Sie befinden sich hier:

Nicht nur die zuständige federführende Aufsichtsbehörde kann gerichtliche Schritte gegen ein international tätiges Unternehmen einleiten

Der Europäische Gerichtshof (EuGH) hat entschieden, dass unter bestimmten Umständen nicht nur die zuständige federführende Aufsichtsbehörde, sondern auch eine andere Aufsichtsbehörde gerichtliche Schritte einleiten kann.

Die belgische Datenschutzaufsichtsbehörde hatte bei einem Gericht erster Instanz in Brüssel eine Unterlassungsklage gegen Facebook Ireland, Facebook Inc. und Facebook Belgium erhoben.

Mit der Unterlassungsklage wurde die Beendigung eines „schweren Verstoßes gegen die Rechtsvorschriften im Bereich des Schutzes des Privatlebens“ begehrt, „den Facebook in großem Umfang begangen hat“, wie die belgische Datenschutzaufsichtsbehörde behauptet. Der Verstoß soll darin bestanden haben, dass dieses soziale Netzwerk im Internet Informationen über das Surfverhalten sowohl der Inhaber eines Facebook-Kontos als auch der Personen, die die Dienste von Facebook nicht nutzen, mittels verschiedener Technologien wie Cookies, Social Plugins (z. B. die Buttons „Gefällt mir“ oder „Teilen“) oder Pixeln gesammelt habe. Diese Komponenten ermöglichen es Facebook, bei einem Internetnutzer, der eine Seite einer Website besucht, die sie enthält, an bestimmte Daten zu gelangen, etwa die Adresse der besuchten Seite, die IP-Adresse des Besuchers der Seite sowie Tag und Uhrzeit des Besuchs.

Mit Urteil vom 16. Februar 2018 erklärte sich das belgische Gericht für zuständig, über die Unterlassungsklage, soweit diese gegen Facebook Ireland, Facebook Inc. und Facebook Belgium gerichtet ist, zu entscheiden.

In der Sache entschied das Gericht, dass Facebook die belgischen Internetnutzer nicht ausreichend über die Erhebung und Nutzung der betreffenden Daten informiert habe. Es stellte außerdem fest, dass die von den Internetnutzern erteilte Einwilligung zur Erhebung und Verarbeitung der Daten nicht wirksam sei. Facebook Ireland, Facebook Inc. und Facebook Belgium wurde daher aufgegeben, es erstens gegenüber im belgischen Hoheitsgebiet ansässigen Internetnutzern zu unterlassen, ohne deren Einwilligung Cookies zu setzen, die, wenn sie auf einer Internetseite der Domain „facebook.com“ surfen oder auf die Website eines Dritten gelangen, auf dem von ihnen verwendeten Gerät zwei Jahre lang aktiv bleiben, und mittels Social Plugins, Pixeln oder ähnlichen Technologien in einer Weise, die im Hinblick auf die von dem sozialen Netzwerk Facebook verfolgten Ziele unverhältnismäßig ist, auf Internetseiten Dritter Cookies zu setzen oder Daten zu erheben, es zweitens zu unterlassen, Angaben zu machen, die bei verständiger Würdigung geeignet sind, bei den betreffenden Personen einen Irrtum hinsichtlich der tatsächlichen Tragweite der von Facebook für die Verwendung der Cookies zur Verfügung gestellten Mechanismen hervorzurufen, und drittens, alle personenbezogenen Daten, die durch Cookies und Social Plugins erlangt worden sind, zu löschen.

Am 2. März 2018 legten Facebook Ireland, Facebook Inc. und Facebook Belgium gegen dieses Urteil Berufung ein.

Das Berufungsgerich hat sich für die Entscheidung über die eingelegte Berufung nur insoweit für zuständig erklärt, als diese Facebook Belgium betrifft. Soweit die Berufung Facebook Ireland und die Facebook Inc. betrifft, hat es sich hingegen für unzuständig erklärt.

