EuGH: Befugnisse der nationalen Datenschutzbehörden
Bearbeiter: Sabine Kriwanek / Bearbeiter: Barbara Tuma
Dieser Inhalt ist frei verfügbar.
Mit einem
Abonnement der jusIT
erhalten Sie die Zeitschrift in Print und vollen digitalen
Zugriff im Web, am Smartphone und Tablet.
Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
DSGVO: Art 55 bis 58, Art 60 bis 66
Im Fall einer grenzüberschreitende Verarbeitung personenbezogener Daten kann unter bestimmten Voraussetzungen eine nationale Aufsichtsbehörde ihre Befugnis ausüben, vermeintliche Verstöße gegen die DSGVO vor einem Gericht ihres Mitgliedstaats geltend zu machen, auch wenn sie in Bezug auf diese Verarbeitung nicht die „federführende Behörde“ iSv Art 56 Abs 1 DSGVO ist; die Befugnis zur Klageerhebung setzt somit nicht voraus, dass der für die Datenverarbeitung Verantwortliche oder der Auftragsverarbeiter, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.
Dabei gilt:
-
Es handelt sich um einen der Fälle, in denen die DSGVO der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt. Die in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und der Kohärenz müssen dabei eingehalten werden.
-
Die Befugnis kann sowohl gegenüber der Hauptniederlassung des Verantwortlichen im Mitgliedstaat der Aufsichtsbehörde als auch gegenüber einer anderen Niederlassung des Verantwortlichen ausgeübt werden, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die Behörde dafür zuständig ist, die Befugnis auszuüben (dh Zuständigkeit für Feststellungsbeschlüsse; siehe oben).
-
Ein solche Klage, die vor dem 25. 5. 2018 erhoben wurde (also bevor die DSGVO galt), kann unionsrechtlich auf der Grundlage der Vorschriften der [aufgehobenen] DatenschutzRL 95/46/EG aufrechterhalten werden; die RL gilt für Verstöße weiter, die bis zur Aufhebung der RL begangen worden sind.
-
Art 58 Abs 5 DSGVO (wonach jeder Mitgliedstaat durch Rechtsvorschriften vorsieht, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen die DSGVO den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben) hat unmittelbare Wirkung, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.
Im Anlassfall wurde die Unterlassungsklage gegen Facebook Ireland, Facebook Inc und Facebook Belgium im September 2015 erhoben. Klagebefugnis und Rechtsschutzinteresse der nationalen Datenschutzbehörde stehen in Zweifel, weil die nationale Umsetzungsnorm zur DatenschutzRL – die Rechtsgrundlage für die Erhebung der Klage – aufgehoben worden war und die nationale Datenschutzbehörde für Sachverhalte nach dem 25. 5. 2018 nach Ansicht des vorlegenden Gerichts in Anbetracht des Verfahrens der Zusammenarbeit und Kohärenz, wie es die DSGVO nun vorsieht, nicht zuständig und nicht klagebefugt sei. Verantwortlich für die Verarbeitung der personenbezogenen Daten der Personen, die die Dienste von Facebook im Unionsgebiet nutzten, sei nämlich allein Facebook Ireland.
In seinen Entscheidungsgründen geht der EuGH ausführlich auf das Verfahren der Zusammenarbeit und Kohärenz ein, das die Aufteilung der Zuständigkeiten zwischen der „federführenden Aufsichtsbehörde“ (Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters) und den anderen betroffenen Aufsichtsbehörden regelt (Art 60 ff DSGVO) und eine loyale und wirksame Zusammenarbeit zwischen allen Aufsichtsbehörden verlangt. Danach ist es grds Sache der federführende Aufsichtsbehörde, für die betreffende grenzüberschreitende Verarbeitung einen Beschluss zu erlassen, wobei sie sich allerdings auch um einen Konsens mit anderen betroffenen Aufsichtsbehörden zu bemühen hat.
Allerdings sieht die DSGVO auch Ausnahmen vom Grundsatz der Entscheidungsbefugnis der federführenden Aufsichtsbehörde vor (vgl Art 56 Abs 2 und Art 66 DSGVO), wobei die jeweilige Aufsichtsbehörde bei Ausübung ihrer Zuständigkeit wiederum loyal und wirksam mit der federführenden Aufsichtsbehörde zusammenarbeiten muss. Die Zuständigkeit der federführenden Aufsichtsbehörde für den Erlass eines Feststellungsbeschlusses ist demnach die Regel und die Zuständigkeit der anderen betroffenen Aufsichtsbehörden für den Erlass eines solchen, wenn auch nur vorläufigen, Beschlusses die Ausnahme.
