EuGH: Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch tätig werden wenn sie nicht federführend sind
EuGH
Urteil vom 15.06.2021
C‑645/19
Facebook Ireland Ltd, Facebook Inc., Facebook Belgium BVBA
gegen
Gegevensbeschermingsautoriteit
Der EuGH hat entschieden, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch dann tätig werden dürfen, wenn sie nicht federführend zuständig sind.
Tenor der Entscheidung:
1. Art. 55 Abs. 1 und die Art. 56 bis 58 sowie 60 bis 66 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nach den zur Durchführung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis, wenn eine grenzüberschreitende Datenverarbeitung in Rede steht, Gebrauch machen darf, obgleich sie für diese Datenverarbeitung nicht die „zuständige federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, sofern es sich um einen der Fälle handelt, in denen die Verordnung 2016/679 der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt, und die in der Verordnung vorgesehen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden.
2. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Ausübung der einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehenden Befugnis zur Klageerhebung bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche oder der Auftragsverarbeiter, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.
3. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehende Befugnis, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet, als auch gegenüber einer anderen Niederlassung des Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die genannte Behörde nach den Ausführungen zu Vorlagefrage 1 dafür zuständig ist, die Befugnis auszuüben.
4. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, vor dem 25. Mai 2018, also bevor die Verordnung galt, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der Aufsichtsbehörde auf der Grundlage von Art. 58 Abs. 5 der Verordnung 2016/679 wegen nach diesem Zeitpunkt begangener Verstöße erhoben werden, sofern es sich um einen der Fälle handelt, in denen die Verordnung einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, ausnahmsweise die Befugnis verleiht, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden, was zu prüfen Sache des vorlegenden Gerichts ist.
5. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Vorschrift unmittelbare Wirkung hat, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.
Den Volltext der Entscheidung finden Sie hier:
Die Pressemitteilung des EuGH:
Datenschutz-Grundverordnung (DSGVO): Der Gerichtshof erläutert die Voraussetzungen für die Ausübung der Befugnisse der nationalen Aufsichtsbehörden bei der grenzüberschreitenden Datenverarbeitung
Unter bestimmten Voraussetzungen kann eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die DSGVO vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben, auch wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist
Urteil vom 15.06.2021
C‑645/19
Facebook Ireland Ltd, Facebook Inc., Facebook Belgium BVBA
gegen
Gegevensbeschermingsautoriteit
Der EuGH hat entschieden, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch dann tätig werden dürfen, wenn sie nicht federführend zuständig sind.
Tenor der Entscheidung:
1. Art. 55 Abs. 1 und die Art. 56 bis 58 sowie 60 bis 66 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nach den zur Durchführung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis, wenn eine grenzüberschreitende Datenverarbeitung in Rede steht, Gebrauch machen darf, obgleich sie für diese Datenverarbeitung nicht die „zuständige federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, sofern es sich um einen der Fälle handelt, in denen die Verordnung 2016/679 der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt, und die in der Verordnung vorgesehen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden.
2. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Ausübung der einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehenden Befugnis zur Klageerhebung bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche oder der Auftragsverarbeiter, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.
3. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehende Befugnis, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet, als auch gegenüber einer anderen Niederlassung des Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die genannte Behörde nach den Ausführungen zu Vorlagefrage 1 dafür zuständig ist, die Befugnis auszuüben.
4. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, vor dem 25. Mai 2018, also bevor die Verordnung galt, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der Aufsichtsbehörde auf der Grundlage von Art. 58 Abs. 5 der Verordnung 2016/679 wegen nach diesem Zeitpunkt begangener Verstöße erhoben werden, sofern es sich um einen der Fälle handelt, in denen die Verordnung einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, ausnahmsweise die Befugnis verleiht, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden, was zu prüfen Sache des vorlegenden Gerichts ist.
5. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Vorschrift unmittelbare Wirkung hat, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.