Vor einer Entscheidung in der Sache stellt sich das Gericht die Frage, ob die belgische Datenschutzaufsichtsbehörde über die erforderliche Klagebefugnis und das erforderliche Rechtsschutzinteresse verfügt. Facebook Belgium vertritt die Auffassung, dass die Unterlassungsklage, soweit sie sich auf Sachverhalte vor dem 25. Mai 2018 beziehe, unzulässig sei, da Art. 32 Abs. 3 des Gesetzes vom 8. Dezember 1992, die Rechtsgrundlage für die Erhebung einer solchen Klage, nach dem Inkrafttreten des Gesetzes vom 3. Dezember 2017 und der Verordnung 2016/679 aufgehoben worden sei. Für Sachverhalte nach dem 25. Mai 2018 sei die belgische Datenschutzaufsichtsbehörde im Anbetracht des Verfahrens der Zusammenarbeit und Kohärenz, wie es die Datenschutz-Grundverordnung nun vorsehe, nicht zuständig und nicht befugt, eine Unterlassungsklage zu erheben. Nach der DSGVO sei allein der Datenschutzbeauftragte von Irland für die Erhebung von Unterlassungsklagen gegen Facebook Ireland zuständig. Verantwortlich für die Verarbeitung der personenbezogenen Daten der Personen, die die Dienste von Facebook im Unionsgebiet nutzten, sei nämlich allein Facebook Ireland.

Das Gericht hat daraufhin entschieden, dass die belgische Datenschutzaufsichtsbehörde, soweit die Unterlassungsklage Sachverhalte vor dem 25. Mai 2018 betreffe, das für diese Klage erforderliche Rechtsschutzinteresse nicht dargetan habe. In Bezug auf nach diesem Zeitpunkt liegende Sachverhalte hat das vorlegende Gericht jedoch Zweifel hinsichtlich der Auswirkungen des Inkrafttretens der Datenschutz-Grundverordnung, insbesondere der Anwendung des darin vorgesehenen Verfahrens der Zusammenarbeit und Kohärenz, auf die Zuständigkeiten der belgische Datenschutzaufsichtsbehörde und auf deren Befugnis, eine solche Unterlassungsklage zu erheben.

Nun, da festgestellt worden sei, dass Facebook Ireland der für die Verarbeitung der betreffenden Daten Verantwortliche sei, stelle sich die Frage, ob die belgische Datenschutzaufsichtsbehörde hinsichtlich der nach dem 25. Mai 2018 liegenden Sachverhalte gegen Facebook Belgium Klage erheben könne. Nach dem Verfahren der Zusammenarbeit und Kohärenz sei nach Art. 56 DSGVO seit dem 25. Mai 2018 offenbar allein der Datenschutzbeauftragte von Irland zuständig, der allein der Kontrolle durch die irischen Gerichte unterliege.

Der belgische Gericht hat das Verfahren daher ausgesetzt und dem EuGH folgende Fragen zur Vorabentscheidung vorgelegt:

