Nationale Datenschutzbehörden sind befugt, in Ausnahmefällen Verfahren wegen Verletzung der Datenschutz-Grundverordnung (DSGVO) gegen Unternehmen einzuleiten, die in einem anderen EU-Mitgliedstaat registriert sind, hat das oberste Gericht der EU entschieden.
In seinem Urteil vom Dienstag (15. Juni) hat der Gerichtshof der Europäischen Union (EuGH) die konkreten Voraussetzungen aufgezeigt, unter denen nationale Aufsichtsbehörden mutmaßliche Verstöße gegen Datenschutzvorschriften in ihrem Zuständigkeitsbereich vor Gericht bringen können.
Die Durchsetzung der DSGVO ist derzeit um einen One-Stop-Shop-Mechanismus strukturiert, der die Leitung grenzüberschreitender Fälle der Datenschutzbehörde zuweist, bei der die Verarbeitungsorganisation ihren gesetzlichen Sitz hat.
Nach dem Gerichtsurteil kann in dringenden Ausnahmefällen oder wenn die Auswirkungen auf eine nationale oder lokale Gerichtsbarkeit beschränkt sind, auch eine nicht federführende Aufsichtsbehörde ein Verfahren einleiten.
Facebook-Fall
Hintergrund des Urteils war ein von der belgischen Datenschutzkommission im September 2015 eingeleiteter Fall nach mutmaßlichen Datenschutzverletzungen durch Facebook Inc., Facebook Ireland und Facebook Belgium.
Die belgische Datenschutzbehörde war der Ansicht, dass Facebook und seine Tochtergesellschaften gegen Datenschutzgesetze verstoßen, indem sie Verhaltensdaten von belgischen Internetnutzern sammelten, selbst wenn diese kein Facebook-Konto hatten.
Die Erfassung der Daten erfolgte durch Tracking-Technologien wie Cookies, Social Plug-Ins und Pixel. Das belgische Gericht bestätigte die Ansicht der Datenschutzbehörde mit der Begründung, dass die Internetnutzer nicht ausreichend über die Datenerhebungspraktiken von Facebook informiert worden seien und daher nicht damit einverstanden seien.
Das soziale Netzwerk legte im März 2018 Berufung gegen das Urteil ein, kurz darauf trat die DSGVO in Kraft. Das Berufungsgericht verlangte eine Orientierungshilfe zur DSGVO-Bestimmung zum One-Stop-Shop und hinterfragte, ob es zuständig sei, gegen Facebook Belgien zu intervenieren, wenn Facebook Irland der Datenverantwortliche in der EU ist.
Implikationen des Urteils
Facebook begrüßte das Urteil und interpretierte es als Untermauerung der Logik des One-Stop-Shop-Mechanismus und als Bestätigung, dass Fälle, in denen Behörden aus anderen EU-Mitgliedstaaten die Führung übernehmen, „die Ausnahme von der Regel darstellen“.
„Wir freuen uns, dass der EuGH den Wert und die Grundsätze des One-Stop-Shop-Mechanismus bestätigt und seine Bedeutung für die effiziente und einheitliche Anwendung der DSGVO in der gesamten EU hervorgehoben hat“, sagte Jack Gilbert, Associate General Counsel bei Facebook, gegenüber EURACTIV .
Andere waren jedoch besorgter über die Entscheidung der Richter, dass in dringenden Fällen oder in solchen, die nur einen Mitgliedstaat betreffen, nationale Datenschutzbehörden Verfahren gegen Unternehmen mit Sitz in anderen Ländern einleiten können.
Die Computer and Communications Industry Association (CCIA), zu der auch Amazon, Facebook und Google gehören, bedauerte die Entscheidung des EuGH und befürchtete, dass dies zu einer inkonsistenten und unsicheren Durchsetzung der DSGVO führen könnte.
Alex Roure, Senior Policy Manager von CCIA Europe, ist der Ansicht, dass das Urteil „alle nationalen Datenschutzbehörden die Hintertür geöffnet hat, um mehrere Verfahren gegen Unternehmen einzuleiten“. Für den Wirtschaftsverband könnte das Urteil zu unterschiedlichen Auslegungen der Datenschutzvorschriften in der Europäischen Union führen.
Das Urteil wurde jedoch von der Europäischen Verbraucherorganisation (BEUC) begrüßt, die sagte, dass die Tatsache, dass nur eine Aufsichtsbehörde für grenzüberschreitende Fälle vorhanden ist, ein schwerwiegender Mangel ist, der die Durchsetzung der DSGVO untergräbt, wobei Irland ein Fall ist.
„Die meisten Big-Tech-Unternehmen haben ihren Sitz in Irland, und es sollte nicht allein der Autorität dieses Landes obliegen, 500 Millionen Verbraucher in der EU zu schützen, insbesondere wenn es der Herausforderung nicht gewachsen ist“, sagte BEUC-Generaldirektorin Monique Goyens.
Irland wurde von den anderen Datenschutzbehörden des Blocks beschuldigt, nicht genügend Maßnahmen gegen Big-Tech-Firmen ergriffen zu haben. Im Mai stimmten die Abgeordneten für eine Resolution, in der ein Vertragsverletzungsverfahren gegen Irland wegen Nichtdurchsetzung der DSGVO gefordert wird.
Als Reaktion darauf machte Irlands Datenschutzbeauftragter die geringe Antwortquote auf Datenschutzbeschwerden auf einen Mangel an Ressourcen zurückzuführen.
[Edited by Josie Le Blond]
