Ist für grenzüberschreitende Datenverarbeitung durch Facebook nur die irische Datenschutzbehörde zuständig? Darüber entscheidet bald der EuGH.
Der Gerichtshof der Europäischen Union (EuGH, Rs. C-645/19) hat sich im Zusammenhang mit einem belgischen Gerichtsverfahren gegen Facebook mit der Frage zu befassen, ob die Datenschutz-Grundverordnung (DSGVO) andere Datenschutzbehörden als die federführende Datenschutzbehörde daran hindert, in ihrem jeweiligen Mitgliedstaat gerichtliche Verfahren wegen DSGVO-Verstößen in Bezug auf grenzüberschreitende Datenverarbeitung zu betreiben.
In einer Pressemitteilung vom 13. Januar 2021 gibt Generalanwalt Michal Bobek seine Schlussanträge bekannt, mit denen er diese Frage grundsätzlich bejaht.
Belgische Datenschutzbehörde verlangte von Facebook, die Datensammlung durch Cookies und Social Plugins einzudämmen
Die belgische Datenschutzbehörde, Gegevensbeschermingsautoriteit, leitete im September 2015, also noch vor Anwendbarkeit der DSGVO, vor belgischen Gerichten ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe ein. Konkret betraf dies Facebook Inc., Facebook Ireland Ltd, das die Hauptniederlassung der Gruppe in der EU ist, und Facebook Belgium BVBA (Facebook Belgium).
Die Datenschutzbehörde beantragte, Facebook zu verpflichten, bei in Belgien ansässigen Nutzerinnen und Nutzern das Platzieren bestimmter Cookies auf dem Gerät, das diese Personen verwenden, wenn sie auf eine Webseite der Domain Facebook.com oder eine Webseite eines Dritten gelangen, ohne Einwilligung zu unterlassen. Zudem sollte Facebook dazu verpflichtet werden, auch die übermäßige Erhebung von Daten durch Social Plugins und Pixels auf Webseiten Dritter zu unterlassen. Schließlich beantragte die Datenschutzbehörde, alle personenbezogenen Daten zu vernichten, die mittels Cookies und Social Plugins über in Belgien ansässige Internetnutzerinnen und Internetnutzer erlangt worden sind.
Facebook möchte ausschließliche Zuständigkeit der Datenschutzbehörde im Mitgliedsstaat der Hauptniederlassung begründen
Derzeit ist das fragliche Verfahren beim Hof van beroep te Brussel, dem Berufungsgericht Brüssel, anhängig. Allerdings betrifft das Verfahren nur noch Facebook Belgium, weil das Berufungsgericht zuvor seine Unzuständigkeit für die Klagen gegen Facebook Inc. und Facebook Ireland Ltd erklärte. Facebook Belgium trägt diesbezüglich vor, dass die belgische Datenschutzbehörde die Zuständigkeit dafür verloren habe, das Gerichtsverfahren gegen Facebook weiter zu betreiben. Mit der Anwendbarkeit der DSGVO sei ausschließlich die Datenschutzbehörde desjenigen Mitgliedstaates, in dem sich die Hauptniederlassung von Facebook in der EU befinde, befugt, ein gerichtliches Verfahren gegen Facebook wegen DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung zu betreiben. Diese sogenannte „federführende“ Datenschutzbehörde in der EU sei im Fall von Facebook die irische Datenschutzbehörde, die Irish Data Protection Commission.
Vor diesem Hintergrund legt das Berufungsgericht Brüssel dem EuGH die Frage vor, ob die DSGVO tatsächlich andere Datenschutzbehörden als die federführende daran hindert, in ihrem jeweiligen Mitgliedstaat gerichtliche Verfahren wegen Verstößen gegen DSGVO-Vorschriften bezüglich grenzüberschreitender Datenverarbeitung zu betreiben.
Zuständigkeit der „federführenden“ Datenschutzbehörde nach DSGVO
Grundsätzlich ist nach Art. 55 Abs. 1 i.V.m. Art. 57 Abs. 1 lit. a DSGVO jede Aufsichtsbehörde für die Durchsetzung der DSGVO-Vorgaben im Hoheitsgebiet ihres jeweiligen Mitgliedstaats zuständig.
Allerdings ist mit der DSGVO der sogenannte „One-Stop-Shop“-Mechanismus eingeführt worden, um eine zentrale Anlaufstelle zu schaffen und so die zeitaufwändige und kostenintensive Kontaktaufnahme zu den verschiedenen nationalen Datenschutzbehörden zu ersetzen. Demnach ist bei grenzüberschreitender Datenverarbeitung die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters die zuständige federführende Aufsichtsbehörde (Art. 56 Abs. 1 DSGVO). Art. 56 Abs. 6 DSGVO stellt klar, dass die federführende Aufsichtsbehörde die einzige Ansprechpartnerin der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von ihnen durchgeführten grenzüberschreitenden Datenverarbeitung ist.
Die federführende Aufsichtsbehörde tritt nicht nur nach außen als zentrale Kontaktstelle in Erscheinung, sondern koordiniert nach Art. 60 Abs. 1 DSGVO auch die anderen betroffenen Aufsichtsbehörden und arbeitet mit diesen zusammen. Außerdem muss sie den anderen betroffenen Aufsichtsbehörden ihren Beschlussentwurf zur Stellungnahme vorlegen und kann nicht einfach im Alleingang entscheiden (Art. 60 Abs. 3 DSGVO).
