Der Europäische Gerichtshof hat am 15.06.2021 zum Aktenzeichen C-645/19 entschieden, dass unter bestimmten Voraussetzungen eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) vor einem Gericht eines Mitgliedstaates geltend zu machen, ausüben kann, auch wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist.
Aus der Pressemitteilung des EuGH Nr. 103/2021 vom 15.06.2021 ergibt sich:
Am 11. September 2015 erhob der Präsident des belgischen Ausschusses für den Schutz des Privatlebens (im Folgenden: CBPL) bei der Nederlandstalige rechtbank van eerste aanleg Brussel (niederländischsprachiges Gericht erster Instanz Brüssel, Belgien) eine Unterlassungsklage gegen Facebook Ireland, Facebook Inc. und Facebook Belgium mit dem Ziel, Verstöße gegen Datenschutzvorschriften, die Facebook angeblich begangen hat, abzustellen. Diese Verstöße bestanden u. a. in der Sammlung und Nutzung von Informationen über das Surfverhalten von belgischen Internetnutzern, von denen nicht alle über ein Facebook-Konto verfügen, mittels verschiedener Technologien wie Cookies, Social Plugins (z.B. die Buttons „Gefällt mir“ oder „Teilen“) oder Pixeln.
Am 16. Februar 2018 erklärte sich dieses Gericht für zuständig, über diese Klage zu befinden, und entschied in der Sache, dass das soziale Netzwerk Facebook die belgischen Internetnutzer nicht ausreichend über die Erhebung und Nutzung der betreffenden Informationen informiert habe. Im Übrigen wurde die Einwilligung der Internetnutzer zur Sammlung und Verarbeitung dieser Informationen als nicht wirksam angesehen.
Am 2. März 2018 legten Facebook Ireland, Facebook Inc. und Facebook Belgium gegen dieses Urteil Berufung beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien), dem vorlegenden Gericht in der vorliegenden Rechtssache, ein. Vor diesem Gericht trat die belgische Datenschutzbehörde (im Folgenden: GBA) als Rechtsnachfolgerin des Präsidenten der CBLP auf. Das vorlegende Gericht erklärte sich lediglich für die Entscheidung über die von Facebook Belgium eingelegte Berufung für zuständig.
Beim vorlegenden Gericht bestehen Zweifel, welche Auswirkung das in der Datenschutz-Grundverordnung (EU) 2016/679 (ABl. 2016, L 119, S. 1, im Folgenden: DSGV – Art. 56 Abs. 1 DSGV lautet: „Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung.“) vorgesehene Verfahren der Zusammenarbeit und Kohärenz auf die Befugnisse der GBA hat, und es wirft insbesondere die Frage auf, ob die GBA in Bezug auf Sachverhalte nach dem 25. Mai 2018, ab dem die DSGVO gilt, gegen Facebook Belgium vorgehen kann, da Facebook Ireland als für die Verarbeitung der betreffenden Daten Verantwortlicher festgestellt worden ist. Seit diesem Zeitpunkt und insbesondere gemäß dem in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz sei nämlich nur der irische Datenschutzbeauftragte befugt, unter der Kontrolle der irischen Gerichte eine Unterlassungsklage zu erheben.
In seinem Urteil der Großen Kammer präzisiert der Gerichtshof die Befugnisse der nationalen Aufsichtsbehörden im Rahmen der DSGVO. Insbesondere hat er entschieden, dass die genannte Verordnung unter bestimmten Voraussetzungen einer Aufsichtsbehörde eines Mitgliedstaats gestattet, von ihrer Befugnis Gebrauch zu machen, vermeintliche Verstöße gegen die DSGV einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und in Bezug auf eine grenzüberschreitende Datenverarbeitung (i.S.v. Art. 4 Nr. 23 DSGV) die Einleitung eines gerichtlichen Verfahrens zu betreiben, obgleich sie für diese Verarbeitung nicht die federführende Behörde ist.
Würdigung durch den Gerichtshof
Erstens hat der Gerichtshof die Voraussetzungen festgelegt, unter denen eine nationale Aufsichtsbehörde, die hinsichtlich einer grenzüberschreitenden Verarbeitung nicht als federführende Behörde fungiert, ihre Befugnis auszuüben hat, vermeintliche Verstöße gegen die DSGV einem Gericht eines Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben. So muss zum einen die DSGVO dieser Aufsichtsbehörde eine Zuständigkeit für den Erlass einer Entscheidung, mit der festgestellt wird, dass die fragliche Verarbeitung gegen die in dieser Verordnung vorgesehenen Regeln verstößt, verleihen, und zum anderen muss diese Befugnis unter Beachtung der in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz ausgeübt werden (in Art. 56 und 60 der DSGVO vorgesehen).