Den Volltext der Entscheidung finden Sie hier:
Die Pressemitteilung des EuGH:
Datenschutz-Grundverordnung (DSGVO): Der Gerichtshof erläutert die Voraussetzungen für die Ausübung der Befugnisse der nationalen Aufsichtsbehörden bei der grenzüberschreitenden Datenverarbeitung
Unter bestimmten Voraussetzungen kann eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die DSGVO vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben, auch wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist
Am 11. September 2015 erhob der Präsident des belgischen Ausschusses für den Schutz des Privatlebens (im Folgenden: CBPL) bei der Nederlandstalige rechtbank van eerste aanleg Brussel (niederländischsprachiges Gericht erster Instanz Brüssel, Belgien) eine Unterlassungsklage gegen
Facebook Ireland, Facebook Inc. und Facebook Belgium mit dem Ziel, Verstöße gegen
Datenschutzvorschriften, die Facebook angeblich begangen hat, abzustellen. Diese Verstöße
bestanden u. a. in der Sammlung und Nutzung von Informationen über das Surfverhalten von
belgischen Internetnutzern, von denen nicht alle über ein Facebook-Konto verfügen, mittels
verschiedener Technologien wie Cookies, Social Plugins oder Pixeln.
Am 16. Februar 2018 erklärte sich dieses Gericht für zuständig, über diese Klage zu befinden, und
entschied in der Sache, dass das soziale Netzwerk Facebook die belgischen Internetnutzer nicht
ausreichend über die Erhebung und Nutzung der betreffenden Informationen informiert habe. Im
Übrigen wurde die Einwilligung der Internetnutzer zur Sammlung und Verarbeitung dieser
Informationen als nicht wirksam angesehen.
Am 2. März 2018 legten Facebook Ireland, Facebook Inc. und Facebook Belgium gegen dieses
Urteil Berufung beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien), dem vorlegenden Gericht in der vorliegenden Rechtssache, ein. Vor diesem Gericht trat die belgische
Datenschutzbehörde (im Folgenden: GBA) als Rechtsnachfolgerin des Präsidenten der CBLP auf.
Das vorlegende Gericht erklärte sich lediglich für die Entscheidung über die von Facebook Belgium
eingelegte Berufung für zuständig.
Beim vorlegenden Gericht bestehen Zweifel, welche Auswirkung das in der DSGV2 vorgesehene
Verfahren der Zusammenarbeit und Kohärenz auf die Befugnisse der GBA hat, und es wirft insbesondere die Frage auf, ob die GBA in Bezug auf Sachverhalte nach dem 25. Mai 2018, ab
dem die DSGVO gilt, gegen Facebook Belgium vorgehen kann, da Facebook Ireland als für die
Verarbeitung der betreffenden Daten Verantwortlicher festgestellt worden ist. Seit diesem Zeitpunkt und insbesondere gemäß dem in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz sei nämlich nur der irische Datenschutzbeauftragte befugt, unter der Kontrolle der irischen Gerichte eine Unterlassungsklage zu erheben.
In seinem Urteil der Großen Kammer präzisiert der Gerichtshof die Befugnisse der nationalen Aufsichtsbehörden im Rahmen der DSGVO. Insbesondere hat er entschieden, dass die genannte
Verordnung unter bestimmten Voraussetzungen einer Aufsichtsbehörde eines Mitgliedstaats
gestattet, von ihrer Befugnis Gebrauch zu machen, vermeintliche Verstöße gegen die DSGV
einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und in Bezug auf eine grenzüberschreitende Datenverarbeitung3 die Einleitung eines gerichtlichen Verfahrens zu betreiben, obgleich sie für diese Verarbeitung nicht die federführende Behörde ist.
