Datenschutzaufsicht: Wie ist die Aufgabenverteilung zwischen den Behörden?
Facebook hat seinen Hauptsitz in Irland. Die belgische Datenschutzaufsicht ist der Auffassung, dass Facebook DSGVO-Vorschriften verletzt. Sie informiert die irische Aufsichtsbehörde. Die tut nichts. Kann die belgische Aufsichtsbehörde gewissermaßen ersatzweise gegen Facebook vorgehen? Die Antwort des EuGH ist für alle Unternehmen wichtig, die in mehr als einem Mitgliedstaat der EU Daten verarbeiten, nicht etwa nur für große Konzerne.
Die Federführung einer Aufsichtsbehörde – ein hehrer Grundsatz
Die Datenschutz-Aufsichtsbehörden in der EU sollen laut Datenschutz-Grundverordnung (DSGVO) eng zusammenarbeiten. Falls eine Verarbeitung in mehreren Mitgliedstaaten (im Extremfall in allen Mitgliedstaaten) erfolgt, ist die Aufsichtsbehörde federführend, in deren Zuständigkeitsbereich sich die Hauptniederlassung des Verantwortlichen befindet.
Das bedeutet nach der Konzeption der DSGVO, dass sie die einzige Ansprechpartnerin des Verantwortlichen ist. So steht es ausdrücklich in Art. 56 Abs. 6 DSGVO. Er lautet: „Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeitern durchgeführten grenzüberschreitenden Verarbeitung.“
Aber was ist, wenn der Federführer nichts tut?
Doch was ist, wenn es zu Verstößen gegen die DSGVO kommt und die federführende Aufsichtsbehörde schlicht nichts tut? Kann dann auch eine andere beteiligte Aufsichtsbehörde rechtlich gegen den Verantwortlichen vorgehen?
Um diese Frage für den konkreten Fall von Facebook beantworten zu können, ist zunächst ein Blick auf die Struktur des Facebook-Konzerns erforderlich.
Die Struktur von Facebook
Der Konzern „Facebook“ besteht aus einer ganzen Reihe von rechtlich selbstständigen Unternehmen. Außer der Konzernmutter Facebook Incorporated (Facebook Inc.) mit Sitz in den USA gibt es noch Facebook Ireland mit Sitz in Irland sowie weitere Gesellschaften in den einzelnen europäischen Ländern. Eine dieser weiteren Ländergesellschaften ist Facebook Belgium.
Nur Facebook Ireland ist Verarbeiter
Nach Darstellung von Facebook ist ausschließlich Facebook Ireland für die Erhebung und Verarbeitung aller personenbezogener Daten im gesamten Gebiet der Europäischen Union verantwortlich.
Die Niederlassung in Belgien sei in erster Linie gegründet worden, damit der Konzern mit ihrer Hilfe Beziehungen zu den Organen der EU unterhalten könne. Und in zweiter Linie, um Werbe- und Marketingmaßnahmen des Konzerns zu fördern, die sich an Personen in Belgien richten.
Facebook Inc. mit Sitz in den USA habe übergreifende Lenkungsaufgaben für den gesamten Konzern und nichts mit der Verarbeitung von Daten in der EU zu tun.
Diese Darstellung von Facebook akzeptieren die Datenschutzaufsichtsbehörden in der EU offensichtlich als zutreffend. Auch der EuGH stellt sie nicht infrage.
Deshalb: Federführung der inländischen Datenschutzaufsicht
Davon ausgehend ist eindeutig die irische Datenschutzaufsichtsbehörde die für Facebook zuständige federführende Aufsichtsbehörde (Art. 56 Abs. 1 DSGVO). Denn Verantwortlicher für die Verarbeitung personenbezogener Daten in der gesamten Europäischen Union ist Facebook Ireland. Und Facebook Ireland hat seinen Sitz in Irland.
Die belgische Datenschutzaufsicht hat genug und klagt
Dies war auch der belgischen Aufsichtsbehörde klar. Dennoch erhob sie vor einem belgischen Gericht eine Unterlassungsklage gegen alle drei Gesellschaften (Facebook Inc., Facebook Ireland und Facebook Belgium).
Die belgische Aufsichtsbehörde ist der Auffassung, dass Facebook im Internet Informationen nicht nur zum Surfverhalten der Personen sammelt, die Inhaber eines Facebook-Kontos sind. Vielmehr sammle Facebook außerdem auch Informationen über das Surfverhalten von Personen, die Facebook überhaupt nicht selbst nutzen. Dies geschieht nach Auffassung der Aufsichtsbehörde über verschiedene Technologien wie Cookies, Social Plugins (wie etwa den Button „Gefällt mir“) und Pixel.