Generalanwalts bejaht allgemeine Zuständigkeit der federführenden Datenschutzbehörde bei grenzüberscheitenden Datenverarbeitungen
Generalanwalt Michal Bobek vertritt, vor allem gestützt auf den Wortlaut von Art. 56 Abs. 1 und 6 DSGVO, in seinen Schlussanträgen vom 13. Januar 2021 die Ansicht, dass
die federführende Datenschutzbehörde für grenzüberschreitende Datenverarbeitung eine allgemeine Zuständigkeit habe, wozu auch die Einleitung gerichtlicher Verfahren wegen Verstößen gegen die DSGVO gehöre; folglich seien die diesbezüglichen Handlungsbefugnisse der übrigen betroffenen Datenschutzbehörden weniger umfassend.
Die Befugnis jeder Datenschutzbehörde, gerichtliche Verfahren gegen mögliche Verstöße einzuleiten, die ihr Hoheitsgebiet betreffen, sei ausdrücklich beschränkt, soweit es um grenzüberschreitende Datenverarbeitung gehe, so der Generalanwalt weiter. Dadurch solle gerade der federführenden Datenschutzbehörde ermöglicht werden, ihre diesbezüglichen Aufgaben wahrzunehmen. Der Generalanwalt weist darüber hinaus auf die bedeutende Rolle der federführenden Datenschutzbehörde im Rahmen der „One-Stop-Shop“-Lösung und die Kooperationsmechanismen zur Einbindung anderer Datenschutzbehörden hin.
Als dritten Punkt führt der Generalanwalt an, dass die federführende Datenschutzbehörde bei grenzüberschreitenden Sachverhalten nicht als alleinige Stelle der Durchsetzung der DSGVO angesehen werden könne. Vielmehr müsse sie eng mit den anderen betroffenen Datenschutzbehörden zusammenarbeiten.
Zuletzt führt der Generalanwalt Situationen auf, in denen nationale Datenschutzbehörden, selbst wenn sie nicht als federführende Behörde auftreten, gleichwohl vor den Gerichten ihres jeweiligen Mitgliedstaats Verfahren wegen grenzüberschreitender Datenverarbeitung einleiten könnten. Solche Umstände lägen insbesondere vor, wenn die nationalen Datenschutzbehörden
- außerhalb des sachlichen Anwendungsbereichs der DSGVO tätig würden;
- Untersuchungen zu grenzüberschreitender Datenverarbeitung anstellten, die durch Behörden, im öffentlichen Interesse, in Ausübung öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der EU hätten;
- bei Dringlichkeit Maßnahmen ergriffen; oder
- tätig würden, nachdem die federführende Datenschutzbehörde beschlossen habe, sich nicht selbst mit dem Fall zu befassen.
Eingeschränktes „Forum Shopping″ auch hinsichtlich Datenschutzbehörden möglich
Welche Datenschutzbehörde zuständig ist und ob bestimmte Befugnisse grundsätzlich der federführenden Datenschutzbehörde vorbehalten sind, ist insbesondere dann von großer Bedeutung, wenn die in Frage kommenden Behörden abweichende Auffassungen vertreten oder eine unterschiedliche Durchsetzungspraxis verfolgen. In solchen Fällen kann es sich für Unternehmen durchaus lohnen, die Hauptniederlassung bzw. einzige Niederlassung in der EU in denjenigen Mitgliedstaat zu legen, dessen Datenschutzbehörde für das Unternehmen günstigere Ansichten vertritt. Denn trotz der in der DSGVO verankerten Kooperationspflichten zwischen den Behörden, kommt der federführenden Datenschutzbehörde eine entscheidende Rolle zu.
Folgt der EuGH den Schlussanträgen des Generalanwalts Michal Bobek, würde das Primat der federführenden Datenschutzbehörde bekräftigt und der Spielraum der anderen nationalen Datenschutzbehörden für eigenständige Handlungen bei grenzüberschreitender Datenverarbeitung klar auf einige wenige, eng umrissene Fälle beschränkt.
Unklar ist allerdings, welche Folgen ein solcher Entscheid des EuGH für den vorliegenden Fall hätte. Bei diesem besteht nämlich die Besonderheit, dass das Verfahren vor Anwendbarkeit der DSGVO eingeleitet wurde und daher die Fortführung – nicht die Einleitung – des Verfahrens durch die belgische Datenschutzbehörde in Frage steht. Diese Problematik wird zusätzlich dadurch verkompliziert, dass das Verfahren jetzt jedoch offenbar ausschließlich Verhaltensweisen betrifft, die sich nach Inkrafttreten der DSGVO ereigneten. Der Generalanwalt vertritt für diesen Spezialfall die Auffassung, gemäß DSGVO sei es einer Aufsichtsbehörde verwehrt, ein gerichtliches Verfahren fortzusetzen, das eingeleitet wurde, bevor die DSGVO anwendbar wurde, aber Verhaltensweisen betrifft, die sich nach diesem Zeitpunkt ereignen.
Der EuGH ist nicht an die Schlussanträge des Generalanwalts gebunden und es bleibt abzuwarten, ob es diesen sowohl hinsichtlich der allgemeinen Zuständigkeitsfrage als auch mit Blick auf die besondere zeitliche Komponente des konkreten Verfahrens folgen wird.