Würdigung durch den Gerichtshof
Erstens hat der Gerichtshof die Voraussetzungen festgelegt, unter denen eine nationale Aufsichtsbehörde, die hinsichtlich einer grenzüberschreitenden Verarbeitung nicht als federführende Behörde fungiert, ihre Befugnis auszuüben hat, vermeintliche Verstöße gegen die DSGV einem Gericht eines Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben. So muss zum einen die DSGVO dieser Aufsichtsbehörde eine Zuständigkeit für den Erlass einer Entscheidung, mit der festgestellt wird,
dass die fragliche Verarbeitung gegen die in dieser Verordnung vorgesehenen Regeln verstößt,
verleihen, und zum anderen muss diese Befugnis unter Beachtung der in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz ausgeübt werden.
Für grenzüberschreitende Verarbeitungen sieht die DSGVO nämlich ein Verfahren der
Zusammenarbeit und Kohärenz5 vor, das auf einer Zuständigkeitsverteilung zwischen einer
„federführenden Aufsichtsbehörde“ und den anderen betroffenen nationalen Aufsichtsbehörden
beruht. Dieser Mechanismus erfordert eine enge, loyale und wirksame Zusammenarbeit zwischen
den genannten Behörden, um zu gewährleisten, dass die Vorschriften über den Schutz
personenbezogener Daten kohärent und einheitlich geschützt werden, und um somit die praktische Wirksamkeit dieses Mechanismus zu wahren. Die DSGV sieht insoweit vor, dass grundsätzlich die
federführende Aufsichtsbehörde dafür zuständig ist, einen Beschluss zu erlassen, mit dem
festgestellt wird, dass eine grenzüberschreitende Verarbeitung gegen die Vorschriften der
Verordnung verstößt , wohingegen die Zuständigkeit der anderen nationalen Aufsichtsbehörden
für den Erlass eines solchen, wenn auch nur vorläufigen, Beschlusses die Ausnahme darstellt.
Indessen muss die federführende Aufsichtsbehörde bei der Wahrnehmung ihrer Zuständigkeiten
insbesondere den gebotenen Dialog führen und loyal und wirksam mit den anderen betroffenen
Aufsichtsbehörden zusammenarbeiten. Bei dieser Zusammenarbeit kann daher die federführende
Aufsichtsbehörde die Ansichten der anderen betroffenen Aufsichtsbehörden nicht außer Acht
lassen und hat ein maßgeblicher und begründeter Einspruch, der von einer anderen betroffenen
Aufsichtsbehörde eingelegt wird, zur Folge, dass die Annahme des Beschlussentwurfs der
federführenden Aufsichtsbehörde zumindest vorübergehend blockiert wird.
Der Gerichtshof hat ferner klargestellt, dass es mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union, die das Recht auf den Schutz der personenbezogenen Daten einer Person bzw. auf einen wirksamen Rechtsbehelf garantieren, in Einklang steht, dass eine Aufsichtsbehörde eines Mitgliedstaats, die in Bezug auf eine grenzüberschreitende Datenverarbeitung nicht die federführende Aufsichtsbehörde ist, von der Befugnis zur Geltendmachung eines vermeintlichen Verstoßes gegen die DSGVO vor einem Gericht dieses
Staates nur unter Beachtung der Regeln über die Verteilung der Entscheidungsbefugnisse zwischen der federführenden Aufsichtsbehörde und den anderen Aufsichtsbehörden8 Gebrauch
machen kann.
Zweitens hat der Gerichtshof entschieden, dass im Fall einer grenzüberschreitenden Datenverarbeitung die Ausübung der Befugnis zur Klageerhebung , die einer Aufsichtsbehörde
eines Mitgliedstaats zusteht, die nicht die federführende Aufsichtsbehörde ist, nicht voraussetzt,
dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter, auf den sich diese Klage bezieht, über eine Hauptniederlassung oder eine andere Niederlassung im Hoheitsgebiet
dieses Mitgliedstaats verfügt. Die Ausübung dieser Befugnis muss jedoch in den räumlichen
Anwendungsbereich der DSGVO10 fallen, was voraussetzt, dass der für die grenzüberschreitende Verarbeitung Verantwortliche oder der Auftragsverarbeiter über eine Niederlassung im Gebiet der
Union verfügt.