Dies hält die belgische Aufsichtsbehörde für unzulässig. Deshalb fordert sie von allen drei Gesellschaften, solche Technologien künftig nicht mehr einzusetzen.
Das Gericht nimmt die Klage nur zum Teil an
Das Berufungsgericht Brüssel als zuständiges belgisches Gericht sieht die Angelegenheit differenziert. Hinsichtlich der Klage gegen Facebook Belgium hält es sich für zuständig. Hinsichtlich der Klage gegen Facebook Ireland und gegen Facebook Inc. hat es sich dagegen für unzuständig erklärt.
Diese Differenzierung ergibt sich nach Auffassung des Gerichts aus dem System der Zusammenarbeit zwischen den Aufsichtsbehörden in der EU, wie es in der DSGVO angelegt ist.
Da die Verantwortung für die Verarbeitung von Daten durch Facebook im Gebiet der EU ausschließlich bei Facebook Ireland liege, sei ausschließlich die irische Datenschutzaufsicht dafür zuständig, mit einer Unterlassungsklage gegen Facebook Ireland und Facebook Inc. vorzugehen.
Es bittet den EuGH um eine rechtliche Klärung
Ob diese Auffassung zutrifft, hängt davon ab, wie die DSGVO auszulegen ist.
Rechtsprechung des Europäischen Gerichtshofs (EuGH) aus der Zeit seit dem Inkrafttreten der DSGVO gibt es zu dieser Frage nicht. Deshalb hat das Gericht beschlossen, die Angelegenheit dem EuGH vorzulegen.
Wenn Unklarheiten über die Auslegung von EU-Recht bestehen, ist es Sache des EuGH, sie zu klären.
WichtigWas darf welche Aufsichtsbehörde? Im Kern geht es um folgende Frage: Wenn personenbezogene Daten innerhalb der EU grenzüberschreitend verarbeitet werden und dabei die DSGVO möglicherweise verletzt wird, kann dann lediglich die „federführende Aufsichtsbehörde“ vor Gericht dagegen vorgehen oder kann dies auch eine andere beteiligte Aufsichtsbehörde tun? |
Der grundsätzliche Ausgangspunkt des EuGH
Um die Frage zu beantworten, holt der EuGH relativ weit aus:
- Zunächst stellt er fest, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht ist. Deshalb hat jede Person das Recht auf den Schutz der personenbezogenen Daten, die sie betreffen.
- Als Beleg hierfür verweist der EuGH auf Art. 8 Abs. 1 der Europäischen Grundrechtecharta sowie auf Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV). Beide Artikel halten dies ausdrücklich so fest.
- Die DSGVO verpflichtet alle zuständigen Stellen der EU und alle zuständigen Behörden der Mitgliedstaaten dazu, in dieser Hinsicht ein hohes Schutzniveau zu gewährleisten.
Generelle Vorgaben für die Zuständigkeit einer Aufsichtsbehörde
Daraus zieht der EuGH jedoch nicht den Schluss, dass jede Aufsichtsbehörde umfassend tätig werden darf. Vielmehr muss sie zwei Grundsätze beachten:
- Jede Aufsichtsbehörde ist nur im Hoheitsgebiet ihres eigenen Mitgliedstaats für die Durchsetzung der DSGVO zuständig (Art. 55 Abs. 1 DSGVO).
- Auch innerhalb des Hoheitsgebiets ihres Mitgliedstaates darf eine Aufsichtsbehörde jedoch nur tätig werden, wenn sie für eine bestimmte Datenverarbeitung überhaupt zuständig ist.
Die besondere Rolle der federführenden Datenschutzaufsicht
Geht es um eine grenzüberschreitende Verarbeitung, ist dabei zu beachten, dass die DSGVO eine Aufteilung der Zuständigkeiten zwischen der „federführenden Aufsichtsbehörde“ und den anderen betroffenen Aufsichtsbehörden vorsieht (Art. 56 Abs. 1 DSGVO).
Das bedeutet allerdings nicht, dass die federführende Aufsichtsbehörde völlig allein entscheiden könnte. Vielmehr ist sie zu einer umfassenden Zusammenarbeit mit den anderen betroffenen Aufsichtsbehörden verpflichtet.
Der Ablauf dieser Zusammenarbeit ist in Art. 60 DSGVO ausgesprochen umfassend geregelt. Das zeigt sich rein äußerlich schon daran, dass dieser Artikel aus zwölf Absätzen besteht.
Der Zwang zur Einigung im Kohärenzverfahren
Können sich die federführende Aufsichtsbehörde und die anderen beteiligten Aufsichtsbehörden nicht einigen, sieht Art. 63 DSGVO ein sogenanntes „Kohärenzverfahren“ vor.