Für grenzüberschreitende Verarbeitungen sieht die DSGVO nämlich ein Verfahren der Zusammenarbeit und Kohärenz (Art. 56 Abs. 1 DSGVO) vor, das auf einer Zuständigkeitsverteilung zwischen einer „federführenden Aufsichtsbehörde“ und den anderen betroffenen nationalen Aufsichtsbehörden beruht. Dieser Mechanismus erfordert eine enge, loyale und wirksame Zusammenarbeit zwischen den genannten Behörden, um zu gewährleisten, dass die Vorschriften über den Schutz personenbezogener Daten kohärent und einheitlich geschützt werden, und um somit die praktische Wirksamkeit dieses Mechanismus zu wahren. Die DSGV sieht insoweit vor, dass grundsätzlich die federführende Aufsichtsbehörde dafür zuständig ist, einen Beschluss zu erlassen, mit dem festgestellt wird, dass eine grenzüberschreitende Verarbeitung gegen die Vorschriften der Verordnung verstößt (Art. 60 Abs. 7 DSGVO), wohingegen die Zuständigkeit der anderen nationalen Aufsichtsbehörden für den Erlass eines solchen, wenn auch nur vorläufigen, Beschlusses die Ausnahme darstellt (Art. 56 Abs. 2 und Art. 66 DSGVO betreffen die Ausnahmen vom Grundsatz der Entscheidungsbefugnis der federführenden Aufsichtsbehörde). Indessen muss die federführende Aufsichtsbehörde bei der Wahrnehmung ihrer Zuständigkeiten insbesondere den gebotenen Dialog führen und loyal und wirksam mit den anderen betroffenen Aufsichtsbehörden zusammenarbeiten. Bei dieser Zusammenarbeit kann daher die federführende Aufsichtsbehörde die Ansichten der anderen betroffenen Aufsichtsbehörden nicht außer Acht lassen und hat ein maßgeblicher und begründeter Einspruch, der von einer anderen betroffenen Aufsichtsbehörde eingelegt wird, zur Folge, dass die Annahme des Beschlussentwurfs der federführenden Aufsichtsbehörde zumindest vorübergehend blockiert wird.
Der Gerichtshof hat ferner klargestellt, dass es mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union, die das Recht auf den Schutz der personenbezogenen Daten einer Person bzw. auf einen wirksamen Rechtsbehelf garantieren, in Einklang steht, dass eine Aufsichtsbehörde eines Mitgliedstaats, die in Bezug auf eine grenzüberschreitende Datenverarbeitung nicht die federführende Aufsichtsbehörde ist, von der Befugnis zur Geltendmachung eines vermeintlichen Verstoßes gegen die DSGVO vor einem Gericht dieses Staates nur unter Beachtung der Regeln über die Verteilung der Entscheidungsbefugnisse zwischen der federführenden Aufsichtsbehörde und den anderen Aufsichtsbehörden (vgl. Art. 55 und 56 DSGVO i.V.m. Art. 60 DSGVO) Gebrauch machen kann.
Zweitens hat der Gerichtshof entschieden, dass im Fall einer grenzüberschreitenden Datenverarbeitung die Ausübung der Befugnis zur Klageerhebung (nach Art. 58 Abs. 5 DSGVO), die einer Aufsichtsbehörde eines Mitgliedstaats zusteht, die nicht die federführende Aufsichtsbehörde ist, nicht voraussetzt, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter, auf den sich diese Klage bezieht, über eine Hauptniederlassung oder eine andere Niederlassung im Hoheitsgebiet dieses Mitgliedstaats verfügt. Die Ausübung dieser Befugnis muss jedoch in den räumlichen Anwendungsbereich der DSGVO (nach Art. 3 Abs. 1 DSGVO findet diese Verordnung Anwendung auf die Verarbeitung personenbezogener Daten, „soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet“) fallen, was voraussetzt, dass der für die grenzüberschreitende Verarbeitung Verantwortliche oder der Auftragsverarbeiter über eine Niederlassung im Gebiet der Union verfügt.
Drittens hat der Gerichtshof für Recht erkannt, dass im Fall einer grenzüberschreitenden Datenverarbeitung die Befugnis einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, vermeintliche Verstöße gegen die DSGVO dem Gericht dieses Staates zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl in Bezug auf die Hauptniederlassung des für die Verarbeitung Verantwortlichen, die sich in dem Mitgliedstaat, dem diese Behörde angehört, befindet, als auch gegenüber einer anderen Niederlassung dieses Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten dieser Niederlassung erfolgt, und die genannte Behörde dafür zuständig ist, die Befugnis auszuüben.
Der Gerichtshof hat jedoch klargestellt, dass diese Befugnis nur ausgeübt werden kann, soweit die DSGVO gilt. Da im vorliegenden Fall die Tätigkeiten der Niederlassung des Facebook-Konzerns in Belgien untrennbar mit der Verarbeitung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten verbunden sind, für die Facebook Ireland hinsichtlich des Unionsgebiets der Verantwortliche ist, erfolgt diese Verarbeitung „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen“ und fällt daher in den Anwendungsbereich der DSGVO.
Viertens hat der Gerichtshof entschieden, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten, bevor die DSGV galt, eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (RL 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr – ABl. 1995, L 281, S. 31) aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der genannten Aufsichtsbehörde wegen Verstößen erhoben werden, die begangen wurden, nachdem die DSGVO anwendbar wurde, sofern es sich dabei um einen derjenigen Fälle handelt, in denen diese Aufsichtsbehörde nach der Verordnung ausnahmsweise befugt ist, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit eingehalten werden.
Fünftens erkennt der Gerichtshof die unmittelbare Wirkung der Bestimmung der DSGVO an, wonach jeder Mitgliedstaat durch Rechtsvorschriften vorsieht, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben. Folglich kann sich eine Aufsichtsbehörde auf diese Vorschrift berufen, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die genannte Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.