Drittens hat der Gerichtshof für Recht erkannt, dass im Fall einer grenzüberschreitenden Datenverarbeitung die Befugnis einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, vermeintliche Verstöße gegen die DSGVO dem Gericht dieses
Staates zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrtens
zu betreiben, sowohl in Bezug auf die Hauptniederlassung des für die Verarbeitung Verantwortlichen, die sich in dem Mitgliedstaat, dem diese Behörde angehört, befindet, als auch gegenüber einer anderen Niederlassung dieses Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten dieser Niederlassung erfolgt, und die genannte Behörde dafür zuständig ist, die Befugnis auszuüben.
Der Gerichtshof hat jedoch klargestellt, dass diese Befugnis nur ausgeübt werden kann, soweit die
DSGVO gilt. Da im vorliegenden Fall die Tätigkeiten der Niederlassung des Facebook-Konzerns in
Belgien untrennbar mit der Verarbeitung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten verbunden sind, für die Facebook Ireland hinsichtlich des
Unionsgebiets der Verantwortliche ist, erfolgt diese Verarbeitung „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen“ und fällt daher in den Anwendungsbereich der DSGVO.
Viertens hat der Gerichtshof entschieden, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats,
die nicht die „federführende Aufsichtsbehörde“ ist, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten, bevor die DSGV galt, eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten11 aufrechterhalten werden kann, die für
Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage
von der genannten Aufsichtsbehörde wegen Verstößen erhoben werden, die begangen wurden,
nachdem die DSGVO anwendbar wurde, sofern es sich dabei um einen derjenigen Fälle handelt,
in denen diese Aufsichtsbehörde nach der Verordnung ausnahmsweise befugt ist, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der
Verordnung enthaltenen Vorschriften verstößt, und die in der Verordnung vorgesehenen Verfahren
der Zusammenarbeit eingehalten werden.
Fünftens erkennt der Gerichtshof die unmittelbare Wirkung der Bestimmung der DSGVO an, wonach jeder Mitgliedstaat durch Rechtsvorschriften vorsieht, dass seine Aufsichtsbehörde befugt
ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben. Folglich kann sich eine
Aufsichtsbehörde auf diese Vorschrift berufen, um gegen Private eine Klage zu erheben oder ein
entsprechendes Verfahren fortzuführen, auch wenn die genannte Vorschrift in der Rechtsordnung
des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.
Facebook Ireland, Facebook Inc. und Facebook Belgium mit dem Ziel, Verstöße gegen
Datenschutzvorschriften, die Facebook angeblich begangen hat, abzustellen. Diese Verstöße
bestanden u. a. in der Sammlung und Nutzung von Informationen über das Surfverhalten von
belgischen Internetnutzern, von denen nicht alle über ein Facebook-Konto verfügen, mittels
verschiedener Technologien wie Cookies, Social Plugins oder Pixeln.
Am 16. Februar 2018 erklärte sich dieses Gericht für zuständig, über diese Klage zu befinden, und
entschied in der Sache, dass das soziale Netzwerk Facebook die belgischen Internetnutzer nicht
ausreichend über die Erhebung und Nutzung der betreffenden Informationen informiert habe. Im
Übrigen wurde die Einwilligung der Internetnutzer zur Sammlung und Verarbeitung dieser
Informationen als nicht wirksam angesehen.
Am 2. März 2018 legten Facebook Ireland, Facebook Inc. und Facebook Belgium gegen dieses
Urteil Berufung beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien), dem vorlegenden Gericht in der vorliegenden Rechtssache, ein. Vor diesem Gericht trat die belgische
Datenschutzbehörde (im Folgenden: GBA) als Rechtsnachfolgerin des Präsidenten der CBLP auf.
Das vorlegende Gericht erklärte sich lediglich für die Entscheidung über die von Facebook Belgium
eingelegte Berufung für zuständig.