Im Hinblick darauf, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten nun als ein Grundrecht ausgebildet ist (vgl Art 8 Abs 1 GRC und Art 16 Abs 1 AEUV), erlegt die DSGVO den Organen, Einrichtungen und sonstigen Stellen der Union sowie den zuständigen Behörden der Mitgliedstaaten die Verpflichtung auf, für dieses Grundrecht ein hohes Schutzniveau zu gewährleisten. Die Vorschriften der DSGVO über die Aufteilung der Entscheidungszuständigkeiten zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden kann somit nichts daran ändern, dass alle diese Behörden zu einem hohen Schutzniveau beizutragen haben. Dies bedeutet insbesondere, dass das Verfahren der Zusammenarbeit und Kohärenz keinesfalls dazu führen darf, dass eine nationale Aufsichtsbehörde, namentlich die federführende, ihren Verpflichtungen aus der DSGVO nicht nachkommt. Sonst würde einem forum shopping – insb der Verantwortlichen – zur Umgehung der Grundrechte Vorschub geleistet.
Das Recht auf einen wirksamen Rechtsbehelf (Art 47 GRC) ist durch die Regelungen der DSGVO auch für den Fall gewährleistet, in dem eine nationale Aufsichtsbehörde die federführende Aufsichtsbehörde entsprechend unterrichtet hat und sich die federführende Aufsichtsbehörde entscheidet, sich mit dem Fall nicht selbst zu befassen. Dabei kann sich die nationale Aufsichtsbehörde gegebenenfalls durchaus dafür entscheiden, von ihrer Befugnis nach Art 58 Abs 5 DSGVO zur Befassung eines nationalen Gerichtes Gebrauch zu machen.
Geregelt ist auch der Fall, dass die federführende Aufsichtsbehörde nach einem entsprechenden Amtshilfeersuchen die angefragten Informationen nicht übermittelt. In einem solchen Fall kann die nationale Aufsichtsbehörde nicht nur eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats ergreifen (Art 61 Abs 8 DSGVO), sondern auch den Europäischen Datenschutzausschuss befassen (vgl dazu das Dringlichkeitsverfahren gem Art 66 Abs 2 DSGVO oder eine Stellungnahme gem Art 64 Abs 2 DSGVO). Nach einer solchen Stellungnahme oder einem solchen verbindlichen Beschluss des Europäischen Datenschutzausschusses kann die betroffene Aufsichtsbehörde gegebenenfalls die Maßnahmen ergreifen, die erforderlich sind, um zur Gewährleistung der Einhaltung der DSGVO ihre Klagebefugnis gem Art 58 Abs 5 DSGVO ausüben zu können.
Im vorliegenden Fall wird das vorlegende Gericht zu prüfen haben, ob die Vorschriften über die Aufteilung der Zuständigkeiten sowie die einschlägigen Verfahren und Mechanismen der DSGVO im Anlassfall richtig angewandt worden sind. Dabei wird es insb zu prüfen haben, ob hinsichtlich der Verhaltensweisen des sozialen Netzwerks Facebook nach dem 25. 5. 2018, für die die belgische Datenschutzbehörde nicht die federführende Aufsichtsbehörde ist, gegebenenfalls auch der Europäischen Datenschutzausschuss zu befassen gewesen wäre.
Abschließend weist der EuGH auch auf die Stellungnahme 5/2019 der Europäische Datenschutzausschuss vom 12. 3. 2019 zum Zusammenspiel zwischen der e-Datenschutz-RL (RL 2002/58/EG) und der DSGVO hin, die darin – insb in Bezug auf die Zuständigkeiten, Aufgaben und Befugnisse von Datenschutzbehörden – erklärt hat, dass das Speichern und das Lesen von personenbezogenen Daten mittels Cookies in den Anwendungsbereich der e-Datenschutz-RL fällt und nicht unter das Verfahren der Zusammenarbeit und Kohärenz. Alle früheren Vorgänge und die späteren Verarbeitungen der personenbezogenen Daten mittels anderer Technologien fallen hingegen durchaus in den Anwendungsbereich der DSGVO und damit unter das Verfahren der Zusammenarbeit und Kohärenz.