  1. Sind Art. 55 Abs. 1 und die Art. 56 bis 58 und 60 bis 66 DSGVO in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde, die nach den in Umsetzung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, bei Verstößen gegen die Verordnung eine Klage vor einem Gericht ihres Mitgliedstaats zu erheben, diese Befugnis bei einer grenzüberschreitenden Verarbeitung, bei der sie nicht die federführende Aufsichtsbehörde ist, nicht ausüben kann?
  2. Macht es dabei einen Unterschied, dass der für eine solche grenzüberschreitende Verarbeitung Verantwortliche in diesem Mitgliedstaat nicht seine Hauptniederlassung hat, wohl aber eine andere Niederlassung?
  3. Macht es dabei einen Unterschied, dass die nationale Aufsichtsbehörde die Klage nicht gegen die Niederlassung erhebt, die der für die grenzüberschreitende Verarbeitung Verantwortliche in ihrem eigenen Mitgliedstaat hat, sondern gegen dessen Hauptniederlassung?
  4. Macht es dabei einen Unterschied, dass die nationale Aufsichtsbehörde die Klage erhoben hat, noch bevor die DSGVO galt (25. Mai 2018)?
  5. Falls Frage 1 bejaht wird: Entfaltet Art. 58 Abs. 5 DSGVO unmittelbare Wirkung, so dass sich eine nationale Aufsichtsbehörde auf diese Vorschrift berufen kann, um ein Gerichtsverfahren gegen eine natürliche Person oder ein Unternehmen einzuleiten oder fortzusetzen, obwohl Art. 58 Abs. 5 der Verordnung trotz einer entsprechenden Verpflichtung nicht speziell in nationales Recht umgesetzt worden ist?
  6. Falls die Fragen 1 bis 5 bejaht werden: Kann das Ergebnis solcher Verfahren einer gegenteiligen Feststellung der federführenden Aufsichtsbehörde entgegenstehen, wenn diese nach dem in den Art. 56 und 60 der Verordnung 2016/679 vorgesehenen Verfahren dieselben oder ähnliche grenzüberschreitende Verarbeitungsvorgänge untersucht?

Der EuGH hat zu diesen Fragen Folgendes entschieden:

  1. Auf Frage 1 zu antworten, dass Art. 55 Abs. 1 und die Art. 56 bis 58 sowie 60 bis 66 DSGVO in Verbindung mit den Art. 7, 8 und 47 der Charta dahin auszulegen sind, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nach den zur Durchführung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis, wenn eine grenzüberschreitende Datenverarbeitung in Rede steht, Gebrauch machen darf, obgleich sie für diese Datenverarbeitung nicht die „zuständige federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, sofern es sich um einen der Fälle handelt, in denen die DSGVO der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt, und die in der Verordnung vorgesehen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden.
  2. Auf Frage 2 ist zu antworten, dass Art. 58 Abs. 5 DSGVO dahin auszulegen ist, dass die Ausübung der einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehenden Befugnis zur Klageerhebung bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche oder der Auftragsverarbeiter, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.
  3. Auf Frage 3 ist zu antworten, dass Art. 58 Abs. 5 DSGVO dahin auszulegen ist, dass die einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehende Befugnis, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet, als auch gegenüber einer anderen Niederlassung des Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die genannte Behörde nach den Ausführungen zu Frage 1 dafür zuständig ist, diese Befugnis auszuüben.
  4. Auf Frage 4 ist zu antworten, dass Art. 58 Abs. 5 DSGVO dahin auszulegen ist, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, vor dem 25. Mai 2018, also bevor die Verordnung galt, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie 95/46 aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der Aufsichtsbehörde auf der Grundlage von Art. 58 Abs. 5 DSGVO wegen nach diesem Zeitpunkt begangener Verstöße erhoben werden, sofern es sich um einen der Fälle handelt, in denen die Verordnung einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, ausnahmsweise die Befugnis verleiht, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden, was zu prüfen Sache des vorlegenden Gerichts ist.
  5. Auf Frage 5 ist zu antworten, dass Art. 58 Abs. 5 DSGVO dahin auszulegen ist, dass die Vorschrift unmittelbare Wirkung hat, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.
  6. Die Frage 6 wurde für unzulässig erklärt.

Fazit

Soweit das Koordinierungsverfahren der Aufsichtsbehörden nach Art. 60 DSGVO eingehalten wird, die federführende Behörde aber nicht mitwirken kann oder möchte, dürfen auch andere Aufsichtsbehörden nach Art. 58 Abs. 5 DSGVO gerichtlich gegen die rechtswidrige grenzüberschreitende Verarbeitung vorgehen.

Fundstelle:

Urteil des Gerichtshofs (Große Kammer) vom 15. Juni 2021 (C‑645/19) – abrufbar im Internet beispielsweise unter https://curia.europa.eu/juris/document/document.jsf;jsessionid=E6BE51953C902F7FE8314B37BC2EA94E?text=&docid=242821&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=4069927

nach oben