Beim vorlegenden Gericht bestehen Zweifel, welche Auswirkung das in der DSGV2 vorgesehene
Verfahren der Zusammenarbeit und Kohärenz auf die Befugnisse der GBA hat, und es wirft insbesondere die Frage auf, ob die GBA in Bezug auf Sachverhalte nach dem 25. Mai 2018, ab
dem die DSGVO gilt, gegen Facebook Belgium vorgehen kann, da Facebook Ireland als für die
Verarbeitung der betreffenden Daten Verantwortlicher festgestellt worden ist. Seit diesem Zeitpunkt und insbesondere gemäß dem in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz sei nämlich nur der irische Datenschutzbeauftragte befugt, unter der Kontrolle der irischen Gerichte eine Unterlassungsklage zu erheben.
In seinem Urteil der Großen Kammer präzisiert der Gerichtshof die Befugnisse der nationalen Aufsichtsbehörden im Rahmen der DSGVO. Insbesondere hat er entschieden, dass die genannte
Verordnung unter bestimmten Voraussetzungen einer Aufsichtsbehörde eines Mitgliedstaats
gestattet, von ihrer Befugnis Gebrauch zu machen, vermeintliche Verstöße gegen die DSGV
einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und in Bezug auf eine grenzüberschreitende Datenverarbeitung3 die Einleitung eines gerichtlichen Verfahrens zu betreiben, obgleich sie für diese Verarbeitung nicht die federführende Behörde ist.
Würdigung durch den Gerichtshof
Erstens hat der Gerichtshof die Voraussetzungen festgelegt, unter denen eine nationale Aufsichtsbehörde, die hinsichtlich einer grenzüberschreitenden Verarbeitung nicht als federführende Behörde fungiert, ihre Befugnis auszuüben hat, vermeintliche Verstöße gegen die DSGV einem Gericht eines Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben. So muss zum einen die DSGVO dieser Aufsichtsbehörde eine Zuständigkeit für den Erlass einer Entscheidung, mit der festgestellt wird,
dass die fragliche Verarbeitung gegen die in dieser Verordnung vorgesehenen Regeln verstößt,
verleihen, und zum anderen muss diese Befugnis unter Beachtung der in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz ausgeübt werden.
Für grenzüberschreitende Verarbeitungen sieht die DSGVO nämlich ein Verfahren der
Zusammenarbeit und Kohärenz5 vor, das auf einer Zuständigkeitsverteilung zwischen einer
„federführenden Aufsichtsbehörde“ und den anderen betroffenen nationalen Aufsichtsbehörden
beruht. Dieser Mechanismus erfordert eine enge, loyale und wirksame Zusammenarbeit zwischen
den genannten Behörden, um zu gewährleisten, dass die Vorschriften über den Schutz
personenbezogener Daten kohärent und einheitlich geschützt werden, und um somit die praktische Wirksamkeit dieses Mechanismus zu wahren. Die DSGV sieht insoweit vor, dass grundsätzlich die
federführende Aufsichtsbehörde dafür zuständig ist, einen Beschluss zu erlassen, mit dem
festgestellt wird, dass eine grenzüberschreitende Verarbeitung gegen die Vorschriften der
Verordnung verstößt , wohingegen die Zuständigkeit der anderen nationalen Aufsichtsbehörden
für den Erlass eines solchen, wenn auch nur vorläufigen, Beschlusses die Ausnahme darstellt.
Indessen muss die federführende Aufsichtsbehörde bei der Wahrnehmung ihrer Zuständigkeiten
insbesondere den gebotenen Dialog führen und loyal und wirksam mit den anderen betroffenen
Aufsichtsbehörden zusammenarbeiten. Bei dieser Zusammenarbeit kann daher die federführende
Aufsichtsbehörde die Ansichten der anderen betroffenen Aufsichtsbehörden nicht außer Acht
lassen und hat ein maßgeblicher und begründeter Einspruch, der von einer anderen betroffenen
Aufsichtsbehörde eingelegt wird, zur Folge, dass die Annahme des Beschlussentwurfs der
federführenden Aufsichtsbehörde zumindest vorübergehend blockiert wird.
