. Art. 57 Abs. 1 lit. a DSGVO, dass jede Aufsichtsbehörde für die Durchsetzung der DSGVO-Vorgaben im Hoheitsgebiet ihres jeweiligen Mitgliedstaats zuständig ist.
EuGH präzisiert Zuständigkeitsfragen nationaler Datenschutzbehörden
In seinem Urteil hat der EuGH nun einige Klarheit in die Frage gebracht, wie sich die Befugnisse der federführenden Behörde und der anderen Datenschutzbehörden zueinander verhalten und wie die Zuständigkeiten voneinander abzugrenzen sind.
Der EuGH hat mit Verweis auf Art. 60 Abs. 7 DSGVO bestätigt, dass
grundsätzlich die federführende Datenschutzbehörde dafür zuständig ist, einen Beschluss zu erlassen, mit dem festgestellt wird, dass eine grenzüberschreitende Verarbeitung gegen die Vorschriften der DSGVO verstößt.
Im Grundsatz gilt folglich bei grenzüberschreitenden Datenverarbeitungen die allgemeine Zuständigkeit der federführenden Behörde.
Allerdings hielt der EuGH fest, dass in Ausnahmefällen auch die anderen nationalen Aufsichtsbehörden für den Erlass eines solchen, wenn auch nur vorläufigen, Beschlusses zuständig sein können. Der Gerichtshof legte zudem die Voraussetzungen fest, unter denen ausnahmsweise eine nationale Datenschutzbehörde, die nicht als federführende Behörde fungiert, vermeintliche Datenschutzverstöße einem Gericht zur Kenntnis bringen und gegebenenfalls ein gerichtliches Verfahren einleiten kann. Demnach muss zum einen die DSGVO dieser Aufsichtsbehörde eine Zuständigkeit zum Erlass einer solchen Entscheidung verleihen. Zum anderen muss die nicht federführende Aufsichtsbehörde auch im Rahmen dieser ausnahmsweisen Zuständigkeit die Regeln des in der DSGVO festgelegten Kooperationsverfahrens beachten.
Um eine einheitliche Anwendung der DSGVO zu gewährleisten, sieht diese im Bereich grenzüberschreitender Datenverarbeitungen ein Kohärenzverfahren vor, mit dem die Zuständigkeitsverteilung und die Zusammenarbeit zwischen der federführenden Behörde und den anderen betroffenen nationalen Datenschutzbehörden geregelt werden. In seinem Urteil betont der EuGH, dass dieser Mechanismus eine „enge, loyale und wirksame Zusammenarbeit″ zwischen den Behörden erfordere. Die federführende Aufsichtsbehörde dürfe „die Ansichten der anderen Aufsichtsbehörden nicht außer Acht lassen″ und müsse mit diesen „den gebotenen Dialog führen und loyal und wirksam″ zusammenarbeiten.
Weiter führte der Gerichtshof zur ausnahmsweisen Zuständigkeit der nicht federführenden Datenschutzbehörden aus, dass sich diese nicht auf für die Datenverarbeitung Verantwortliche oder Auftragsverarbeiter mit Hauptniederlassung oder anderer Niederlassung im Hoheitsgebiet des Mitgliedstaats dieser Behörde beschränkt. Vielmehr darf die ausnahmsweise zuständige nationale Datenbehörde im Rahmen des räumlichen Anwendungsbereichs der DSGVO auch gegen in anderen Mitgliedstaaten niedergelassene Verantwortliche oder Auftragsverarbeiter Klage erheben.
Die Befugnis zur Klageerhebung durch eine ausnahmsweise zuständige nicht federführende Aufsichtsbehörde kann sich dabei auf Klagen sowohl gegen die Hauptniederlassung des Verantwortlichen im Mitgliedstaat dieser Behörde als auch gegen andere Niederlassungen dieses Verantwortlichen erstrecken, sofern die gegenständliche Datenverarbeitung im Rahmen der Tätigkeiten dieser Niederlassung erfolgt und in den Zuständigkeitsbereich der Behörde fällt.
Keine Umsetzung in nationales Recht erforderlich
Außerdem entschied der EuGH, dass es keiner Umsetzung in der nationalen Rechtsordnung eines Mitgliedstaats bedarf, damit eine Datenschutzbehörde Verstöße gegen die DSGVO den Justizbehörden zur Kenntnis bringen und gegebenenfalls ein Gerichtsverfahren einleiten darf. Auch in dieser Hinsicht kommt der DSGVO somit unmittelbare Wirkung zu.
Vermehrte Klagen durch nicht federführende Datenschutzbehörden möglich
Auf Basis dieses EuGH-Urteils ist zu erwarten, dass in Zukunft vermehrt Aufsichtsbehörden Klagen vor ihren jeweiligen Gerichten erheben, die nicht federführend sind. Für Unternehmen bedeutet dies, dass sie sich nicht auf eine alleinige Zuständigkeit „ihrer″ federführenden Aufsichtsbehörde verlassen können.
Zumal die Behördenpraxis sich mitunter je nach Jurisdiktion erheblich unterscheiden kann, wie der soeben erschienene GDPR Enforcement Tracker Report 2021 zeigt, könnte einigen Unternehmen daher bald ein rauerer Wind entgegenwehen.