Sollte dieses Verfahren nicht zu einer Einigung zwischen den beteiligten Aufsichtsbehörden führen, kommt es letztlich zu einer Streitbeilegung durch einen verbindlichen Beschluss des Europäischen Datenschutzausschusses (siehe Art. 65 Abs. 1 Buchstabe a DSGVO).
AchtungEin Tätigwerden einer betroffenen Aufsichtsbehörde „an der federführenden Aufsichtsbehörde vorbei“ passt vom Grundsatz her nicht zu diesem Konzept. Allerdings sieht die DSGV selbst zwei Ausnahmen von der Zuständigkeitsverteilung vor, die eben beschrieben wurde. Sie betreffen grenzüberschreitende Verarbeitungen, bei denen besondere Situationen vorliegen. |
Ausnahme 1: Beschwerde eher lokaler Bedeutung
Bei Ausnahme 1 (geregelt in Art. 56 Abs. 2 DSGVO) hat die Aufsichtsbehörde zwar nicht die Federführung, es geht aber um eine bei ihr eingereichte Beschwerde, die eine der beiden folgenden Merkmale aufweist:
- Der Gegenstand der Beschwerde hängt nur mit einer Niederlassung in ihrem Mitgliedstaat zusammen, nicht dagegen mit der Niederlassung in anderen Mitgliedstaaten.
- Es sind lediglich in ihrem Mitgliedstaat betroffene Personen erheblich beeinträchtigt, nicht dagegen Personen in anderen Mitgliedstaaten.
Der Sinn dieser Ausnahme liegt auf der Hand: In diesen Fällen kann die Aufsichtsbehörde aufgrund der besonderen Umstände die Angelegenheit ohne Weiteres auch allein bearbeiten. Interessen anderer Mitgliedstaaten oder anderer Aufsichtsbehörden sind nicht berührt.
Ausnahme 2: dringender Handlungsbedarf
Ausnahme 2 (geregelt in Art. 66 DSGVO) betrifft Situationen, in denen ein Abwarten schaden würde. Wenn sofortiger dringlicher Handlungsbedarf besteht, darf auch eine Behörde Maßnahmen ergreifen, die nicht die Federführung hat. Allerdings muss sie dabei drei Punkte beachten:
- Sie darf lediglich „einstweilige Maßnahmen“ mit einer Geltungsdauer von höchstens drei Monaten treffen.
- Diese Maßnahmen entfalten nur in ihrem Hoheitsgebiet rechtliche Wirkung, nicht im Hoheitsgebiet anderer Mitgliedstaaten.
- Sie muss unverzüglich die federführende Aufsichtsbehörde unterrichten. Die federführende Aufsichtsbehörde entscheidet dann innerhalb einer Frist von drei Wochen nach der Unterrichtung, ob sie sich mit dem Fall befasst oder nicht (Art. 56 Abs. 3 DSGVO).
Auch der Sinn dieser Ausnahme ist offensichtlich: Jede Aufsichtsbehörde soll sofort handeln können, wenn in ihrem Zuständigkeitsbereich ein dringender Handlungsbedarf besteht. Die Zusammenarbeit mit der federführenden Aufsichtsbehörde darf darunter gleichwohl nicht leiden.
Klares Verhältnis von Grundsatz und Ausnahmen
Aus den beiden Ausnahmen, die eben geschildert wurde, leitet der EuGH folgende Grundsätze ab:
- Die Zuständigkeit der federführenden Aufsichtsbehörde ist die Regel.
- Die Zuständigkeit anderer betroffener Aufsichtsbehörden ist die Ausnahme. Sie ist nur in besonderen Situationen gegeben.
Effektiver Schutz wichtiger als Zuständigkeitsfragen
Diese Zuständigkeitsverteilung beeinträchtigt nicht den Schutz der betroffenen Personen. Da alle Aufsichtsbehörden im Rahmen des Kohärenzverfahrens zu einer engen Zusammenarbeit verpflichtet sind, ist im Ergebnis ein hohes Schutzniveau sichergestellt.
Dieses hohe Schutzniveau ist das Ziel des Kohärenzverfahrens. Das Kohärenzverfahren darf dagegen nicht so verstanden werden, dass eine nationale Aufsichtsbehörde ihre Pflichten vernachlässigen dürfte und sich darauf verlässt, dass bei Bedarf eine andere Aufsichtsbehörde tätig wird.
Das betrifft besonders die federführende Aufsichtsbehörde. Denn die DSGVO gibt ihr eine besondere Rolle.
Es gilt, Forum Shopping zu verhindern
Ein nachlässiges Verhalten von Aufsichtsbehörden wäre aus der Sicht des EuGH besonders deshalb bedenklich, weil es einem „forum shopping“ Vorschub leisten würde. Damit ist gemeint, dass sich Verantwortliche die Aufsichtsbehörde heraussuchen könnten, die ihnen am angenehmsten erscheint.