Der Gerichtshof hat ferner klargestellt, dass es mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union, die das Recht auf den Schutz der personenbezogenen Daten einer Person bzw. auf einen wirksamen Rechtsbehelf garantieren, in Einklang steht, dass eine Aufsichtsbehörde eines Mitgliedstaats, die in Bezug auf eine grenzüberschreitende Datenverarbeitung nicht die federführende Aufsichtsbehörde ist, von der Befugnis zur Geltendmachung eines vermeintlichen Verstoßes gegen die DSGVO vor einem Gericht dieses
Staates nur unter Beachtung der Regeln über die Verteilung der Entscheidungsbefugnisse zwischen der federführenden Aufsichtsbehörde und den anderen Aufsichtsbehörden8 Gebrauch
machen kann.
Zweitens hat der Gerichtshof entschieden, dass im Fall einer grenzüberschreitenden Datenverarbeitung die Ausübung der Befugnis zur Klageerhebung , die einer Aufsichtsbehörde
eines Mitgliedstaats zusteht, die nicht die federführende Aufsichtsbehörde ist, nicht voraussetzt,
dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter, auf den sich diese Klage bezieht, über eine Hauptniederlassung oder eine andere Niederlassung im Hoheitsgebiet
dieses Mitgliedstaats verfügt. Die Ausübung dieser Befugnis muss jedoch in den räumlichen
Anwendungsbereich der DSGVO10 fallen, was voraussetzt, dass der für die grenzüberschreitende Verarbeitung Verantwortliche oder der Auftragsverarbeiter über eine Niederlassung im Gebiet der
Union verfügt.
Drittens hat der Gerichtshof für Recht erkannt, dass im Fall einer grenzüberschreitenden Datenverarbeitung die Befugnis einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, vermeintliche Verstöße gegen die DSGVO dem Gericht dieses
Staates zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrtens
zu betreiben, sowohl in Bezug auf die Hauptniederlassung des für die Verarbeitung Verantwortlichen, die sich in dem Mitgliedstaat, dem diese Behörde angehört, befindet, als auch gegenüber einer anderen Niederlassung dieses Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten dieser Niederlassung erfolgt, und die genannte Behörde dafür zuständig ist, die Befugnis auszuüben.
Der Gerichtshof hat jedoch klargestellt, dass diese Befugnis nur ausgeübt werden kann, soweit die
DSGVO gilt. Da im vorliegenden Fall die Tätigkeiten der Niederlassung des Facebook-Konzerns in
Belgien untrennbar mit der Verarbeitung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten verbunden sind, für die Facebook Ireland hinsichtlich des
Unionsgebiets der Verantwortliche ist, erfolgt diese Verarbeitung „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen“ und fällt daher in den Anwendungsbereich der DSGVO.
Viertens hat der Gerichtshof entschieden, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats,
die nicht die „federführende Aufsichtsbehörde“ ist, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten, bevor die DSGV galt, eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten11 aufrechterhalten werden kann, die für
Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage
von der genannten Aufsichtsbehörde wegen Verstößen erhoben werden, die begangen wurden,
nachdem die DSGVO anwendbar wurde, sofern es sich dabei um einen derjenigen Fälle handelt,
in denen diese Aufsichtsbehörde nach der Verordnung ausnahmsweise befugt ist, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der
Verordnung enthaltenen Vorschriften verstößt, und die in der Verordnung vorgesehenen Verfahren
der Zusammenarbeit eingehalten werden.
Fünftens erkennt der Gerichtshof die unmittelbare Wirkung der Bestimmung der DSGVO an, wonach jeder Mitgliedstaat durch Rechtsvorschriften vorsieht, dass seine Aufsichtsbehörde befugt
ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben. Folglich kann sich eine
Aufsichtsbehörde auf diese Vorschrift berufen, um gegen Private eine Klage zu erheben oder ein
entsprechendes Verfahren fortzuführen, auch wenn die genannte Vorschrift in der Rechtsordnung
des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.
Trackbacks
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt