Grenzüberschreitende Zuständigkeit von Datenschutzbehörden

Datenschutzbehörde

Grundsätzlich gilt, dass ausschließlich die sogenannte “federführende Behörde” für Datenschutzverstöße zuständig sei, so der Generalanwalt des EuGH.

Datenschutzbehörde

Grenzüberschreitende Zuständigkeit von Datenschutzbehörden  

Einführung 

Der Europäische Gerichtshof (EuGH) befasst sich derzeit in einem Vorabentscheidungsverfahren mit der Frage der grenzüberschreitenden Zuständigkeit von Datenschutzbehörden.

Hintergrund der Rechtssache C-645/19 ist ein 2015 entstandener Rechtsstreit zwischen der belgischen Datenschutzbehörde (Gegevensbeschermingsautoriteit) und Facebook Belgium. Die belgische Datenschutzbehörde leitete ein Verfahren gegen Facebook ein und rügte dabei mehrere Datenschutzverstöße, insbesondere die Nutzung von Cookies ohne explizite Einwilligung der Nutzer oder die Datenerhebung auf Webseiten Dritter durch Social Plugins oder Pixel.

Facebook ist dabei der Ansicht, dass die belgische Datenschutzbehörde für die Führung des Verfahrens nach Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) gar nicht mehr zuständig sei. Zuständig sei nun lediglich die irische Datenschutzbehörde (Irish Data Protection Commission), da Facebook seinen europäischen Hauptsitz in Irland hat.  

Das Berufungsgericht in Brüssel hat sich schließlich an den EuGH gewandt, um die Frage der grenzüberschreitenden Zuständigkeit von Datenschutzbehörden zu klären. Ein Urteil des EuGH steht derzeit noch aus, der zuständige Generalanwalt Michal Bobek hat in seinen Schlussanträgen aber bereits Stellung genommen. 

Erwägungen des Generalstaatsanwalts 

Zur Beantwortung der Zuständigkeitsfrage bezieht sich der Generalanwalt vor allem auf den Wortlaut des Art. 56 Abs. 1 und Abs. 6 DS-GVO und ist somit der Auffassung, dass für eine grenzüberschreitende Datenverarbeitung ausschließlich die federführende Datenschutzbehörde zuständig sei. Die federführende Datenschutzbehörde ist diejenige, in dessen Hoheitsgebiet sich der Hauptsitz des Unternehmens oder dessen einziger Sitz in der EU befindet. Im vorliegenden Fall wäre das somit die irische Datenschutzbehörde. 

Von der Zuständigkeit der federführenden Datenschutzbehörde sei dann vor allem auch die Einleitung und Führung eines gerichtlichen Verfahrens umfasst. Zwar dürften nationale Datenschutzbehörden bei Verstößen auf ihrem Hoheitsgebiet grundsätzlich tätig werden (Art. 55 Abs. 1 i.V.m. Art. 57 Abs. 1 lit. A DS-GVO), ihre Zuständigkeit sei jedoch ausdrücklich auf nationale Datenverarbeitungsvorgänge beschränkt. Für eine grenzüberschreitende Datenverarbeitung seien die nationalen Datenschutzbehörden gerade nicht zuständig, sofern sie nicht gleichzeitig die federführenden Datenschutzbehörden sind 

Die Zuständigkeitsregelung der DS-GVO bezwecke vor allem die besondere Stellung der federführenden Behörde, um frühere Kooperationsschwierigkeiten und Unsicherheiten bezüglich fremder nationaler Regelwerke endgültig zu beseitigen, so Bobek. Trotz alleiniger Zuständigkeit der federführenden Datenschutzbehörde sei diese aber dennoch dazu angehalten, mit den betroffenen nationalen Datenschutzbehörden eng zusammenzuarbeiten.  

Nichtsdestotrotz hält der Generalanwalt es für möglich, dass die nationalen Datenschutzbehörden unter engen Voraussetzungen auch bei grenzüberschreitender Datenverarbeitung tätig werden können. Das ist seiner Ansicht nach der Fall, wenn: 

  1. die nationale Datenschutzbehörde außerhalb des sachlichen Anwendungsbereichs der DS-GVO agiert oder 
  2. die nationale Datenschutzbehörde Untersuchungen zu grenzüberschreitenden Datenverarbeitungen anstellt, die durch Behörden in Ausübung eines öffentlichen Interesses oder öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der EU haben oder 
  3. es sich um eine dringliche Mnahme handelt oder 
  4. die federführende Datenschutzbehörde beschlossen habe, selbst nicht tätig zu werden.  

 Fazit  

Es ist festzuhalten, dass nach Ansicht des Generalanwalts Bobek bei einer grenzüberschreitenden Datenverarbeitung lediglich die federführende Datenschutzbehörde zuständig sei. Nur unter engen Voraussetzungen sei es den nationalen Datenschutzbehörden gestattet, selbst ein gerichtliches Verfahren einzuleiten. 

Die Erwägungen des Generalanwalts sind für die Richter am EuGH nicht bindend, es bleibt also abzuwarten, wie das Luxemburger Gericht in der Sache entscheiden wird. Häufig wird jedoch der Auffassung der Generalanwälte gefolgt.  

Ein Urteil des EuGH bezüglich der Zuständigkeit wird nun in den kommenden Monaten erwartet. In der konkreten Rechtssache muss dann im Anschluss noch das belgische Gericht entscheiden.  

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!