Die deutschen Datenschutzbehörden haben ein Urteil des EU-Gerichtshofs begrüßt, das nationalen Behörden mehr Handlungsspielraum gegen Online-Plattformen mit Datenfilialen im Rahmen der Dringlichkeitsbestimmungen des EU-Datenschutzrahmens einräumt. EURACTIV Deutschland berichtet.
Der EU-Gerichtshof entschied, dass einzelne Behörden, die ihren Pflichten nicht ausreichend nachkommen, kein „Forum-Shopping“ betreiben dürfen, da dies zu einer Verwässerung der EU-Datenschutzvorschriften führen würde.
„Der EuGH betont in seinem Urteil, dass eine Datenschutzaufsichtsbehörde auch dann Klage gegen einen Verantwortlichen oder Auftragsverarbeiter erheben kann, wenn dieser keine Hauptniederlassung oder sonstige Niederlassung im Hoheitsgebiet des Mitgliedstaats hat“, so ein Sprecher der teilte die Berliner Datenschutzbehörde EURACTIV mit.
Johannes Caspar, Chef der Hamburger Datenschutzbehörde, kritisierte kürzlich das aktuelle DSGVO-Regime wegen seiner „massiven Mängel“. Im Interview mit Bloomberg, Er sagte, das derzeitige System gebe den Regulierungsbehörden „viel Raum für Interpretation“.
Nach der europäischen Datenschutz-Grundverordnung (DSGVO) hängt die verfahrensführende nationale Datenschutzbehörde vom Sitz des Unternehmens ab.
Irland ist aufgrund seines bevorzugten Steuersystems die Heimat der meisten riesigen Technologieunternehmen wie Facebook, Google oder Apple. Damit ist die Irish Data Protection Authority (DPC) die federführende Aufsichtsbehörde für Datenschutzansprüche gegen die meisten Technologiegiganten.
Kritik gab es in der Vergangenheit jedoch an der vorsichtigen Auslegung der Datenschutzbestimmungen durch das DPC und der geringen Resonanz auf Beschwerden. Im Mai forderte das Europäische Parlament die Kommission sogar auf, ein Vertragsverletzungsverfahren gegen Irland einzuleiten, und beschuldigte das DPC der mangelhaften Durchsetzung der DSGVO.
Abweichend von der Regel
Das Urteil des EU-Gerichts zeigt nun Möglichkeiten auf, „in bestimmten Fällen von der Regel der federführenden Aufsichtsbehörde abzuweichen“, sagte ein Sprecher des Bundesdatenschutzbeauftragten gegenüber EURACTIV.
Obwohl die federführende Behörde grundsätzlich ihre Hauptverantwortung für die Koordinierung von Datenschutzuntersuchungen behält, betonte das Luxemburger Gericht, dass die federführende Behörde „nicht ausnahmslos die alleinige Befugnis hat, Datenschutzverfahren einzuleiten“, sagte ein Sprecher des Hamburger Datenschutzbeauftragten .
Auch andere nationale Behörden dürfen einschreiten und Maßnahmen ergreifen, wenn eine federführende Behörde den Datenschutz gemäß den Dringlichkeitsverfahren der DSGVO nicht ausreichend gewährleistet. Das Ergebnis eines Eilverfahrens ist jedoch nur drei Monate gültig, danach muss der Europäische Datenschutzausschuss (EDSA) eine verbindliche Entscheidung treffen.
Der EDPB setzt sich aus allen nationalen Aufsichtsbehörden zusammen und kann somit die alleinige Entscheidungsbefugnis Irlands umgehen.
„Damit wird der Kohärenz der Anwendung des europäischen Rechts hinreichend Rechnung getragen“, so das Amt des Hamburger Datenschutzbeauftragten. Dies würde “offensichtlichen Verfahrensverzögerungen” durch die irischen Behörden besser entgegenwirken, fügte der Sprecher des Bundesdatenschutzbeauftragten hinzu.
Verfahren gegen WhatsApp
Das Urteil fällt zu einem Zeitpunkt, als die Hamburger Datenschutzbehörde bereits im Mai ein Eilverfahren gegen Facebook eingeleitet hatte, das der Online-Plattform die Verarbeitung personenbezogener Daten aus WhatsApp untersagt, um die „Rechte und Freiheiten“ von Millionen Nutzern in Deutschland zu schützen.
Ziel war es, den Fall auf EU-Ebene zu bringen, um die langsame und laxe Auslegung durch die irische Datenschutzbehörde zu umgehen.
Da es sich um das erste Eilverfahren seit Inkrafttreten der DSGVO im Jahr 2018 handelt, rechnet der Sprecher der Hamburger Datenschutzbehörde nicht mit „vielen dieser Eilverfahren im Zuge des EuGH-Urteils“.
Es wird erwartet, dass der Europäische Datenschutzausschuss in den kommenden Wochen darüber entscheidet, und es besteht die Hoffnung, dass sein Urteil einen Präzedenzfall für künftig stärkere Maßnahmen gegen Technologiegiganten schafft. „Es bleibt abzuwarten, ob der EDSA bereit ist, diesen Weg zu gehen und hierzu eine verbindliche Entscheidung zu treffen“, so der Sprecher der Hamburger Datenaufsichtsbehörde.
[Edited by Luca Bertuzzi]