Das muss aus der Sicht des EuGH unterbunden werden, weil es sonst zu einer Umgehung von Grundrechten und einer Umgehung der wirksamen Anwendung der DSGVO kommen könnte.
Möglichkeiten der nicht federführenden Aufsichtsbehörde
Damit stellt sich die Frage, was dann gilt, wenn zwar keine der beiden geschilderten Ausnahmen vorliegt, die federführende Aufsichtsbehörde aber schlicht nichts tut.
Diesen Verdacht hat der EuGH im vorliegenden Fall. Die belgische Aufsichtsbehörde hat nämlich geltend gemacht, dass sie die federführende Aufsichtsbehörde in Irland informiert und ausdrücklich um Amtshilfe gebeten hat. Das ist so in Art. 61 Abs. 1 DSGVO vorgesehen.
Nach Darstellung der belgischen Aufsichtsbehörde hat die irische Aufsichtsbehörde auf diese Bitte aber in keiner Weise reagiert.
Der EuGH sieht in einem solchen Fall folgende Reaktionsmöglichkeiten für die Aufsichtsbehörde, bei der nicht die Federführung liegt:
- Sie kann eine einstweilige Anordnung für das Hoheitsgebiet ihres Mitgliedstaats treffen. Das ist für den Fall, dass die federführende Aufsichtsbehörde nicht binnen eines Monats reagiert, in Art. 61 Abs. 8 DSGVO ausdrücklich vorgesehen. Die Verordnung unterstellt in diesem Fall, dass ein dringender Handlungsbedarf vorliegt.
- Darüber hinaus kann die Aufsichtsbehörde, gewissermaßen an der federführenden Aufsichtsbehörde vorbei, beim Europäischen Datenschutzausschuss beantragen, dass er sich mit der Angelegenheit befasst (Art. 64 Abs. 2 DS GVO).
- Sollte sie der Auffassung sein, dass die Angelegenheit keinen Aufschub duldet, kann sie beim Europäischen Datenschutzausschuss auch um einen verbindlichen Beschluss bitten (Art. 66 Abs.2 DSGVO).
WichtigDer EuGH wird in diesem Zusammenhang sehr deutlich. Er betont, dass die Aufteilung der Zuständigkeiten zwischen den Aufsichtsbehörden auf der „Prämisse einer loyalen und wirksamen Zusammenarbeit untereinander“ beruhe. Wenn diese Prämisse im konkreten Fall nicht funktioniert, gibt es eben andere Möglichkeiten. |
Hausaufgaben des EuGH für das belgische Gericht
Dem Gericht in Belgien, das sich an ihn gewandt hat, gibt der EuGH abschließend eine Art Hausaufgabe: Es muss prüfen, ob die Aufsichtsbehörde in Irland tatsächlich nicht rechtzeitig reagiert hat. Die Folge wäre, dass die Aufsichtsbehörde in Belgien durchaus tätig werden durfte, auch durch einen Antrag auf Unterlassung bei Gericht.
Hat Facebook nun gegen die DSGVO verstoßen oder nicht?
Völlig offen lässt der EuGH die Frage, ob Facebook tatsächlich gegen die DSGVO verstoßen hat. Das ist eine Frage, die allein das belgische Gericht zu klären hat. Hierzu hat das belgische Gericht dem EuGH auch keinerlei Auslegungsfrage vorgelegt.
Die scheinbar einfache Frage, ob denn Facebook nun gegen die DSGVO verstoßen hat oder nicht, lässt sich deshalb auch nach der Entscheidung des EuGH schlicht nicht beantworten. Sie war gar nicht das Thema, mit dem er sich befasst hat.
Praxis-TippAufgabenverteilung zwischen EuGH und nationalen Gerichten Daran zeigt sich erneut sehr deutlich, welche Rolle der EuGH hat und welche nicht:
|
Facebook beeindruckt die Entscheidung des EuGH kaum
Facebook hat auf die Entscheidung des EuGH übrigens fast schon betont gelassen reagiert.
Dies dürfte keine gespielte Gelassenheit gewesen sein. Denn alles, worauf der EuGH hingewiesen hat, steht letztlich nahezu wörtlich in der DSGVO.
Und für einen Konzern der Dimension von Facebook dürfte es auch keine besondere Belastung darstellen, sich außer mit der Aufsichtsbehörde in Irland als federführender Aufsichtsbehörde auch noch mit der einen oder anderen Aufsichtsbehörde in einem anderen Mitgliedstaat auseinandersetzen zu müssen.
Das Urteil des EuGH vom 15.6.2021 trägt das Aktenzeichen C-645/19 und ist abrufbar unter https://curia.europa.eu/juris/document/document.jsf?text=&docid=242821&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1